Avanpost FAM предоставляет функциональность RADIUS-сервера для приложений с поддержкой в NAS (Network Access Service - Сетевой сервер доступа) аутентификации через сторонний RADIUS Proxy. RADIUS — протокол безопасности, который предоставляет централизованный метод аутентификации пользователей путем обращения к внешнему серверу. RADIUS-сервер использует базу данных пользователей, которая содержит данные проверки подлинности для каждого пользователя. Таким образом, использование протокола RADIUS обеспечивает дополнительную защиту при доступе к ресурсам сети.
В процессе интеграции Avanpost FAM с RADIUS-приложением NAS-сервер обращается к UDP RADIUS-интерфейсу компонента Avanpost FAM Server. После этого инициируется сеанс аутентификации пользователя, который должен завершиться либо отправкой в адрес NAS сообщения RADIUS Access-Accept, либо сообщения RADIUS Access-Reject. При этом Avanpost FAM гибко подстраивается под различные сценарии взаимодействия с интегрируемыми системами.
Добавление RADIUS-приложения
Первичная настройка RADIUS-приложения осуществляется при добавлении нового приложения. Для этого требуется нажать кнопку "Добавить приложение" сервиса "Приложения" и перейти на вкладку добавления приложения.
Шаг 1. Основные настройки
На данном шаге продукт предлагает ввести следующие параметры.
Название параметра | Описание параметра |
---|---|
Наименование | Название приложения |
Тип | Типы механизма интеграции приложения:
Для настройки RADIUS-приложения выбрать опцию " |
Дополнительные опции | Чекбокс "Показывать приложение пользователям":
|
Для перехода к следующему шагу требуется нажать "Далее" после установки параметров. Для отказа от создания приложения следует нажать "Отмена".
Шаг 2. Настройки интеграции
На данном шаге продукт предлагает ввести следующие параметры.
Название параметра | Описание параметра |
---|---|
IP-адрес как идентификатор | Переключатель "IP-адрес как идентификатор":
Рекомендуется использовать IP-адрес, чтобы идентифицировать конфигурацию единичных сетевых устройств. |
NAS Identifier | RADIUS-атрибут, используемый для идентификации клиента. Текстовое поле доступно для ввода при выключенном переключателе "IP-адрес как идентификатор". Рекомендуется использовать NAS Identifier, чтобы идентифицировать несколько однотипных сетевых устройств. |
NAS IP (Source IP) | IP-адрес, используемый в качестве идентификатора клиента. Текстовое поле доступно для ввода при включенном переключателе "IP-адрес как идентификатор". При некорректном вводе выдается предупреждение. |
Протокол аутентификации | Поддерживаемые протоколы аутентификации:
|
Access-Challenge | Ответ Access-Challenge от сервера на запрос Access-Request от клиента. Access-Challenge происходит, когда серверу RADIUS требуется дополнительная информация в другом запросе Access-Request перед аутентификацией пользователя. Переключатель "Разрешить Access-Challenge" для разрешения ответа Access-Challenge от сервера:
|
Default Domain | Значение параметра Домен, устанавливаемого для данного приложения (фиксированное логическое название приложения, подключаемого по RADIUS протоколу). Если во входящем запросе от RADIUS-приложения на аутентификацию, содержится только логин пользователя, Avanpost FAM проверяет совпадение значения Домена пользователей со значением Домена, заданного в данном параметре. При совпадении значений и при условии успешного прохождения настроенных факторов, аутентификация считается успешной. При обработке API-запросов на интеграцию (включая проверку второго фактора аутентификации) и прочих операций посредством API, требующих идентификации пользователя, Avanpost FAM принимает исключительно комбинацию логина и Домена пользователя в формате «Домен\логин» (отправка значения Домена осуществляется интегрированной системой). |
Для перехода к следующему шагу требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Шаг 3. Настройки аутентификации
На данном шаге требуется настроить сценарий аутентификации приложения.
Avanpost FAM предлагает следующие вариант:
- создать новый сценарий аутентификации для данного приложения;
- выбрать существующий сценарий аутентификации.
Для установки существующего сценария аутентификации необходимо выбрать один из сценариев в выпадающем списке поля "Выберите процесс аутентификации или создайте новый". Шаги аутентификации, настроенные для выбранного сценария, отобразятся в поле "Шаги" без возможности редактирования.
Для установки нового сценария аутентификации следует выбрать "Новый процесс аутентификации" в выпадающем списке поля "Выберите процесс аутентификации или создайте новый" и настроить количество шагов аутентификации и использующиеся на них факторы.
Путем включения/выключения переключателей есть возможность подключить/отключить для RADIUS-приложения следующие факторы:
Идентификация пользователя;
Внешний провайдер
(доступно при установке переключателя "Идентификация пользователя"
);Script;
Вход по QR-коду;
Внешний провайдер;
Password;
TOTP;
Avanpost Authenticator;
OTP via Email;
SMS;
Telegram.
Для добавления второго и последующего шагов требуется нажать "Добавить шаг".
В каждом шаге должен быть хотя бы один фактор аутентификации. Для продолжения настройки приложения с новым сценарием аутентификации должен быть выбран хотя бы один фактор хотя бы на одном шаге в настраиваемом сценарии.
