Documentation Oracle Cloud Infrastructure

Configuration du proxy RADIUS

RADIUS (Remote Authentication Dial In User Service) est un protocole réseau qui définit les règles et conventions de communication entre les périphériques réseau. Le proxy RADIUS authentifie et autorise les utilisateurs ou les périphériques, et assure le suivi de l'utilisation de ces services.

Stratégie ou rôle requis

Pour configurer et valider le proxy RADIUS, vous devez disposer de l'un des octrois d'accès suivants :
  • Etre membre du groupe d'administrateurs
  • Disposer du rôle d'administrateur de domaine d'identité ou d'administrateur de sécurité
  • Etre membre d'un groupe disposant du droit de gestion (manage) des domaines

Pour en savoir plus sur les stratégies et les rôles, reportez-vous à la section Groupe d'administrateurs, stratégie et rôles d'administrateur, à Présentation du rôle d'administrateur et à la présentation des stratégies IAM.

Configuration du proxy RADIUS

Installez, configurez et testez le proxy RADIUS.

Avant de commencer :
  • Assurez-vous que le proxy RADIUS est disponible pour le domaine d'identité. Le proxy RADIUS est disponible uniquement pour les types de domaine d'identité Oracle Apps Premium et Premium. Pour en savoir plus sur les types de domaine d'identité, ainsi que sur les fonctionnalités et les limites associées à chacun, reportez-vous à Types de domaine d'identité IAM.
  • Installez le dernier client Postman.
  • Téléchargez la collecte Postman du proxy RADIUS.
  • Consultez les instructions de mise en correspondance de proxy RADIUS. Reportez-vous à Correspondance de proxy RADIUS.
  • Examinez les points de reprise ci-dessous. Lors de la configuration du proxy RADIUS, utilisez les points de reprise suivants pour vérifier que la configuration est correcte à chaque étape du processus.
    1. Vérifiez que le proxy RADIUS et l'application client de proxy RADIUS sont activés dans le domaine d'identité.
    2. Vérifiez que l'adresse IP de la base de données et le numéro de port du proxy RADIUS sont configurés correctement dans l'application RADIUS.
    3. Vérifiez que l'agent RADIUS est en fonctionnement.
    4. Vérifiez que le serveur proxy est en fonctionnement.
    5. Vérifiez que la base de données est démarrée.
  1. Téléchargez le dernier programme d'installation de proxy RADIUS à partir de la page Téléchargements de la console.
    1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Identité, sélectionnez Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Il est possible que vous deviez changer de compartiment pour trouver le domaine souhaité. Ensuite, cliquez sur Paramètres, puis sur Téléchargements.
    2. Choisissez Proxy RADIUS Oracle Identity Cloud Service pour Linux, puis sélectionnez Télécharger.
  2. Créez l'application RADIUS à partir du modèle d'application RADIUS. Remarque : pour REST, accédez à proxy RADIUS, à application RADIUS, à Rechercher, puis àRechercher toutes les applications (avec des critères de recherche).
    1. Dans la console, sélectionnez Applications, Ajouter, puis Catalogue d'applications.
    2. Recherchez le modèle d'application RADIUS Oracle Database et sélectionnez Ajouter.
    3. Fournissez les détails de l'application comme dans l'exemple suivant.
      • Nom : dbserver
      • Description : application représentant le serveur d'Oracle en tant que client RADIUS
      • Adresse Internet du serveur Oracle Database : 10.242.230.122 (Cette adresse IP est l'emplacement d'installation de la base de données.)
      • Port de proxy RADIUS : 1812 (Numéro de port sur lequel le proxy RADIUS écoute les demandes de cette base de données d'Oracle. Le même numéro de port doit être configuré dans les paramètres RADIUS d'Oracle Database.)
      • Clé Secret : testing123 (Clé secrète utilisée pour sécuriser les communications entre la proxy RADIUS et le serveur Oracle Database. La même clé doit être configurée dans les paramètres RADIUS d'Oracle Database.)
    4. Sélectionnez Ajouter, Activer, puis sélectionnez l'onglet Utilisateurs.
      Remarque

      Affectez aux utilisateurs autorisés à se connecter à Oracle Database à cette application Radius en sélectionnant Affecter des utilisateurs. Au lieu d'affecter des utilisateurs individuels, vous pouvez également affecter un groupe contenant ces utilisateurs. Sélectionnez l'onglet Groupes, puis Affecter des groupes.

