Назначение разных прав для аутентификации через RADIUS

Еще есть вопросы? Отправить запрос

Вступление:

В настройках ZYWALL/USG можно настроить разные права для пользователей - admin, limited-admin, user или guest. Это позволяет пользователям иметь разные привилегии при входе в USG. Есть также возможность настроить тип пользователя на ext-user - это пользователи, которые аутентифицируются внешним сервером RADIUS. Если на RADIUS сервере нет информации по типу пользователя, то пользователям, с заданным типом ext-user, будут присвоены привилегии обычного пользователя user. Для того, чтобы избежать такой ситуации и для пользователя срабатывали заданные на RADIUS сервере привилегии, ознакомьтесь с инструкцией ниже. В статье описывается настройка специфичных атрибутов, которые нужно настроить для каждой группы пользователей, чтобы RADIUS (NPS) сервер правильно присваивал права пользователя.

 

Руководство по настройке:

 

Условия:

RADIUS-сервер: Windows Server 2008 R2.

Создайте три группы на RADIUS сервере: csoadmin, csosecurity и csoguest. Добавьте пользователей в каждую группу.

Пошаговая инструкция:

Назначьте тип пользователя для каждой группы пользователей на сервере RADIUS.

Конфигурация RADIUS сервера:

1. Перейдите в Administrator Tools > Network Policy Server.


2. Выберите CSO_admin и перейдите в Properties.


3. Перейдите в Settings > RADIUS Attributes > Vendor Specific. Нажмите на Add.

4. Выберите Vendor-Specific и нажмите на кнопку Add.


5. Нажмите на Add.


6. Введите код производителя ZyXEL: 890. Нажмите на Configure Attribute.


7. Необходимо настроить тип пользователя (user type), время аренды (lease-time) и время переподключения (reauth-time) для каждого атрибута.

В серии USG поддерживаются четыре типа пользователей: admin, limited-admin, user и guest.

В этом примере, в настройке привилегий группы, мы используем "admin".

 

Тип пользователя (user type):

Vendor-assigned attribute number=1, Attribute format=String,

Attribute value=admin


Время аренды (lease-time):

Vendor-assigned attribute number=2, Attribute format=String,

Attribute value=0~1440

Время переподключения (reauth-time):

Vendor-assigned attribute number=3, Attribute format=String,

Attribute value: 0~1440


8. Тип пользователя, время аренды и время переподключения настраиваются в каждом атрибуте для группы CSO_admin.

9. Нажмите на кнопку Applyчтобы завершить настройку привилегий.

10. Повторите шаги 1–9 (настройки атрибутов) для CSO_guest и CSO_support.


Проверка:

Используйте веб-аутентификацию (Web Authentication) для проверки вошедшего в систему типа пользователя.

Топология:


1. Установите флажок Enable Web Authentication в настройках USG.

2. Перейдите в CONFIGURATION > Object > AAA Server > RADIUS и укажите IP RADIUS-сервера. 

3. Перейдите в CONFIGURATION > Object > AAA Server > RADIUS и настройте метод аутентификации RADIUS-сервера. 

4. Используйте учетную запись с правами guest "CSO_guest" и пользователя с правами admin "Bob" и авторизуйтесь на USG.


Результат проверки для учетной записи "CSO_guest":

Без настройки специфичных атрибутов для группы учетной записи "CSO_guest", он относится к типу "User".

После настройки атрибутов для группы "CSO_guest" и использовании этой же учетной записи, "CSO_guest" будет авторизоваться с привилегиями "guest".

Результат проверки для учетной записи "Bob":

Без настройки специфичных атрибутов для группы учетной записи "Bob", он относится к типу "User".

После настройки атрибутов для группы "CSO_admin" и использовании этой же учетной записи, "Bob" будет авторизоваться с привилегиями администратора "Administrator".

Выводы:

 

Существуют разные типы пользователей с разными правами как и на самом USG, так и в настройках RADIUS сервера. Следуя данной статье можно настроить сценарий при котором права пользователя (его параметры аренды времени, тип пользователя и другие) для контроля доступа на USG будут присваиваться не самим USG, а с помощью RADIUS сервера.

 

KB-00160

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 2
Поделиться