Раздел Серверы аутентификации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+, NTLM, SAML IDP. Настройка серверов аутентификации производится на уровне users auth-servers и будет рассмотрена далее в соответствующих разделах.

Для сброса авторизации пользователя по IP-адресу используется команда:

Admin@UGOS# set settings usersession terminate <ip>

Настройка LDAP-коннектора

Настройка LDAP-коннектора производится на уровне users auth-servers ldap.

Для создания LDAP-коннектора используется команда:

Admin@UGOS# create users auth-servers ldap

Далее необходимо указать следующие параметры:

Параметр	Описание
name	Имя LDAP-коннектора.
enabled	Включение/отключение сервера аутентификации.
description	Описание LDAP-коннектора.
ssl	Определяет: on — использование SSL-соединения для подключения к LDAP-серверу. off — подключение к LDAP-серверу без использования SSL-соединения.
address	IP-адрес контроллера или название домена LDAP.
bind-dn	Имя пользователя, которое будет использоваться для подключения к серверу; указывается в формате DOMAIN\username или username@domain. Пользователь должен быть заведён в домене.
password	Пароль пользователя для подключения к домену.
domains	Список доменов, которые обслуживаются указанным контроллером домена.
search-roots	Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. Если пути поиска не указаны, то поиск производится по всему каталогу, начиная от корня.

Команда для обновления информации о существующем LDAP-коннекторе имеет следующую структуру:

Admin@UGOS# set users auth-servers ldap <ldap-server-name>

Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора.

Для удаления LDAP-коннектора используется команда:

Admin@UGOS# delete users auth-servers ldap <ldap-server-name>

Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:

domains.
search-roots.

Структура команды для отображения информации о LDAP-коннекторе:

Admin@UGOS# show users auth-servers ldap <ldap-server-name>

Настройка RADIUS-сервера

Настройка RADIUS-сервера производится на уровне users auth-servers radius.

Для создания сервера аутентификации RADIUS используется команда со следующей структурой:

Admin@UGOS# create users auth-servers radius

Далее необходимо указать следующие параметры:

Параметр	Описание
name	Имя RADIUS-сервера.
enabled	Включение/отключение сервера аутентификации.
description	Описание сервера аутентификации.
secret	Общий ключ, используемый протоколом RADIUS для аутентификации.
addresses	IP-адрес и UDP-порт, на котором сервер RADIUS слушает запросы (по умолчанию порт 1812); указывается в формате <ip:port>.

Следующая команда используется для обновления информации о сервере RADIUS:

Admin@UGOS# set users auth-servers radius <radius-server-name>

Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.

Для удаления сервера:

Admin@UGOS# delete users auth-servers radius <radius-server-name>

Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:

addresses.

Структура команды для отображения информации о RADIUS-сервере:

Admin@UGOS# show users auth-servers radius <radius-server-name>

Настройка сервера TACACS+

Настройка сервера TACACS+ производится на уровне users auth-servers tacacs.

Для создания сервера аутентификаци TACACS+ используется команда со следующей структурой:

Admin@UGOS# create users auth-servers tacacs

Далее необходимо указать следующие параметры:

Параметр	Описание
name	Имя сервера TACACS+.
enabled	Включение/отключение сервера.
description	Описание сервера аутентификации.
secret	Общий ключ, используемый протоколом TACACS+ для аутентификации.
address	IP-адрес сервера TACACS+.
port	UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию. По умолчанию это порт UDP 1812.
single-connection	Использовать одно TCP-соединение для работы с сервером TACACS+.
timeout	Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды.

Следующая команда используется для обновления информации о сервере TACACS+:

Admin@UGOS# set users auth-servers tacacs <tacacs-server-name>

Для удаления сервера:

Admin@UGOS# delete users auth-servers tacacs <tacacs-server-name>

Структура команды для отображения информации о сервере TACACS+:

Admin@UGOS# show users auth-servers tacacs <tacacs-server-name>

Настройка сервера NTLM

Настройка сервера NTLM производится на уровне users auth-servers ntlm.

Для создания сервера аутентифификации NTLM используется команда со следующей структурой:

Admin@UGOS# create users auth-servers ntlm

Далее необходимо указать следующие параметры:

Параметр	Описание
name	Имя NTLM-сервера.
enabled	Включение/отключение сервера аутентификации.
description	Описание сервера аутентификации.
win-domain	Имя домена Windows.

Следующая команда используется для обновления информации о NTLM-сервере:

Admin@UGOS# set users auth-servers ntlm <ntlm-server-name>

Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера аутентификации.

Для удаления сервера:

Admin@UGOS# delete users auth-servers ntlm <ntlm-server-name>

Структура команды для отображения информации о сервере NTLM:

Admin@UGOS# show users auth-servers ntlm <ntlm-server-name>

Настройка сервера SAML IDP

Настройка сервера SAML IDP производится на уровне users auth-servers saml-idp.

Для создания сервера аутентификации SAML IDP используется следующая команда:

Admin@UGOS# create users auth-servers saml-idp

Далее необходимо указать следующие параметры:

Параметр	Описание
name	Название сервера SAML IDP.
enabled	Включение/отключение сервера аутентификации.
description	Описание сервера аутентификации.
metadata-url	URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML.
certificate	Сертификат, который будет использован в SAML-клиенте.
sso-url	URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.
sso-binding	Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.
slo-url	URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.
slo-binding	Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации.