Documentation sur Oracle Cloud Infrastructure

Configuration d'un mandataire RADIUS

RADIUS (Remote Authentication Dial In User Service) est un protocole de réseau qui définit les règles et les conventions de communication entre les appareils de réseau. Un mandataire RADIUS authentifie et autorise les utilisateurs ou les appareils, et assure également le suivi de l'utilisation de ces services.

Politique ou rôle requis

Pour configurer et valider un mandataire RADIUS, vous devez disposer de l'un des droits d'accès suivants :
  • Être membre du groupe d'administrateurs
  • Disposer du rôle Administrateur de domaine d'identité ou Administrateur de la sécurité
  • Être membre d'un groupe disposant du droit manage sur les domaines

Pour en savoir plus sur les politiques et les rôles, voir Groupe Administrateurs, politique et rôles d'administrateur, Présentation des rôles d'administrateur et Présentation des politiques.

Configuration d'un mandataire RADIUS

Installez, configurez et testez un mandataire RADIUS.

Avant de commencer :
  • Assurez-vous que votre mandataire RADIUS est disponible pour votre domaine d'identité. Le mandataire RADIUS est disponible uniquement pour les types de domaine d'identité Premium et Premium des applications Oracle. Pour en savoir plus sur les types de domaine d'identité et les caractéristiques et limites associées, voir Types de domaine d'identité GIA.
  • Installez le client Postman le plus récent.
  • Téléchargez la collection Postman de mandataire RADIUS.
  • Vérifiez les instructions de mappage de mandataire RADIUS. Voir Mappage de mandataire RADIUS.
  • Révisez ces points de vérification. Lorsque vous configurez un mandataire RADIUS, utilisez les points de vérification suivants pour vérifier que votre configuration est correcte à chaque étape du processus.
    1. Vérifiez que le mandataire RADIUS et l'application client du mandataire RADIUS sont activés dans le domaine d'identité.
    2. Vérifiez que l'adresse IP de la base de données et le numéro de port du mandataire RADIUS sont configurés correctement dans l'application RADIUS.
    3. Vérifiez que l'agent RADIUS est en cours d'exécution.
    4. Vérifiez que le serveur mandataire est en cours d'exécution.
    5. Vérifiez que la base de données est active.
  1. Téléchargez le programme d'installation de mandataire RADIUS le plus récent à partir de la page Téléchargements de la console.
    1. Ouvrez le menu de navigation et cliquez sur Sécurité de l'identité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous voulez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Paramètres, puis sur Téléchargements.
    2. Sélectionnez Mandataire RADIUS pour Oracle Identity Cloud Service pour Linux, puis cliquez sur Télécharger.
  2. Créez l'application RADIUS à partir du modèle d'application RADIUS. Note : Pour REST, allez à Mandataire RADIUS, Application RADIUS, Rechercher, puis Rechercher toutes les applications (avec des critères de recherche).
    1. In the Console, click Applications, Add, and then App Catalog.
    2. Recherchez le modèle d'application RADIUS pour Oracle Database et cliquez sur Ajouter.
    3. Indiquez les détails de l'application comme dans l'exemple suivant.
      • Nom : dbserver
      • Description : Application représentant le serveur Oracle Database en tant que client RADIUS
      • Adresse IP du serveur Oracle Database : 10.242.230.122 (Cette adresse IP est l'emplacement où la base de données est installée.)
      • Port du mandataire RADIUS : 1812 (Numéro de port sur lequel le mandataire RADIUS écoute les demandes provenant de cette base de données Oracle. Le même numéro de port doit être configuré dans les paramètres RADIUS d'Oracle Database.)
      • Clé secrète : testing123 (Clé secrète utilisée pour sécuriser la communication entre le mandataire RADIUS et le serveur Oracle Database. La même clé doit être configurée dans les paramètres RADIUS d'Oracle Database.)
    4. Cliquez sur Ajouter, Activer, puis sur l'onglet Utilisateurs.
      Note

      Affectez les utilisateurs autorisés à se connecter à Oracle Database à cette application RADIUS en cliquant sur Affecter des utilisateurs. Au lieu d'affecter des utilisateurs individuels, vous pouvez également affecter un groupe contenant ces utilisateurs. Cliquez sur l'onglet Groupes, puis sur Affecter des groupes.