      Remarque : créez le nom de groupe dans le domaine d'identité en respectant le format suivant défini à l'étape 3C : Configuration du serveur RADIUS dans Configuration de l'authentification RADIUS : ORA_databaseSID_rolename[_[A]|[D]].

      Pour chaque rôle de la base de données Oracle qu'IAM doit identifier, créez un groupe correspondant en utilisant le format ci-dessus. Affectez un utilisateur à ce groupe dans IAM afin que l'utilisateur de base de données respectif soit associé au rôle de base de données correspondant.

  3. Créez un proxy RADIUS dans IAM.
    1. Inscrivez une application client. Reportez-vous à Inscription d'une application client.
    2. Ouvrez Postman et importez la collecte RADIUS Proxy.postman_collection.json pour exécuter les demandes REST dans cette section.
    3. Importez le fichier d'environnement RADIUS Proxy Example Environment with Variables.postman_environment.json qui contient les variables d'environnement utilisées dans la collecte.
    4. Définissez les variables d'environnement suivantes.

      Pour HOST, utilisez l'adresse IAM, par exemple : https://yourtenant.identity.oraclecloud.com/.

      Pour CLIENT_ID et CLIENT_SECRET, utilisez les valeurs que vous ont copiées ci-dessus.

      Remarque

      D'autres variables d'environnement sont définies automatiquement lorsque des demandes REST sont exécutées. Assurez-vous que les demandes REST suivantes sont exécutées dans le même ordre.
    5. Obtenez un jeton d'accès. Pour effectuer des appels d'API vers IAM, vous devez authentifier le client par rapport à IAM, puis obtenir un jeton d'accès OAuth. Le jeton d'accès permet une session entre un client (dans ce cas, Postman) et IAM. Par défaut, le jeton d'accès possède un intervalle d'expiration de 60 minutes. Ensuite, vous devez demander un nouveau jeton d'accès pour effectuer des appels d'API REST supplémentaires. Pour obtenir un jeton d'accès OAuth, exécutez la demande dans la collecte Postman sous Proxy RADIOS, Jeton OAuth, puis Obtenir access_token (informations d'identification client).
    6. Créez le proxy RADIUS à l'aide d'une opération POST. Accédez à Proxy RADIOS, à Créer, puis à Créer un proxy RADIUS.

      Adresse : admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Utilisez cette opération de patch pour activer le proxy RADIUS. Accédez au proxy RADIUS, au cycle de vie, puis à l'option Activer un proxy RADIUS.

      Adresse : /admin/v1/RadiusProxies/{{RPid}} 

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Créez le processus d'écoute de proxy RADIUS à l'aide d'une opération POST. Accédez à Proxy RADIOS, à Processus d'écoute de proxy RADIOS, à Créer, puis à Créer un processus d'oreille de proxy RADIOS.

      Adresse : {{HOST}}/admin/v1/RadiusProxyListeners 

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Obtenez l'ID de l'application dbserver. Effectuez un appel GET sur admin/v1/Apps?filter=displayName eq "dbserver". Extrayez l'ID d'application de la réponse de cet appel GET. Accédez à proxy RADIUS, à application RADIUS, à Rechercher, puis à la page Rechercher toutes les applications (avec des critères de recherche).
      Vous pouvez également obtenir l'ID de l'application à partir de l'URL de dbserver.
    10. Créez une correspondance de proxy RADIUS à l'aide d'une opération POST. Accédez à Proxy RADIOS, à Correspondances de proxy RADIOS, à Créer, puis à Créer une correspondance de proxy RADIOS.

      Adresse : {{HOST}}/admin/v1/RadiusProxyMappings/

      Remarque

      Pour "value" ci-dessous, l'ID est l'ID du proxy RADIUS que vous avez créé ci-dessus. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Pour obtenir les instructions de mise en correspondance de proxy RADIUS, reportez-vous à Correspondance de proxy RADIUS.

