Приложение А. Конфигурация шлюза RADIUS
Конфигурация шлюза RADIUS задается в файлах конфигурации. Эти файлы входят в состав установочного образа FRA. Файлы состоят из строк с параметрами и их значениями.
Файл config.ini
В файле хранятся настройки для подключения агента RADIUS к серверам аутентификации.
Если закомментировать символом # или удалить какой-то из параметров, то для него будет взято значение по умолчанию (то, что задано в эталонном файле, который поставляется вместе с образом FRA).
Подключение к серверу аутентификации
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
sas_address_<номер сервера> | IP-адрес и порт сервера аутентификации | sas_address_<номер сервера>= <IP-адрес>:[<номер порта>] | Отправлять запросы аутентификации на сервер <номер сервера> по адресу <IP-адрес> на порт <номер порта> (по умолчанию 443) | sas_address_1= mfa.indeed-cloud.ru |
Проверка подлинности
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
verify_ssl | Использовать файл корневого сертификата для проверки подлинности серверов аутентификации | verify_ssl= yes \| no | Использовать/не использовать верификацию сертификата | verify_ssl= yes |
Обход аутентификации
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
bypass_request | Включить функцию прерывания запроса на сервер аутентификации | bypass_request= yes \| no | Активировать функцию обхода запроса | bypass_request= yes |
bypass_response_success | Значение по умолчанию при включённом bypass | bypass_response_success= yes \| no | При yes — возвращается Access-Accept, при no — Access-Reject | bypass_response_success= yes |
Предварительная аутентификация
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
enable (раздел [preauth]) | Включить предварительную аутентификацию на стороне агента | enable= yes \| no | Включить/выключить функцию предварительной аутентификации | enable= yes |
rule[] | Правила предварительной аутентификации | [IP-адреса];[LDAP группы];[логическая операция];[тип аутентификатора];[тип операции] | Настройка правил по шаблону | rule[]=;;;;4, rule[]=10.0.0.100;VPN1,VPN2;0;t;2 |
Настройки LDAP
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
enable (раздел [ldap]) | Включить LDAP-аутентификацию | enable= yes \| no | Активировать/деактивировать LDAP-аутентификацию | enable= yes |
ldap_server_1 | Адрес основного сервера LDAP | ldap_server_1=<адрес сервера> | Первый LDAP-сервер | ldap_server_1= 10.79.63.100 |
ldap_server_2 | Адрес резервного сервера LDAP | ldap_server_2=<адрес сервера> | Второй LDAP-сервер | ldap_server_2= 10.79.63.101 |
ldap_timeout | Тайм-аут подключения к LDAP | ldap_timeout=<значение в секундах> | Время ожидания подключения к LDAP | ldap_timeout= 10 |
timeout_to_restore_to_first_ldap | Тайм-аут возврата к первому серверу LDAP | timeout_to_restore_to_first_ldap= <значение в секундах> | Повторять попытки подключения к первому серверу LDAP через каждые <значение> секунд | timeout_to_restore_to_first_ldap= 180 |
ldap_ssl | Использовать протокол LDAPS | ldap_ssl=<yes \| no> | Использовать LDAPS / LDAP | ldap_ssl= yes |
ldap_port | Порт сервера LDAP | ldap_port= <номер порта> | Указать порт сервера LDAP | ldap_port= 389 |
login | Имя учетной записи DN для подключения к LDAP | login=<DN запись> | Учетная запись для подключения к LDAP | login= CN=Service,OU=SERVICE,DC=MFASOFT,DC=LOCAL |
password | Пароль для подключения к LDAP | password=<строка> | Пароль учетной записи | password= QAZwsx22! |
ldap_scheme | Схема работы с LDAP | ldap_scheme=<active_directory \| freeipa> | Выбор схемы LDAP | ldap_scheme= active_directory |
ldap_group_name_field | Поле объекта LDAP, содержащее имя группы | ldap_group_name_field=<имя группы> | Имя поля, определяющего имя группы | ldap_group_name_field= cn |
ldap_login_field | Поле объекта LDAP, содержащее логин пользователя | ldap_login_field=<идентификатор пользователя> | Имя поля, определяющего логин | ldap_login_field= sAMAccountName |
otp_digits | Число символов в одноразовом коде | otp_digits=<число символов> | Количество символов в OTP-токене | otp_digits= 6 |
ldap_prefix | Расположение пароля в комбинации с одноразовым кодом | ldap_prefix=<yes \| no> | Пароль в начале строки (yes) или после кода (no) | ldap_prefix= yes |
Отправка сообщений на сервер syslog
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
enable (раздел [syslog]) | Включить отправку сообщений о недоступности в syslog | enable= yes \| no | Активировать/деактивировать функцию | enable= yes |
syslog_address_<номер сервера> | Адрес сервера syslog | syslog_address_<номер сервера> = <адрес сервера> | Задать адрес сервера syslog | syslog_address_1= 10.0.0.22 |
syslog_port_<номер сервера> | Порт сервера syslog | syslog_port_<номер сервера>= <номер порта> | Задать порт сервера syslog | syslog_port_1= 514 |
Файл clients.conf
В этом файле хранятся настройки для подключения клиентов RADIUS к серверу FreeRADIUS, который входит в состав шлюза. Ниже перечислены только параметры, которые имеют отношение к настройке шлюза RADIUS.
Настройки клиентов
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
client <условное имя> | Название раздела клиента | client <условное имя> | Назвать раздел <условное имя> | client gateway{ |
ipaddr | IPv4-адрес клиента RADIUS | ipaddr=<адрес IPv4> | Принимать запросы от целевого ресурса с адресом <адрес IPv4> | ipaddr= 10.0.0.10 |
secret | Общий секрет RADIUS | secret=<секрет> | Использовать общий секрет <секрет> | secret=$Secret1 |
enable (раздел [ip_forward]) | Включить проброс IP-адреса клиента | enable= yes \| no | Включить/выключить проброс IP-адреса | enable= yes |
Режим миграции
| Параметр | Описание параметра | Формат | Описание формата | Примеры |
|---|---|---|---|---|
enable (раздел [radius_migration_mode]) | Включить режим миграции | enable= yes \| no | Включить/выключить режим миграции | enable= yes |
radius_host_<номер сервера> | IP-адрес стороннего сервера RADIUS | radius_host_<номер сервера>= <IP-адрес> | Перенаправлять запросы на сервер <номер сервера> | radius_host_1= 10.0.0.20 |
radius_port_<номер сервера> | Порт стороннего сервера RADIUS | radius_port_<номер сервера>= <номер порта> | Перенаправлять запросы на порт <номер порта> | radius_port_1= 1812 |
shared_secret_<номер сервера> | Общий секрет с сервером RADIUS | shared_secret_<номер сервера>= <секрет> | Использовать общий секрет <секрет> | shared_secret_1=$Secret1 |
timeout_radius | Тайм-аут переключения на второй сервер RADIUS | timeout_radius=<значение> | Переключаться на второй сервер, если первый недоступен более <значение> секунд | timeout_radius= 5 |
timeout_to_restore_to_first_radius | Тайм-аут возврата к первому серверу RADIUS | timeout_to_restore_to_first_radius= <значение> | Повторять попытки подключения к первому серверу через каждые <значение> секунд | timeout_to_restore_to_first_radius= 180 |