      Note : Créez le nom du groupe dans le domaine d'identité selon le format suivant défini à l'étape 3C : Configurer le serveur RADIUS dans Configuration de l'authentification RADIUS : ORA_databaseSID_rolename[_[A]|[D]].

      Pour que chaque rôle dans la base de données Oracle soit identifié par le service GIA, créez un groupe correspondant à l'aide du format ci-dessus. Affectez un utilisateur à ce groupe dans le service GIA pour que l'utilisateur de base de données respectif soit associé au rôle de base de données respectif.

  3. Créez un mandataire RADIUS dans le service GIA.
    1. Enregistrez une application client. Voir Enregistrer une application client.
    2. Ouvrez Postman et importez la collection RADIUS Proxy.postman_collection.json pour effectuer les demandes REST dans cette section.
    3. Importez le fichier d'environnement RADIUS Proxy Example Environment with Variables.postman_environment.json qui contient les variables d'environnement utilisées dans la collection.
    4. Définissez les variables d'environnement suivantes.

      Pour HOST, utilisez l'adresse GIA, par exemple, https://yourtenant.identity.oraclecloud.com/.

      Pour CLIENT_ID et CLIENT_SECRET, utilisez les valeurs que vous avez copiées ci-dessus.

      Note

      D'autres variables d'environnement sont automatiquement définies lorsque des demandes REST sont effectuées. Assurez-vous que les demandes REST suivantes sont effectuées dans l'ordre indiqué.
    5. Procurez-vous un jeton d'accès. Pour effectuer des appels d'API au service GIA, vous devez authentifier votre client auprès du service GIA, puis obtenir un jeton d'accès OAuth. Le jeton d'accès fournit une session entre un client (en l'occurrence, Postman) et le service GIA. Par défaut, le jeton d'accès a un intervalle de temporisation de 60 minutes. Ensuite, vous devez demander un nouveau jeton d'accès pour effectuer des appels d'API REST supplémentaires. Pour obtenir un jeton d'accès OAuth, effectuez la demande dans la collection Postman sous Mandataire RADIUS, Jeton OAuth, puis Obtenir jeton d'accès (données d'identification du client).
    6. Créez le mandataire RADIUS à l'aide d'une opération POST. Allez à Mandataire RADIUS, Créer, puis Créer un mandataire RADIUS.

      Point d'extrémité : admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Utilisez cette opération d'application de correctifs pour activer le mandataire RADIUS. Allez à Mandataire RADIUS, Cycle de vie, puis Activer un mandataire RADIUS.

      Point d'extrémité : /admin/v1/RadiusProxies/{{RPid}}

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Créez le module d'écoute mandataire RADIUS à l'aide d'une opération POST. Allez à Mandataire RADIUS, Modules d'écoute mandataire RADIUS, Créer, puis Créer un module d'écoute mandataire RADIUS.

      Point d'extrémité : {{HOST}}/admin/v1/RadiusProxyListeners

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Procurez-vous l'ID application dbserver. Effectuez un appel GET sur admin/v1/Apps?filter=displayName eq "dbserver". Extrayez l'ID application de la réponse de cet appel GET. Allez à Mandataire RADIUS, Application RADIUS, Rechercher, puis Rechercher toutes les applications (avec des critères de recherche).
      Vous pouvez également obtenir l'ID application à partir de l'URL de dbserver.
    10. Créez un mappage de mandataire RADIUS à l'aide d'une opération POST. Allez à Mandataire RADIUS, Mappages de mandataires RADIUS, Créer, puis Créer un mappage de mandataire RADIUS.

