Ostatnio wyszukiwane

No recent searches

    Popularne artykuły

      Artykuły
      Wyświetl wszystko
        Wątki
        Wyświetl wszystko
          Zgłoszenia
          Wyświetl wszystko
            brak wyników

            Niestety nie znaleźliśmy wyników dla

            Jak wdrożyć uwierzytelnianie wieloskładnikowe (MFA) tylko dla wybranych grup użytkowników usługi Active Directory?

            Zmodyfikowano dnia wt, 10 Wrz o 7:08 RANO

            Jeśli chcesz wdrożyć uwierzytelnianie wieloskładnikowe (MFA) dla określonych grup użytkowników usługi Active Directory (AD) i mieć pewność, że tylko ci użytkownicy będą oznaczeni jako Active (Aktywny) w konsoli Rublon Admin Console (co spowoduje zużycie licencji), wykonaj następujące kroki.


            Zacznim zaczniesz

            Rublon Authentication Proxy to aplikacja, którą możesz zainstalować na systemie Windows lub Linux. Umożliwia ona włączenie uwierzytelniania wieloskładnikowego (MFA) dla usług obsługujących protokoły RADIUS i LDAP(S). Pozwala również na synchronizację użytkowników z usługi Active Directory do konsoli administracyjnej Rublon Admin Console. To właśnie z tej ostatniej funkcjonalności będziemy korzystać w tym artykule.


            Wymagania wstępne:

            • Pobierz i zainstaluj usługę Rublon Authentication Proxy. Nie musisz konfigurować usługi Auth Proxy per se. Musisz ją tylko przygotować do synchronizacji z usługą Active Directory. Więcej informacji znajdziesz w artykule How to synchronize users from Active Directory using Directory Sync.

            • Upewnij się, że usługa Active Directory jest skonfigurowana jako źródło uwierzytelniania w konfiguracji usługi Auth Proxy.


            Krok 1: Otwórz plik konfiguracyjny Rublon Authentication Proxy

            Znajdź i otwórz plik konfiguracyjny Rublon Authentication Proxy. Ten plik nosi nazwę config.json lub config.yaml, w zależności od wyboru dokonanego podczas konfigurowania usługi Auth Proxy.

            • W przypadku systemu Windows, plik konfiguracyjny znajduje się w katalogu:
              C:\Program Files\Rublon Auth Proxy\config\config.yaml

            • W przypadku systemu Linux, plik można znaleźć w:
              /etc/rublonauthproxy/config/config.yaml

            Jeśli plik jeszcze nie istnieje, możesz go utworzyć, korzystając z jednego z szablonów znajdujących się w folderze rublonauthproxy/config/examples. Zalecamy użycie formatu YAML dla pliku konfiguracyjnego.


            Krok 2: Skonfiguruj synchronizację AD dla wybranych grup użytkowników

            1. W pliku konfiguracyjnym Auth Proxy dodaj sekcję directory_sync.


            2. Ustaw opcję enabled na true, aby włączyć synchronizację katalogów.


            3. Ustaw opcję source_type na ad.


            4. Zdefiniuj swoje grupy AD w polu group_dns, podając ich pełne nazwy Distinguished Name (DN). Są to grupy AD, których członkowie będą musieli przejść przez uwierzytelnianie wieloskładnikowe. Tylko ci użytkownicy będą synchronizowani jako aktywni w platformie Rublon i będą zużywać licencje.


            5. Oto przykładowa konfiguracja (w YAML):

            directory_sync:
  enabled: true
  auth_source: EXAMPLE_AD
  source_type: ad
  group_dns:
    - cn=some-group,dc=example,dc=org
    - cn=some-group2,dc=example,dc=org

auth_sources:
  - name: EXAMPLE_AD
    type: LDAP
    ip: localhost
    port: 636
    transport_type: ssl
    search_dn: dc=example,dc=org
    access_user_dn: cn=admin,dc=example,dc=org
    access_user_password: some-very-hard-password

rublon:
  rublon_api: https://core.rublon.net
  rublon_token: ABC
  rublon_secret: def


            Ważne jest, aby poprawnie zdefiniować parametr search_dn. Jest to główna nazwa wyróżniająca (Distinguished Name), od której rozpocznie się przeszukiwanie katalogu. Zazwyczaj jest to pełna kwalifikowana nazwa domeny (FQDN) Twojej firmy w usłudze Active Directory. (Zobacz: Jak znaleźć wartość FQDN dla serwera Active Directory (parametr search_dn w konfiguracji usługi Rublon Auth Proxy)?). Użytkownicy są najpierw wyszukiwani na podstawie wartości search_dn ustawionej w źródle uwierzytelniania w sekcji auth_sources. Dopiero po tym następuje sprawdzenie przynależności do grup wymienionych w group_dns.


