База знаний
2021-12-07 12:42 База знаний ACS

Настройка внешнего сервера аутентификации для учетных данных ACS

В качестве централизованного сервера управления ACS позволяет интегрировать внешний сервер RADIUS / LDAP для аутентификации при входе в систему. В этой статье показано, как настроить внешний сервер LDAP.


Настройка по умолчанию для внешней учетной записи
Начиная с версии 2.5.0, ACS допускает использование разных внешних серверов для каждой группы пользователей.
Однако обратите внимание на настройку по умолчанию учетной записи пользователя, которая аутентифицируется на внешнем сервере:
  • Default user role: Оператор только для просмотра
  • Default user group: 
Если учетные данные аутентифицированы на сервере профиля «Все группы пользователей», пользователь получит сообщение «Срок действия группы пользователей истек», когда он попытается войти в ACS в первый раз. Таким образом, пользователю может потребоваться запросить системного администратора назначить пользователя группа после 1-го входа в систему.
Если учетные данные аутентифицированы на сервере определенной группы пользователей, у пользователя будет группа пользователей по умолчанию, когда он попытается войти в ACS в первый раз.

Блок-схема с другим URL-адресом для входа
Обычно URL-адрес входа в ACS - https: // <IP>: <port> / web / # / login.
ACS сначала аутентифицируется в своей базе данных MySQL. Если он не совпадает, запрос аутентификации будет отправлен на внешний сервер аутентификации группы All User.

Если мы добавим имя группы пользователей в URL, например, https: // <IP>: <port> / web / # / login / RootGroup
ACS сначала отправит запрос аутентификации на внешний сервер RootGroup. Если он не совпадает, запрос будет отправлен на внешний сервер группы «Все пользователи».

Настройка внешнего сервера аутентификации

1. Войдите в ACS с учетной записью системного администратора и перейдите на страницу Пользователь> Внешний сервер аутентификации.
Выберите группу пользователей, для которой вы хотите включить внешнюю аутентификацию.

2. Настройте подробную информацию о внешнем сервере аутентификации.
ACS поддерживает AD / LDAP и RADIUS в качестве типа сервера аутентификации, вы также можете следовать этой статье, чтобы использовать маршрутизатор Vigor в качестве сервера RADIUS. Однако из соображений безопасности рекомендуется использовать LDAP, если ваш сервер находится в Интернете.

После завершения настройки нажмите кнопку «Save», чтобы сохранить профиль.

3. Обратитесь к блок-схеме с другим URL-адресом входа, теперь мы можем войти в ACS с учетными данными внешнего сервера аутентификации.

4. При успешном входе в систему системный администратор увидит новую учетную запись:
  • Роль пользователя по умолчанию - Оператор только для просмотра.
  • Группа пользователей по умолчанию - это группа пользователей FAE, поскольку учетные данные аутентифицированы на внешнем сервере группы «FAE».