Documentación de Oracle Cloud Infrastructure

Configuración del proxy RADIUS

El servicio de autenticación remota telefónica de usuario (RADIUS) es un protocolo de red que define reglas y convenciones para la comunicación entre dispositivos de red. El proxy RADIUS autentica y autoriza usuarios o dispositivos y también realiza un seguimiento del uso de esos servicios.

Rol o política necesarios

Para configurar y validar el proxy RADIUS, debe tener uno de los siguientes permisos de acceso:
  • Ser miembro del grupo Administradores
  • Tener otorgado el rol de administrador de dominio de identidad o de administrador de seguridad.
  • Ser miembro de un grupo que tiene otorgada la gestión (manage) de dominios

Para conocer más detalles sobre políticas y roles, consulte Grupo, política y funciones de administrador, Descripción de las funciones de administrador y Descripción general de las políticas de IAM.

Configuración del proxy RADIUS

Instale, configure y pruebe el proxy RADIUS.

Antes de empezar, :
  • Asegúrese de que el proxy RADIUS está disponible para el dominio de identidad. El proxy RADIUS solo está disponible para los tipos de dominio de identidad Premium y Oracle Apps Premium. Para obtener más información sobre los tipos de dominio de identidad y las funciones y los límites asociados a cada uno, consulte Tipos de dominio de identidad de IAM.
  • Instale el cliente de Postman más reciente.
  • Descargue la recopilación de Postman del proxy RADIUS.
  • Revise las instrucciones de asignación del proxy RADIUS. Consulte Asignación de proxy RADIUS.
  • Revise estos puntos de control. Al configurar el proxy RADIUS, utilice los siguientes puntos de control para verificar que la configuración es correcta en cada paso del proceso.
    1. Compruebe que el proxy RADIUS y la aplicación de cliente de proxy RADIUS estén activados en el dominio de identidad.
    2. Compruebe que la dirección IP de la base de datos y el número de puerto del proxy RADIUS están configurados correctamente en la aplicación RADIUS.
    3. Compruebe que el agente RADIUS está activo y en ejecución.
    4. Compruebe que el servidor proxy está activo y en ejecución.
    5. Compruebe que la base de datos está activa.
  1. Descargue el instalador de proxy RADIUS más reciente desde la página Descargas de la consola.
    1. Abra el menú de navegación y seleccione Identidad y seguridad. En Identidad, seleccione Dominios. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. Luego, haga clic en Configuración y, a continuación, en Descargas.
    2. Seleccione Oracle Identity Cloud Service RADIUS Proxy for Linux y, a continuación, seleccione Descargar.
  2. Cree la aplicación RADIUS a partir de la plantilla de aplicación de RADIUS. Nota: En REST, vaya a Proxy RADIUS, Aplicación RADIUS, Buscar y, a continuación, Buscar todas las aplicaciones (con criterios de búsqueda).
    1. En la consola, seleccione Aplicaciones, Agregar y, a continuación, Catálogo de aplicaciones.
    2. Busque la plantilla de aplicación Oracle Database Radius y seleccione Agregar.
    3. Complete los detalles de la aplicación de forma similar al siguiente ejemplo.
      • Nombre: dbserver
      • Descripción: aplicación que representa el servidor Oracle Database como cliente RADIUS
      • Dirección PI del servidor de Oracle Database: 10.242.230.122 (esta dirección IP es donde está instalada la base de datos).
      • Puerto del proxy RADIUS: 1812 (número del puerto en el que el proxy RADIUS recibe solicitudes de esta base de datos de Oracle. Se debe configurar el mismo número de puerto en la configuración de RADIUS de Oracle Database).
      • Clave secreta: testing123 (clave secreta que se utiliza para proteger una comunicación entre un proxy RADIUS y el servidor Oracle Database. Se debe configurar la misma clave en la configuración de RADIUS de Oracle Database).
    4. Seleccione Agregar, Activar y, a continuación, seleccione el separador Usuarios.
      Nota

      Asigne los usuarios que pueden conectarse a Oracle Database a esta aplicación Radius seleccionando Asignar usuarios. En lugar de asignar usuarios individuales, también se puede asignar un grupo que contenga esos usuarios. Seleccione el separador Grupos y, a continuación, Asignar grupos.

      Nota: Cree el nombre del grupo en el dominio de identidad según el siguiente formato definido en el paso 3C: configure el servidor RADIUS en Configuración de la autenticación RADIUS: ORA_databaseSID_rolename[_[A]|[D]].

      Para cada rol de la base de datos Oracle que vaya a identificar IAM, cree un grupo correspondiente con el formato anterior. Asigne un usuario a este grupo en IAM para que el usuario correspondiente de la base datos esté asociado al rol correspondiente.

  3. Cree un proxy RADIUS en IAM.
    1. Registre una aplicación cliente. Consulte la sección sobre el registro de una aplicación cliente.
    2. Abra Postman e importe la recopilación RADIUS Proxy.postman_collection.json para realizar las solicitudes REST en esta sección.
    3. Importe el archivo de entorno RADIUS Proxy Example Environment with Variables.postman_environment.json que contiene las variables de entorno que se utilizan en la recopilación.
    4. Configure las siguientes variables de entorno.

      En HOST, utilice la dirección de IAM, por ejemplo, https://yourtenant.identity.oraclecloud.com/.

      Para CLIENT_ID y CLIENT_SECRET, utilice los valores que ha copiado anteriormente.

      Nota

      Cuando se realizan solicitudes REST, se definen automáticamente otras variables de entorno. Asegúrese de que se realizan las siguientes solicitudes REST en el mismo orden.
    5. Obtenga un token de acceso. Para realizar llamadas de API a IAM, debe autenticar el cliente en IAM y, a continuación, obtener un token OAuth de acceso. El token de acceso proporciona una sesión entre un cliente (en este caso, Postman) e IAM. Por defecto, el token de acceso tiene un intervalo de timeout de 60 minutos y, a continuación, debe solicitar un nuevo token de acceso para realizar llamadas de API de REST adicionales. Para obtener un símbolo de acceso de OAuth, realice la solicitud en la recopilación de Postman en el Proxy RADIuss, Token de OAuth y, a continuación, Obtener access_token (credenciales del cliente).
    6. Cree el proxy RADIUS mediante una operación POST. Vaya a Proxy RADIUS, Crear y, a continuación, Crear un proxy RADIUS.

      Punto final: admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Utilice esta operación de parche para activar el proxy RADIUS. Vaya a Proxy RADIUS, Ciclo de vida y, a continuación, Activar un proxy RADIUS.

      Punto final: /admin/v1/RadiusProxies/{{RPid}} 

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Cree el listener de proxy RADIUS mediante una operación POST. Vaya a Proxy RADIUS, Listeners de proxy RADIUS, Crear y, a continuación, Crear un proxy RADIUS.

      Punto final: {{HOST}}/admin/v1/RadiusProxyListeners 

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Obtenga el identificador de aplicación dbserver. Realice una llamada GET en admin/v1/Apps?filter=displayName eq "dbserver". Recupere el identificador de aplicación de la respuesta de esta llamada GET. Vaya a proxy RADIUS, aplicación RADIUS, Buscar y, a continuación, Buscar todas las aplicaciones (con criterios del proceso de búsqueda).
      También puede obtener el identificador de aplicación de la URL de dbserver.
    10. Cree una asignación de proxy RADIUS mediante una operación POST. Vaya a Proxy RADIuss, Asignaciones de proxy RADIUS, Crear y, a continuación, Crear una asignación de proxy RADIUS.

      Punto final: {{HOST}}/admin/v1/RadiusProxyMappings/

      Nota

      En "value" a continuación, el identificador es el identificador del proxy Radius que ha creado anteriormente. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Para obtener instrucciones sobre la asignación del proxy RADIUS, consulte Asignación de proxy RADIUS.

    11. GET client_id y clientSecret del proxy RADIUS. client_id y clientSecret son necesarios durante la instalación del proxy RADIUS. El proxy RADIUS utiliza estas credenciales para autenticarse con IAM. Vaya a Proxy RADIuss, Buscar, Crear, Obtener ID de clientes y secreto de clientes de la aplicación correspondiente al proxy RADIUS.

      Punto final: {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId: es el identificador de la aplicación correspondiente al proxy RADIUS. Puede encontrarlo en la respuesta [response.oauthClient.value] en Cree una asignación de proxy RADIUS mediante una operación POST, paso 3f.

      Respuesta:
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Ejecute el instalador.
    1. Descomprima el archivo idcs_radius_proxy-xxxx.zip descargado en una carpeta.
    2. Asigne un nombre a la carpeta <radius bin location-xxxx>. Donde xxxx es el número de versión (por ejemplo, 20.1.3).
      Se extraerán tres archivos: FileInfo.json, idcs_radius_proxy_installer.bin y InstallerValidation.jar. El archivo de InstallerValidation.jar y el archivo idcs_radius_proxy_installer.bin se ubican en el mismo directorio tras la extracción. Deben permanecer en el mismo directorio.
    3. Inicie sesión como usuario raíz o ejecute el siguiente comando como sudo: ./idcs_radius_proxy_installer.bin
      Nota

