Firepass与Radius认证的配合.docx
《Firepass与Radius认证的配合.docx》由会员分享,可在线阅读,更多相关《Firepass与Radius认证的配合.docx(9页珍藏版)》请在冰豆网上搜索。
Firepass与Radius认证的配合
Firepass与Radius认证的配合:
动态组映射
Scenario:
用户帐号管理及认证由现有的Radius(CiscoSecureACS)来做;授权由Firepass来做。
测试环境:
Radius服务器:
组f5test:
用户test
组f5test1:
用户test1
现在通过在Firepass上建立动态组映射的方式把Radius服务器上不同的组的用户映射到Firepass上的不同主干组,从而达到用户帐号管理及认证完全由Radius来做,而Firepass通过不同主干组及动态组映射来实现对Radius上的不同用户进行不同授权。
具体步骤如下:
在Firepass上先建立两个主干组及不同的资源组,资源组是用来授权的,将不同的资源组关联到不同的组干组,这样,不同的主干组里的成员就有不同的访问权限了。
如下两图:
主干组:
Radius_group3:
将关联资源组default_resource(配置了网络访问及门户访问的权限)
Radius_group4:
将关联资源组resource_group1(只有门户访问的权限)
两个主干组验证都选择”Radius”,用户选”外部的”
到具体的主干组里进行配置,如radius_group3
“常规”选项里:
默认在没有配置动态组映射时,“将用户分配到组”里的选项默认是:
手动或通过用户导入”,而配置了Radius动态组映射后,你将看到的是”通过动态组映射”并成为不可改动项.
启用动态资源组分配.
验证选项配置如下:
其中服务器:
输入Radius服务器IP,共享机密由Radius管理员提供给你.
选择相应的资源组.
开始建立动态组映射:
添加"Radius"的映射方式,如下
请求配置里:
组信息里
Radius属性里输入:
25的值.单个组群.不明白"25"是什么意思对吧,别急,请马上按Firepass管理界面里右上角的”帮助". F5Firepass的中文在线帮助简直是太可爱了!
几乎所有的疑问,通过看看在线帮助,就明白了,写得太好太详细了.里面详细地告诉你了:
在Radius属性框里是输入一个数值-Radius的IETF属性值,例如输入组的Class属性值为25.如下图帮助页面的截图.这样,后面的主映射表里就用相关的不同Radius组的Class里赋予的不同值来区分出来自于不同的Radius组的用户,然后映射到相应的Firepass主干组.当然,你也可以根据其他的如Filter-id,VendorSpecific等的组的属性值来区分.
同时,帮助里也同样有LDAP,AD,Certificate,URI等方式的相关帮助.请多用在线帮助.
这就是Radius里的组的属性页面,我们在Radius的f5test组里的[025]Class属性框里输入值123,在f5test1组里输入321,后面将用来区分来自于他们的用户.
主映射表的设置:
添加主映射:
左边Radius组框输入Radius组的属性里Class框里定义的值,右边选项应映射到的Firepass组干组.
设好后,可以在测试框里进行快速测试,如图测试test用户,
在测试的返回窗口里,你可以看到,test的测试result是"found”,表明设置正确.大功告成,这时,你就可以用这些用户进行Firepasslogin测试,看看是否按你的授权来走了.
StevenZheng/2006-10-20
升级会员 