            Krok 3 (opcjonalny): Uruchom synchronizację katalogów ręcznie

            Po edycji i zapisaniu pliku konfiguracyjnego możesz ręcznie uruchomić synchronizację katalogów, aby przetestować konfigurację. W przeciwnym razie trzeba poczekać na godzinę, na którą serwer Auth Proxy zaplanował synchronizację.


            • Dla systemu Windows: Otwórz katalog Rublon Auth Proxy/bin i kliknij dwukrotnie plik rublon-directorysync.exe
            • Dla systemu Linux: Uruchom plik rublonauthproxy/bin/rublon-directorysync.exe


            Krok 4: Zapisz i uruchom ponownie usługę Rublon Authentication Proxy

            Po edycji i zapisaniu pliku konfiguracyjnego, uruchom ponownie usługę Rublon Authentication Proxy, aby zastosować zmiany.

            • Na systemie Windows, otwórz wiersz polecenia jako Administrator i wykonaj polecenia:
              net stop rublonauthproxy
              net start rublonauthproxy

            • Na systemie Linux, użyj następującego polecenia:
              sudo systemctl restart rublonauthproxy


            Krok 5: Ustaw typ rejestracji dla nieznanych użytkowników

            Aby uniemożliwić użytkownikom spoza wybranych grup AD wykorzystywanie licencji i nie wymagać od nich uwierzytelniania MFA, skonfiguruj sposób obsługi nieznanych użytkowników przez platformę Rublon:


            1. Zaloguj się do konsoli Rublon Admin Console.


            2. Przejdź do zakładki Settings (Ustawienia).


            3. Ustaw opcję Enrollment Type (Typ rejestracji) na Manual (Ręczny), a następnie opcję Handling of unknown users (Obsługa nieznanych użytkowników) na Bypass (Pomijanie). Dzięki temu użytkownicy niezsynchronizowani z określonych grup AD pominą uwierzytelnianie MFA i nie będą aktywni w platformie Rublon, a zatem nie będą korzystać z licencji.


            Krok 6: Sprawdź konfigurację

            1. W konsoli Rublon Admin Console przejdź do zakładki Users (Użytkownicy), aby upewnić się, że tylko użytkownicy z wybranych grup AD (określonych w group_dns) zostali dodani do konsoli Admin Console ze statusem ustawionym na Active (Aktywny).



            Jeśli użytkownik, który nie należy do żadnej z wybranych grup użytkowników AD, spróbuje się zalogować, zostanie pominięty (uwierzytelnianie MFA zostanie pominięte). Taki użytkownik nie zostanie dodany do zakładki Users (Użytkownicy) w konsoli Rublon Admin Console i nie zużyje licencji.

            2. Przejdź do zakładki Groups (Grupy) i upewnij się, że grupy AD są zsynchronizowane.

            Pomocne linki

            Rublon Authentication Proxy - Pobieranie

            Rublon Authentication Proxy - Dokumentacja

            Jak znaleźć wartość FQDN dla serwera Active Directory (parametr search_dn w konfiguracji usługi Rublon Auth Proxy)?

            How to synchronize users from Active Directory using Directory Sync

            Czy ten artykuł był pomocny?

            To wspaniale!

            Dziękujemy za opinię

            Przepraszamy, że nie udało nam się pomóc!

            Dziękujemy za opinię

            Daj nam znać, jak możemy ulepszyć ten artykuł!

            Wybierz co najmniej jeden powód
            Wymagana weryfikacja captcha.

            Wysłano opinię

            Doceniamy Twój wysiłek i postaramy się naprawić artykuł

            Podgląd
            0 z 0