      El instalador solo soporta el modo de interfaz gráfica de usuario. No soporta el modo de consola. Por lo tanto, si aparece el error: "Graphical installers are not supported by the VM.", asegúrese de que servidor X está configurado correctamente. A continuación, ejecute este comando como usuario no raíz: xhost +si:localuser:root y vuelva a ejecutar el instalador.
  5. Instale el proxy RADIUS.
    1. Lea la pantalla de bienvenida y, a continuación, seleccione Next (Siguiente).
    2. Lea la pantalla Información y, a continuación, seleccione Siguiente.
    3. Seleccione la Carpeta de destino (el valor por defecto es /root/oracle_radius_proxy), en la que se instalará la instalación del proxy RADIUS. Seleccione Siguiente.
    4. En la pantalla Proxy HTTP, seleccione Usar proxy HTTP si este proxy necesita utilizar el proxy HTTP para conectarse a IAM. Si no es así, deje esta casilla de control sin marcar. Seleccione Siguiente.
    5. En la pantalla de IAM, introduzca la URL de Cloud Service con el siguiente formato: https://yourtenant.identity.oraclecloud.com. Proporcione el ID de cliente y el de Secreto de Cliente del proxy RADIUS creado en IAM. (Es el proxy RADIUS que ha creado con la operación POST anterior). Seleccione Siguiente.
    6. En la pantalla RADIUS User and Group Information, proporcione la información de Username y Grupo de usuario, por ejemplo:
      • Username: <client>
      • Grupo: <dba>

      El daemon del proxy RADIUS de IAM se ejecutará con el nombre del usuario y grupo especificados.

    7. Seleccione Next (Siguiente).
    8. En la pantalla de preinstalación, compruebe que toda la información es correcta. Si la información es correcta, seleccione Install (Instalar).
    9. Cuando se complete la instalación, seleccione Done (Listo).
  6. Compruebe que el agente RADIUS y el proxy RADIUS se están ejecutando. El agente RADIUS obtiene los datos de configuración desde IAM a intervalos regulares. A continuación, actualiza los archivos de configuración que utiliza el proxy RADIUS.
    1. Utilice los siguientes comandos del agente RADIUS para comprobar si el agente se está ejecutando:
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • También puede utilizar stop, start y restart si es necesario.
    2. Utilice el siguiente comando para ejecutar el proxy RADIUS: /sbin/service idcs_radiusd start
    3. Ejecute estos comandos del servidor RADIUS para verificar que el servicio RADIUS se está ejecutando.
      • /sbin/service idcs_radiusd status
      • También puede utilizar stop, start y restart si es necesario.
  7. (Opcional) Utilice la utilidad de prueba NTRadPing para validar que el proxy RADIUS está funcionando.
    1. Instale la utilidad NTRadPing de prueba en Windows y, a continuación, cree un usuario en IAM.
    2. Utilice la siguiente captura de pantalla como ejemplo. En la siguiente captura de pantalla, el cliente es el usuario creado en IAM y testing123 es la clave secreta proporcionada en Configuración de RADIUS, clave secreta de la página Detalles de aplicación.

      En la siguiente imagen se muestra la utilidad de prueba NTRadPing en Windows:

      Captura de pantalla de la utilidad de prueba NTRadPing en Windows

  8. Configuración de Oracle Database 12c. Siga las instrucciones que se describen en Configuración de la autenticación y, a continuación, utilice los siguientes comandos para crear un usuario/rol en la base de datos.
  9. Configuración de Oracle Database 12c. Para obtener más información, consulte Configuración de la autenticación RADIUS. Siga las instrucciones de la sección Configuración de autenticación RADIUS para crear un usuario y una función en la base de datos.
  10. No puede agregar una dirección IP en formato CIDR mediante la interfaz IAM. Si la dirección IP de Oracle Database está en formato CIDR, utilice la siguiente solicitud de Postman Collection. Consulte Cambio de una dirección IP desde el formato CIDR.
  11. Configure MFA. Para configurar MFA siga estas instrucciones. Consulte Gestión de autenticación multifactora.

Archivos log e información de configuración del proxy RADIUS

Tenga en cuenta las siguientes ubicaciones de archivos del proxy de RADIUS para obtener información de log y de configuración. Esta información puede ser útil para solucionar problemas.

Logs de instalador <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identity/ Cloud/ Service/ RADIUS/ Proxy_installation/Logs/
Logs de agente <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Logs de proxy <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configuración del proxy <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configuración del agente <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configuración del cliente <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Asignación de proxy RADIUS

El proxy RADIUS y el listener de proxy RADIUS tienen una asignación de 1-1, por ejemplo, para cada proxy RADIUS hay un listener de proxy RADIUS. Se pueden asignar varios clientes RADIUS de Oracle DB a un proxy RADIUS, es decir, un proxy RADIUS tiene una asignación de 1-n con clientes de RADIUS de Oracle DB.

Si un administrador configura varios clientes RADIUS de la base de datos Oracle DB, será necesario crear esa cantidad de aplicaciones RADIUS de la base de datos Oracle Database en los dominios IAM, una para cada cliente RADIUS de la base de datos Oracle DB. Por ejemplo, si un administrador ha configurado cuatro clientes de RADIUS de Oracle DB en un proxy de RADIUS, en los dominios de identidad de IAM debe haber cuatro aplicaciones de RADIUS de Oracle Database configuradas, una para cada cliente de Oracle DB.