      Point d'extrémité : {{HOST}}/admin/v1/RadiusProxyMappings/

      Note

      Pour l'entrée "value" ci-dessous, l'ID est celui du mandataire RADIUS que vous avez créé ci-dessus. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Pour les instructions de mappage de mandataire RADIUS, voir Mappage de mandataire RADIUS.

    11. Obtenez les valeurs client_id et clientSecret du mandataire RADIUS. Les valeurs client_id et clientSecret sont requises lors de l'installation du mandataire RADIUS. Le mandataire RADIUS utilise ces données d'identification pour l'authentification auprès du service GIA. Allez à Mandataire RADIUS, Rechercher, Créer, Obtenir l'ID client et la clé secrète client de l'application correspondant au mandataire RADIUS.

      Point d'extrémité : {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId : ID de l'application correspondant au mandataire RADIUS. Il se trouve dans la réponse [response.oauthClient.value] de l'étape 3f, Créez un mappage de mandataire RADIUS à l'aide d'une opération POST.

      Réponse :
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Exécutez le programme d'installation.
    1. Décompressez le fichier idcs_radius_proxy-xxxx.zip téléchargé dans un dossier.
    2. Nommez le dossier <radius bin location-xxxx>. Où xxxx est le numéro de version (par exemple, 20.1.3).
      Trois fichiers sont extraits : FileInfo.json, idcs_radius_proxy_installer.bin et InstallerValidation.jar. Les fichiers InstallerValidation.jar et idcs_radius_proxy_installer.bin se trouvent dans le même répertoire après extraction. Ils doivent rester dans le même répertoire.
    3. Connectez-vous en tant qu'utilisateur racine ou exécutez la commande suivante en tant que superutilisateur : ./idcs_radius_proxy_installer.bin
      Note

      Le programme d'installation prend en charge uniquement le mode interface utilisateur graphique. Il ne prend pas en charge le mode console. De fait, si l'erreur suivante s'affiche : "Graphical installers are not supported by the VM.", assurez-vous que le serveur X est configuré correctement. Exécutez ensuite cette commande en tant qu'utilisateur non racine : xhost +si:localuser:root et exécutez de nouveau le programme d'installation.
  5. Installez le mandataire RADIUS.
    1. Lisez l'écran Bienvenue, puis cliquez sur Suivant.
    2. Lisez l'écran Informations, puis cliquez sur Suivant.
    3. Sélectionnez le dossier de destination (par défaut, /root/oracle_radius_proxy) dans lequel le programme d'installation du mandataire RADIUS sera installé. Cliquez sur Suivant.
    4. Dans l'écran Mandataire HTTP, sélectionnez Utiliser un mandataire HTTP si le mandataire RADIUS doit utiliser un mandataire HTTP pour se connecter au service GIA. Si ce n'est pas le cas, laissez cette case désélectionnée. Cliquez sur Suivant.
    5. Dans l'écran du service GIA, entrez l'URL du service Cloud dans le format suivant : https://yourtenant.identity.oraclecloud.com. Indiquez l'ID client et la clé secrète client du mandataire RADIUS créé dans le service GIA. (Il s'agit du mandataire RADIUS que vous avez créé à l'aide de l'opération POST ci-dessus.) Cliquez sur Suivant.
    6. Dans l'écran Informations sur l'utilisateur et le groupe RADIUS, renseignez les champs Nom d'utilisateur et Groupe, par exemple :
      • Nom :1
      • Groupe : <dba>

      Le démon mandataire RADIUS du service GIA s'exécutera sous le nom d'utilisateur et le groupe spécifiés.

