Настройка Freeradius
Для настройки компонента Freeradius выполните следующее:
- Укажите необходимые значения для переменных в файле .env.
- Укажите адреса клиентов сервера Freeradius.
- Создайте новые каталоги в каталоге, где расположен файл docker-compose.yml.
Настройка переменных
Перед настройкой скопируйте файл .example-env (расположен в распакованном архиве в каталоге Indeed AM Linux 9.0\ea-freeradius-<номер версии>), переименуйте в .env.
В файле .env укажите значения переменных:
| Переменная | Значение |
|---|---|
RADIUS_TAG | Укажите тег образа Docker, полученный при распаковке архива Freeradius через команду sudo docker load -i <имя архива>. Вы можете просмотреть тег после импорта образа через команду sudo docker images. |
RAD_UID | Идентификатор пользователя, под которым будет работать сервис. Важно, чтобы идентификатор не совпадал с идентификаторами локальных пользователей хоста. |
RAD_GID | Идентификатор группы пользователя, под которым будет работать сервис. Важно, чтобы идентификатор не совпадал с идентификаторами локальных пользователей хоста. |
INDEED_AM_URI | Адрес Core Server |
INDEED_AM_VALIDATE_CERT | Укажите, будет ли проверяться сертификат Core Server. Значение по умолчанию false. Рекомендуется указать true. |
INDEED_AM_CA_CERT_PATH | Путь внутри контейнера к каталогу с сертификатами сервера. |
INDEED_AM_CA_CERT_FILE | Путь внутри контейнера к файлу с сертификатом сервера для монтирования каталога в гостевой каталог. |
LDAP_SERVER | IP-адрес сервера LDAP. Если указан, то первый фактор аутентификации будет проверяться на сервере LDAP. |
LDAP_PORT | Порт сервера Active Directory. По умолчанию используется 389. Для соединения по протоколу LDAPS используйте 636. |
LDAP_IDENTITY | Distinguished Name пользователя домена, от имени которого будет выполняться запрос к каталогу пользователей. |
LDAP_PASSWORD | Пароль пользователя, указанного в переменной LDAP_IDENTITY. |
LDAP_BASE_DN | Путь к каталогу с целевыми пользователями. |
LDAP_CERT | Имя доменного сертификата, который помещается в каталог common_certs. Используется для установки соединения по протоколу LDAPS с сервером Active Directory. Если используется LDAP, то переменную необходимо закомментировать. |
AM_PUSH_TIMEOUT_SEC | Период ожидания получения push-уведомления для провайдеров Indeed Key и Indeed Telegram. |
AM_DEBUG | Запуск в режиме отладки, выводятся отладочные сообщения, модуль запускается в однопоточном режиме. Для включения раскомментируйте переменную. |
AM_MT_DEBUG | Запуск в режиме отладки, выводятся отладочные сообщения, модуль запускается в многопоточном режиме. Переменная имеет приоритет над AM_DEBUG. |
Настройка клиентов
Скопируйте файл example-clients.conf (расположен в распакованном архиве в каталоге Indeed AM Linux 9.0\ea-freeradius-<номер версии>), переименуйте его в clients.conf.
В файле clients.conf укажите адреса клиентов (поддерживается формат IPv4), которые будут подключаться к серверу Freeradius, и секретные ключи. В файле уже есть примеры адресов, вы можете отредактировать их или создать новые. При создании новых учитывайте формат client NAME, client NAME_WITH_SPACE. Подробнее о файле clients.conf вы можете узнать в документации FreeRADIUS.
Создание каталогов
В каталоге Indeed AM Linux 9.0\ea-freeradius-<номер версии> рядом с файлом docker-compose.yml создайте новые каталоги common_certs, radius_certs, logs с помощью команды:
sudo mkdir common_certs radius_certs logs
Далее выполните следующее:
В каталог common_certs положите доменный сертификат в формате Base-64 с именем файла, которое вы указали в переменной
LDAP_CERT.Настройте права владельца для пользователя UID и GID, которого вы указали в переменных
RAD_UIDиRAD_GID:ИнформацияДопустимые права: 755 (-rwxr-xr-x) или 775 (-rwxrwxr-x).
sudo chown <RAD_UID:RAD_GID> ./*
Запуск
Чтобы создать и запустить контейнер, используйте следующую команду:
sudo docker-compose up -d
После запуска настройте интеграцию с бизнес-приложениями в Management Console.