• info@npsav.uz
  • +998 71 207-00-89
Заказать

Настройка устройства NPS AV

  1. Настройка имени устройства и DNS Пройдите в раздел Система -> Настройки -> Общие настройкиПроверьте, чтоб следующие системные настройки были выполнены корректно:
    Имя хоста npsav
    Домен freeipa.local

    В случае, если вы не используете встроенный сервер DNS, такой как Unbound DNS, вам необходимо:

    • Установить флаг Не используйте локальную службу DNS в качестве сервера имен для этой системы
    • В поле DNS-серверы прописать IP адрес контроллера домена FreeIPA (192.168.1.4)

    В случае, если вы используете встроенный сервер DNS, такой как Unbound DNS, вам необходимо согласно документации настроить переадресацию либо всех запросов DNS, либо только прямой и обратной зоны созданного вами домена.

  2. Настройка сетевого времени

    Перейдите в раздел Службы -> Сетевое время -> Общие.

    В поле Серверы времени укажите имя контроллера домена FreeIPA dc.freeipa.local либо IP адрес контроллера домена FreeIPA 192.168.1.4.

    Примечание

    Время на контроллере домена и устройстве NPS AV должно быть синхронизировано.

  3. Настройка LDAP коннектора

    Пройдите в раздел Система -> Доступ -> Серверы, в правом верхнем углу нажмите на кнопку Добавить сервер и задайте следующие настройки:

    Описательное имя freeipa
    Тип LDAP
    Имя хоста или IP-адрес 192.168.1.4
    Значение порта 389
    Транспортный протокол TCP
    Версия протокола 3
    Привязать параметры доступа пусто 1
    Область поиска Уровень: Целое поддерево
    Базовый DN DC=freeipa,DC=local
    Контейнеры для аутентификации cn=users,cn=accounts,dc=freeipa,dc=local
    Начальный шаблон FreeIPA
    Атрибут присвоения имени пользователю uid
    1
    Сервер FreeIPA разрешает анонимную привязку (binding), поэтому данное поле следует оставить пустым. В случае, если вы отключили анонимную привязку (binding), необходимо указать имя и пароль.
  4. Проверка LDAP коннектора

    Пройдите в раздел Система -> Доступ -> Средство проверки

    Выберите в списке созданный нами сервер, введите имя и пароль учетной записи домена.

    Результатом должно быть сообщение об успешной проверке:

    | Пользователь: admin аутентификация прошла успешно
| Этот пользователь состоит в этих группах:
| Атрибуты, полученные от сервера:
| dn => uid=admin,cn=users,cn=accounts,dc=freeipa,dc=local
  5. Настройки веб-прокси
    • В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Основные настройки прокси, установите флаг Включить прокси, если он еще не установлен.
      _images/sso_enable_web_proxy1.png
    • В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Перенаправляющий прокси -> Настройка Аутентификации, в поле Метод аутентификации укажите ваш настроенный LDAP-коннектор.
      _images/sso_proxy_select_ldap1.png
    • В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Перенаправляющий прокси, в меню Основные настройки перенаправления снимите флаг Включить прозрачный HTTP-прокси, если он установлен.

      Примечание

      Использование механизма прозрачного HTTP-проксирования не совместимо ни с одним методом аутентификации. Чтобы использовать аутентификацию Kerberos, данный механизм должен быть выключен.

  6. Установка плагина os-proxy-sso

    Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-sso для его установки.

    После установки плагина os-proxy-sso, в разделе Службы -> Веб-прокси появляется подраздел Технология единого входа (SSO).

  7. Настройка аутентификации по протоколу Kerberos

    7.1 Включите Single Sign On

    В разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, установите флаг Включить Single Sign On.

    В поле Реализация AD Kerberos выберите значение Windows 2008 with AES.

    _images/sso_enable1.png

    Примечание

    При нажатии на кнопку Применить будут произведены следующие действия:

    • происходит автогенерация конфигурационного файла krb5.conf для библиотеки Kerberos
    • модифицируется конфигурационный файл Squid /usr/local/sbin/squid.conf для загрузки хелпера Kerberos-аутентификации negotiate_kerberos_auth
    • производится перезапуск веб-прокси сервера Squid

    7.2 Настройте аутентификацию по протоколу Kerberos

    • Перейдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO) -> Аутентификация по протоколу Kerberos и нажмите кнопку Обновить

      _images/sso_check_kerb1.pngВсе пункты, кроме Файл keytab должны быть отмечены зеленым.

      Если это не так — перепроверьте все шаги.

    • Запустите терминал на контроллере домена FreeIPA (либо воспользуйтесь удаленным подключением с помощью ssh — подключения)
    • Получите билет Kerberos, используя учетную запись администратора домена 
      kinit admin
    • Экспортируйте принципал HTTP в keytab файл: 
      /usr/sbin/ipa-getkeytab -p HTTP/npsav.freeipa.local -k /tmp/squid.keytab
    • Cкопируйте keytab-файл на устройство NPS AV: 
      scp /tmp/squid.keytab root@192.168.1.2:/usr/local/etc/squid/
    • Залогиньтесь терминалом на устройство NPS AV
    • Измените владельца keytab файла: 
      chown root:squid /usr/local/etc/squid/squid.keytab
    • Измените права доступа к keytab файлу: 
      chmod 640 /usr/local/etc/squid/squid.keytab
    • Перейдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO) -> Аутентификация по протоколу Kerberos и нажмите кнопку Обновить.

      Все пункты должны быть отмечены зеленым.

      Если это не так — перепроверьте все шаги.

    • Нажмите кнопку Показать keytab-файл

      Результат должен быть такой:

      Vno  Type                     Principal                          Aliases
1    aes256-cts-hmac-sha1-96  HTTP/npsav.freeipa.local@FREEIPA.LOCAL
1    aes128-cts-hmac-sha1-96  HTTP/npsav.freeipa.local@FREEIPA.LOCAL

    7.3 Проверьте правильность настроек.

    Для этого введите Имя пользователя и Пароль пользователя домена в соответствующие поля и нажмите Проверить вход через Kerberos

    _images/sso_check_result1.png

    В случае, если все настройки были сделаны верно, вы увидите положительный результат проверки, подобный, как на изображении выше.

    7.4 Примените настройки.

    Для этого либо в разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, либо в разделе Службы->Веб-прокси->Администрирование нажмите кнопку Применить

What are your Feelings

Работает на BetterDocs

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Оформление заказа

NPS AV

Заказ звонка

NPS AV

Sinovga buyurtma berish

NPS AV

Qo'ng'iroq buyurtma qilish

NPS AV

Заказать тестирование

NPS AV