    7. Cliquez sur Suivant.
    8. Dans l'écran de préinstallation, vérifiez que toutes les informations sont correctes. Si les informations sont correctes, cliquez sur Installer.
    9. Lorsque l'installation est terminée, cliquez sur Terminé.
  6. Vérifiez que l'agent RADIUS et le mandataire RADIUS sont en cours d'exécution. L'agent RADIUS obtient les données de configuration depuis le service GIA à intervalles réguliers. Ensuite, il met à jour les fichiers de configuration utilisés par le mandataire RADIUS.
    1. Utilisez les commandes d'agent RADIUS suivantes pour vérifier si l'agent est en cours d'exécution :
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • Vous pouvez également utiliser stop, start et restart si nécessaire.
    2. Utilisez la commande suivante pour exécuter le mandataire RADIUS : /sbin/service idcs_radiusd start
    3. Exécutez ces commandes de serveur RADIUS pour vérifier que le service RADIUS est en cours d'exécution.
      • /sbin/service idcs_radiusd status
      • Vous pouvez également utiliser stop, start et restart si nécessaire.
  7. (Facultatif) Utilisez l'utilitaire de test NTRadPing pour confirmer que le mandataire RADIUS fonctionne.
    1. Installez l'utilitaire de test NTRadPing dans Windows, puis créez un utilisateur dans le service GIA.
    2. Utilisez la capture d'écran ci-dessous comme exemple. Dans la capture d'écran ci-dessous, le client est l'utilisateur créé dans le service GIA et testing123 est la clé secrète indiquée dans les paramètres RADIUS (Clé secrète) de la page Détails de l'application.

      L'image suivante présente l'utilitaire de test NTRadPing sous Windows :

      Capture d'écran de l'utilitaire de test NTRadPing dans Windows

  8. Définissez et configurez Oracle Database 12c. Suivez les instructions de la section Configuration de l'authentification, puis utilisez les commandes suivantes pour créer un utilisateur ou un rôle dans la base de données.
  9. Définissez et configurez Oracle Database 12c. Pour plus d'informations, voir Configuration de l'authentification RADIUS. Suivez les instructions de la section Configuration de l'authentification RADIUS pour créer un utilisateur et un rôle dans la base de données.
  10. Vous ne pouvez pas ajouter une adresse IP au format CIDR à l'aide de l'interface utilisateur du service GIA. Si l'adresse IP de la base de données Oracle est au format CIDR, utilisez la demande suivante à partir de la collection Postman. Voir Modifier une adresse IP à partir du format CIDR.
  11. Configurez l'authentification multifacteur. Pour configurer l'authentification MFA, suivez les instructions décrites dans Gestion de l'authentification multifacteur.

Fichiers journaux et informations de configuration d'un mandataire RADIUS

Notez les emplacements de fichier mandataire RADIUS suivants pour les informations de journalisation et de configuration. Ces informations peuvent être utiles pour le dépannage.

Journaux de programme d'installation <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identity/ Cloud/ Service/ RADIUS/ Proxy_installation/Logs/
Journaux d'agent <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Journaux de mandataire <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configuration de mandataire <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configuration d'agent <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configuration de client <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Mappage de mandataire RADIUS

Le mandataire RADIUS et le module d'écoute mandataire RADIUS ont un mappage 1-1, par exemple pour chaque mandataire RADIUS, il existe un module d'écoute mandataire RADIUS. Plusieurs clients Oracle DB RADIUS peuvent être mappés à un mandataire RADIUS, c'est-à-dire qu'un mandataire RADIUS possède un mappage 1-n avec les clients Oracle DB RADIUS.

Si un administrateur configure plusieurs clients RADIUS Oracle DB, il est nécessaire de créer de nombreuses applications Oracle Database RADIUS dans les domaines d'identité GIA, une pour chaque client RADIUS Oracle DB. Par exemple, si un administrateur a configuré quatre clients RADIUS Oracle DB pour un mandataire RADIUS, dans les domaines d'identité GIA, quatre applications Oracle Database RADIUS doivent être configurées, une pour chaque client Oracle DB.