> RADIUS

RADIUS

Один из способов взаимодействия с платформой или сервисом Protectimus — использование протокола RADIUS.

Вам необходимо установить и настроить компонент Protectimus RProxy, а затем настроить политики аутентификации на устройстве или в приложении, которое вы хотите интегрировать с Protectimus (это устройство или приложение должно поддерживать протокол RADIUS):
  1. Запрос на аутентификацию передается по протоколу RADIUS на Protectimus RProxy;
  2. Protectimus RProxy принимает и обрабатывает этот запрос;
  3. Далее Protectimus RProxy обращается к серверу аутентификации Protectimus для проверки одноразового пароля от пользователя.

1. Установите Protectimus RProxy

1.1. Установка Protectimus RProxy на любую ОС

Чтобы получить последнюю версию Protectimus RProxy необходимо обратиться в службу поддержки по адресу [email protected].

Для работы Protectimus RProxy на машине должна быть установлена Java версии 8 или выше.

Для запуска Protectimus RProxy используйте команду:

java -jar RProxy.jar
 

1.2. Установка Protectimus RProxy на Windows

  1. Скачайте инсталлятор On-Premise платформы Protectimus здесь.
  2. Запустите инсталлятор от имени администратора.
  3. Выберите RProxy.

    ВНИМАНИЕ!
    Если вы планируете использовать локальную платформу Protectimus, выберите пункт Platform. Более детальная инструкция по установке On-Premise платформы Protectimus на Windows доступна здесь.

    Если вы планируете использовать облачный сервис Protectimus, снимите галочку с пункта Platform.

Если используете On-Premise платформу Protectimus

Если используете Облачный сервис Protectimus

How to install Protectimus RProxy and Protectimus Platform How to install Protectimus RProxy is you will use the Protectimus Cloud Service
 
  1. На вашей машине должна быть установлена Java (JDK 8 или выше). Нажмите кнопку Install, чтобы проверить наличие Java. Если Java еще не установлена, последняя версия JDK будет установлена автоматически.
How to install Protectimus RProxy - install Java  
  1. Нажмите Next, чтобы продолжить установку.
How to install Protectimus RProxy - update Java and click Next  
  1. Выберите папку для установки компонентов Protectimus и нажмите Install.
How to install Protectimus RProxy - select folder  
  1. После успешной установки, вы увидите это сообщение.
How to install Protectimus RProxy - the installation was successful

2. Зарегистрируйтесь и задайте базовые настройки

  1. Зарегистрируйтесь в Облачном сервисе Protectimus и активируйте API или установите Локальную платформу Protectimus.
  2. Создайте ресурс.
  3. Добавьте пользователей.
  4. Добавьте токены или активируйте Портал самообслуживания пользователей.
  5. Назначите токены пользователям.
  6. Назначте токены с пользователями на ресурс.

3. Настройте Protectimus RProxy

Конфигурирование RProxy выполняется путём задания настроек в файле rpoxy.properties, который должен быть расположен в той же папке, что и запускаемый файл.

Задайте в файле rpoxy.properties следующие значения:

3.1. Настройка RADIUS

radius.secret
Секрет, который будет использоваться прокси-сервером аутентификации и вашим сервером RADIUS.
radius.port
Порт на котором будет запущен RADIUS сервер.
radius.re-enter-otp
Если для параметра radius.re-enter-otp задано значение true (radius.re-enter-otp = true), статический пароль не запрашивается после неудачной проверки OTP-пароля.
 

3.2. Настройка проверки первого фактора аутентификации (статического пароля)

primary-authenticator
Этот параметр указывает, где именно будет проверяться пароль пользователя.

Возможные варианты:
  1. PROTECTIMUS — проверка пароля будет осуществляться на сервисе Protectimus
primary-authenticator = PROTECTIMUS
 
  1. LDAP — пароль будет проверяться на стороне LDAP (AD). Для этого нужно заполнить соответствующие параметры:
ldap.url
Имя хоста или IP-адрес вашего контроллера домена.
ldap.search-base
LDAP DN группы или подразделения, содержащего всех пользователей, которым вы хотите разрешить вход.
ldap.account-name
Название учетной записи домена, у которой есть разрешение на привязку к вашему каталогу и выполнение поиска.
ldap.account-password
Пароль, соответствующий учетной записи домена.
ldap.query-attribute
ldap.principal-attribute
Если вы хотите аутентифицировать пользователя с помощью «sAMAccountName» вместо «userPrincipalName», укажите атрибуты «query-attribute» и «principal-attribute» соответственно.
 
  1. Если проверка пароля не требуется (например сервис поддерживает N фактор), оставьте параметр пустым. В этом случае будет проверяться только OTP.
 

3.3. Настройка подключения к сервису PROTECTIMUS

protectimus.login
Ваш логин в системе PROTECTIMUS.
protectimus.api-key
Ваш ключ API в системе PROTECTIMUS.
protectimus.resource-id
ID ресурса, созданного Вами в системе PROTECTIMUS.
protectimus.api-url
Если Вы используете облачный сервис PROTECTIMUS, укажите следующий API URL: https://api.protectimus.com/

Если Вы используете on-premise платформу Protectimus, API URL будет выглядеть примерно так: protectimus.api.url=http://127.0.0.1:8080/
protectimus.username.normalization
Когда нормализация включена (protectimus.username.normalization = true), любая информация о домене удаляется из имени пользователя, то есть независимо от того, как указано имя пользователя «username», «DOMAIN \ username», или «[email protected]», оно будет преобразовано в одно «username».
 

3.4. Пример конфигурационного файла

#------RADIUS Server------
radius.port = 1812
radius.secret = secret
radius.re-enter-otp = true
primary-authenticator = LDAP

#------Protectimus API------
protectimus.login = [email protected]
protectimus.api-key = apikey
protectimus.resource-id = 1
protectimus.api-url = https://api.protectimus.com/
protectimus.username.normalization = true

#------LDAP-----------------
ldap.account-name = cn=user,dc=example,dc=com
ldap.account-password = password
ldap.url = ldap://localhost:389
ldap.search-base = dc=example,dc=com
ldap.query-attribute = sAMAccountName
ldap.principal-attribute = userPrincipalName


Теперь вам нужно настроить ваше устройство или приложение для связи с Proxy по протоколу RADIUS.

Для настройки используйте radius.port и radius.secret.
Last updated on 2022-02-18