AAA

Общие сведения об AAA

Конфигурация AAA описывает настройку аутентификации пользователя Termidesk Connect со стороны клиента и способа передачи данных Реальному Серверу, в том числе с использованием внешних AAA-сервисов.

В конфигурацию AAA входят настройки компонентов:

  • AAA-Сервер – совокупность параметров взаимодействия с сервером аутентификации и авторизации;

  • AAA-Профиль – совокупность параметров аутентификации пользователей, таких как количество попыток входа, порядок выбора серверов аутентификации и другое;

  • SSO-Профиль – совокупность параметров перенаправления учетной записи пользователя на Реальный Сервер.

AAA-Серверы

Создание и настройка AAA-Сервера выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. AAA).

В текущей версии Termidesk Connect доступна поддержка только LDAP-протокола для AAA-Сервера.

Для добавления AAA-Сервера выполнить:

Описание параметров также приведено в подразделе Объект aaa.

  • создание AAA-Сервера:

set aaa server <имя>

  • указание адреса для подключения к службе каталогов (LDAP):

set aaa server <имя> LDAP domain <адрес>

  • указание порта (по умолчанию – 389):

set aaa server <имя> LDAP port <порт>

  • указание времени (в секундах) ожидания авторизации (по умолчанию – 30):

set aaa server <имя> LDAP timeout <время>

  • указание корневой точки службы каталогов:

Пример значения параметра: DC=myserver,DC=local. 
set aaa server <имя> LDAP base-dn <корневая_точка>

  • указание полного имени учетной записи администратора службы каталогов:

Пример значения параметра: CN=Administrator,CN=Users,DC=example,DC=ru. 
set aaa server <имя> LDAP administrator-bind-dn <имя_учетной_записи>

  • указание пароля для соединения со службой каталогов:

set aaa server <имя> LDAP password <пароль>

  • указание атрибута группы:

Пример значения параметра: memberOf. 
set aaa server <имя> LDAP group-attribute <атрибут_группы>

  • (опционально) указание Клиентского SSL-Профиля для подключения:

set aaa server <имя> LDAP ssl-profile-id <имя_профиля>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

AAA-Профили

Создание и настройка AAA-Профиля выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. AAA).

Для добавления AAA-Профиля выполнить:

Описание параметров также приведено в подразделе Объект aaa.

  • создание AAA-Профиля:

set aaa profile <имя>

  • включение или выключение аутентификации пользователя (по умолчанию – true):

Возможные значения:

  • true – выполняется аутентификация пользователя с проверкой учетных данных. Пользователь должен предоставить корректное имя и пароль;

  • false – проверка пароля не выполняется. Для запроса атрибутов пользователя у сервера аутентификации используется только его имя (например, полученное из SSL-сертификата).

 
set aaa profile <имя> authentication <true/false>

  • указание пространства имен пользователя для аутентификации:

set aaa profile <имя> realm <пространство_имен>

  • указание времени (в секундах) жизни аутентификационной cookie (значение от 1 до 86400, по умолчанию – 600):

set aaa profile <имя> cookie-ttl <время_жизни>

  • настройка параметров блокирования пользователя при неуспешной аутентификации:

    Если пользователь в течение в течение времени attempt-ttl сделает неудачные попытки аутентификации в количестве attempts, то он будет заблокирован на время blocking-ttl.

    • указание периода (в секундах), в течение которого подсчитываются неудачные попытки аутентификации (значение от 1 до 86400, по умолчанию – 600):

      set aaa profile <имя> attempt-ttl <период>

    • указание количества неудачных попыток аутентификации (значение от 1 до 255, по умолчанию – 3):

      set aaa profile <имя> attempts <количество_попыток>

    • указание времени (в секундах) до блокировки (значение от 1 до 86400, по умолчанию – 600):

      set aaa profile <имя> blocking-ttl <время_блокировки>

  • указание имени аутентификационной cookie (по умолчанию – TC-AAC):

Имя аутентификационной cookie – это уникальный идентификатор cookie, который Termidesk Connect использует для поиска и валидации сессии. 
set aaa profile <имя> cookie-name <имя_cookie>

  • указание атрибутов аутентификационной cookie:

Пример атрибутов: SameSite=Strict; HttpOnly. 
set aaa profile <имя> cookie-attr <атрибуты_cookie>

  • настройка привязки AAA-Сервера:

    Для одного AAA-Профиля может быть задано несколько AAA-Серверов. В случае недоступности одного AAA-Сервера осуществляется переход на другой.

    • указание порядкового номера привязки настроенного AAA-Сервера:

      set aaa profile <имя> servers <порядковый_номер>

    • указание имени настроенного AAA-Сервера:

      set aaa profile <имя> servers <порядковый_номер> server-id <AAA-Сервер>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write

SSO-Профили

Создание и настройка SSO-Профиля выполняется одним из способов:

  • из интерфейса командной строки Termidesk Connect;

  • из веб-интерфейса Termidesk Connect (см. подраздел Веб. AAA).

Для добавления SSO-Профиля выполнить:

Описание параметров также приведено в подразделе Объект aaa.

  • создание SSO-Профиля:

set aaa sso-profile <имя>

  • указание типа аутентификации (т.е. как данные пользователя передаются на Реальный Сервер):

Возможные значения типа аутентификации:

  • BASIC – базовый алгоритм аутентификации;

  • OFF – данные аутентификация не передаются.

 
set aaa sso-profile <имя> <тип_аутентификации>

  • применение конфигурации:

commit

  • сохранение конфигурации:

write