После создания приложения новому сценарию аутентификации присваивается наименование созданного приложения. Изменение сценария можно осуществить на вкладке "Настройка процессов аутентификации" режима "Сервис"
Для перехода к следующему шагу после настройки сценария требуется нажать "Далее" после установки параметров, для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Шаг 4. Завершение
На данном шаге доступен чекбокс "Сделать приложение активным":
- при установленном флажке приложение включается сразу после создания;
- при выключенном флажке приложение выключено после создания: для включения потребуется нажать в профиле приложения.
Для сохранения приложения требуется нажать "Сохранить", для отказа от создания приложения - "Отмена", для возврата к предыдущему шагу - "Назад".
Настройка RADIUS-приложения
Настройка созданного RADIUS-приложения доступна в его профиле (графическое обозначение в реестре приложений). В профиле осуществляется управление параметрами, общими для всех приложений (описаны в разделе Управление приложениями). Также в профиле осуществляется управление специфическими параметрами RADIUS-приложений во вкладках "Настройки" и "VSA".
Вкладка "Настройки"
Вкладка позволяет осуществлять редактировать настраиваемые атрибуты SAML-приложений и содержит следующие разделы:
- Настройки интеграции;
- Настройки безопасности.
Для внесения изменений в параметры того или иного раздела необходимо нажать в соответствующем разделе. Для сохранения изменений следует нажать "Сохранить" в соответствующем разделе, для отмены изменений - "Отмена".
Вкладка "Настройки" позволяет просматривать и управлять следующими настраиваемыми атрибутами.
Название параметра | Описание параметра |
---|---|
Настройки интеграции | |
IP-адрес как идентификатор | Переключатель "IP-адрес как идентификатор":
Рекомендуется использовать IP-адрес, чтобы идентифицировать конфигурацию единичных сетевых устройств. |
NAS Identifier | RADIUS-атрибут, используемый для идентификации клиента. Текстовое поле доступно для ввода при выключенном переключателе "IP-адрес как идентификатор". Рекомендуется использовать NAS Identifier, чтобы идентифицировать несколько однотипных сетевых устройств. |
NAS IP (Source IP) | IP-адрес, используемый в качестве идентификатора клиента. Текстовое поле доступно для ввода при включенном переключателе "IP-адрес как идентификатор". При некорректном вводе выдается предупреждение. |
Протокол аутентификации | Поддерживаемые протоколы аутентификации:
|
Access-Challenge | Ответ Access-Challenge от сервера на запрос Access-Request от клиента. Access-Challenge происходит, когда серверу RADIUS требуется дополнительная информация в другом запросе Access-Request перед аутентификацией пользователя. Переключатель "Разрешить Access-Challenge" для разрешения ответа Access-Challenge от сервера:
|
Второй фактор | Переключатель "Проверять два фактора за один запрос" для RADIUS-приложений, не поддерживающих сообщения типа Access-Challenge:
|
Символ разделитель факторов | Символ-разделитель факторов, использующийся при проверке двух факторов в одном запросе Access-Request. Текстовая строка доступна при включенном переключателе "Второй фактор". |
Настройки секрета | При нажатии на "Разделяемые секреты RADIUS" открывается вкладка управления секретами RADIUS, т.е. ключами, используемый для аутентификации и шифрования между RADIUS-сервером и RADIUS-клиентом. Более подробная информация о параметре дана в разделе Настройка разделяемых секретов RADIUS. |
Настройки безопасности | |
Настройка сессии | Чекбокс "Ограничивать количество активных сессий":
|
Вкладка "VSA"
Вкладка позволяет управлять специфическими Vendor Specific-атрибутами (VSA) RADIUS-приложения. Атрибуты вендоров определяются вендорами серверов удаленного доступа с целью дополнительной настройки RADIUS-приложений. Использование Vendor Specific-атрибутов позволяет предоставлять пользователям несколько типов прав доступа. VSA можно применять совместно со стандартными атрибутами RADIUS. Атрибуты вендоров не являются обязательными. Однако VSA необходимо добавлять в файл словаря в тех случаях, когда это требуется для правильной работы аппаратного обеспечения NAS.
Более подробная информация о настройке словарей Vendor Specific-атрибутов для RADIUS-приложений в Avanpost FAM дана в разделе Настройка словарей RADIUS VSA (Vendor-Specific Attribute) для RADIUS-приложений.
Для управления VSA приложения требуется нажать в поле "Настройка вычисления VSA". Во вкладке доступна настройка следующих параметров:
- Вендор - Выбрать вендор NAS, к которому обращается приложение (допускается выбрать один вендор);
- Атрибуты - Настройка атрибутов для приложения;
- Настройка словарей VSA - Нажать для перехода во вкладку управления словарями RADIUS VSA.
Выбор атрибутов VSA осуществляется из атрибутов, добавленных в словарь RADIUS VSA данного вендора. После выбора вендора администратор может добавить атрибут нажатием и удалить нажатием . Для каждого VSA осуществляется настройка следующих параметров:
Название атрибута | Значение атрибута |
---|---|
Имя | Имя атрибута - Выбрать из названий атрибутов, настроенных в словаре RADIUS VSA данного вендора |
Тип | Тип атрибута. Выбрать из выпадающего списка:
|
Значение |
|
После настройки VSA следует нажать "Сохранить" для сохранения изменений или "Отмена" для отказа от изменений.