Вступление:
В настройках ZYWALL/USG можно настроить разные права для пользователей - admin, limited-admin, user или guest. Это позволяет пользователям иметь разные привилегии при входе в USG. Есть также возможность настроить тип пользователя на ext-user - это пользователи, которые аутентифицируются внешним сервером RADIUS. Если на RADIUS сервере нет информации по типу пользователя, то пользователям, с заданным типом ext-user, будут присвоены привилегии обычного пользователя user. Для того, чтобы избежать такой ситуации и для пользователя срабатывали заданные на RADIUS сервере привилегии, ознакомьтесь с инструкцией ниже. В статье описывается настройка специфичных атрибутов, которые нужно настроить для каждой группы пользователей, чтобы RADIUS (NPS) сервер правильно присваивал права пользователя.
Руководство по настройке:
Условия:
RADIUS-сервер: Windows Server 2008 R2.
Создайте три группы на RADIUS сервере: csoadmin, csosecurity и csoguest. Добавьте пользователей в каждую группу.
Пошаговая инструкция:
Назначьте тип пользователя для каждой группы пользователей на сервере RADIUS.
Конфигурация RADIUS сервера:
1. Перейдите в Administrator Tools > Network Policy Server.
2. Выберите CSO_admin и перейдите в Properties.
3. Перейдите в Settings > RADIUS Attributes > Vendor Specific. Нажмите на Add.
4. Выберите Vendor-Specific и нажмите на кнопку Add.
5. Нажмите на Add.
6. Введите код производителя ZyXEL: 890. Нажмите на Configure Attribute.
7. Необходимо настроить тип пользователя (user type), время аренды (lease-time) и время переподключения (reauth-time) для каждого атрибута.
В серии USG поддерживаются четыре типа пользователей: admin, limited-admin, user и guest.
В этом примере, в настройке привилегий группы, мы используем "admin".
Тип пользователя (user type):
Vendor-assigned attribute number=1, Attribute format=String,
Attribute value=admin
Время аренды (lease-time):
Vendor-assigned attribute number=2, Attribute format=String,
Attribute value=0~1440
Время переподключения (reauth-time):
Vendor-assigned attribute number=3, Attribute format=String,
Attribute value: 0~1440
8. Тип пользователя, время аренды и время переподключения настраиваются в каждом атрибуте для группы CSO_admin.
9. Нажмите на кнопку Apply, чтобы завершить настройку привилегий.
10. Повторите шаги 1–9 (настройки атрибутов) для CSO_guest и CSO_support.
Проверка:
Используйте веб-аутентификацию (Web Authentication) для проверки вошедшего в систему типа пользователя.
Топология:
1. Установите флажок Enable Web Authentication в настройках USG.
2. Перейдите в CONFIGURATION > Object > AAA Server > RADIUS и укажите IP RADIUS-сервера.
3. Перейдите в CONFIGURATION > Object > AAA Server > RADIUS и настройте метод аутентификации RADIUS-сервера.
4. Используйте учетную запись с правами guest "CSO_guest" и пользователя с правами admin "Bob" и авторизуйтесь на USG.
Результат проверки для учетной записи "CSO_guest":
Без настройки специфичных атрибутов для группы учетной записи "CSO_guest", он относится к типу "User".
После настройки атрибутов для группы "CSO_guest" и использовании этой же учетной записи, "CSO_guest" будет авторизоваться с привилегиями "guest".
Результат проверки для учетной записи "Bob":
Без настройки специфичных атрибутов для группы учетной записи "Bob", он относится к типу "User".
После настройки атрибутов для группы "CSO_admin" и использовании этой же учетной записи, "Bob" будет авторизоваться с привилегиями администратора "Administrator".
Выводы:
Существуют разные типы пользователей с разными правами как и на самом USG, так и в настройках RADIUS сервера. Следуя данной статье можно настроить сценарий при котором права пользователя (его параметры аренды времени, тип пользователя и другие) для контроля доступа на USG будут присваиваться не самим USG, а с помощью RADIUS сервера.
KB-00160