    11. Obtenez les valeurs client_id et clientSecret du proxy RADIUS. Les valeurs client_id et clientSecret sont requises lors de l'installation du proxy RADIUS. Le proxy RADIUS utilise ces informations d'identification pour s'authentifier auprès de IAM. Accédez à Proxy RADIOS, à Rechercher, à Créer, à Obtenir l'ID client et la clé secrète client de l'application correspondant au proxy RADIUS.

      Adresse : {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId est l'ID de l'application correspondant au proxy RADIUS. Vous pouvez la trouver dans la réponse [response.oauthClient.value] à l'étape 3f, création d'une correspondance de proxy RADIUS à l'aide d'un opération POST.

      Réponse :
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Exécutez le programme d'installation.
    1. Décompressez le fichier idcs_radius_proxy-xxxx.zip téléchargé dans un dossier.
    2. Nommez le dossier <radius bin location-xxxx>, où xxxx est le numéro de version (par exemple, 20.1.3).
      Trois fichiers sont extraits : FileInfo.json, idcs_radius_proxy_installer.bin et InstallerValidation.jar. Les fichiers InstallerValidation.jar et idcs_radius_proxy_installer.bin se trouvent dans le même répertoire après l'extraction. Ils doivent rester dans le même répertoire.
    3. Connectez-vous en tant qu'utilisateur root ou exécutez la commande suivante en tant que sudo : ./idcs_radius_proxy_installer.bin
      Remarque

      Le programme d'installation prend uniquement en charge le mode interface utilisateur graphique. Il ne prend pas en charge le mode console. Par conséquent, si l'erreur "Graphical installers are not supported by the VM." survient, assurez-vous que leserveur X est correctement configuré. Exécutez ensuite en tant qu'utilisateur autre que root la commande xhost +si:localuser:root et réexécutez le programme d'installation.
  5. Installez le proxy RADIUS.
    1. Lisez l'écran de bienvenue, puis sélectionnez Next.
    2. Lisez l'écran Information, puis sélectionnez Next.
    3. Sélectionnez le dossier de Destination (par défaut : /root/oracle_radius_proxy), où le logiciel d'installation du proxy RADIUS sera installé. Sélectionnez Suivant.
    4. Sur l'écran Proxy HTTP, sélectionnez Utiliser le proxy HTTP si la proxy RADIUS doit utiliser un proxy HTTP pour se connecter à IAM. Sinon, ne cochez pas cette case. Sélectionnez Suivant.
    5. Sur l'écran IAM, entrez l'URL Cloud Service au format suivant : https://yourtenant.identity.oraclecloud.com. Indiquez l'ID client et laclé secrète client du proxy RADIUS créé dans IAM. (Il s'agit du proxy RADIUS que vous avez créé à l'aide de l'opération POST ci-dessus.) Sélectionnez Suivant.
    6. Sur l'écran Informations d'utilisateur et de groupe RADIUS, fournissez les informations Nom utilisateur et Groupe de l'utilisateur, par exemple :
      • Nom utilisateur : <client>
      • Groupe : <dba>

      Le démon de proxy RADIUS IAM est exécuté sous le nom utilisateur et le groupe spécifiés.

    7. Sélectionnez Suivant.
    8. Sur l'écran de préinstallation, vérifiez que toutes les informations sont correctes. Si les informations sont correctes, sélectionnez Installer.
    9. Une fois l'installation terminée, sélectionnez Terminé.
  6. Vérifiez que l'agent RADIUS et le proxy RADIUS sont en cours d'exécution. L'agent RADIUS obtient les données de configuration à partir d'IAM à intervalles réguliers. Il met ensuite à jour les fichiers de configuration utilisés par le proxy RADIUS.
    1. Utilisez les commandes d'agent RADIUS suivantes pour vérifier si l'agent est en cours d'exécution :
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • Vous pouvez également utiliser stop, start et restart si nécessaire.
    2. Utilisez la commande suivante pour exécuter le proxy RADIUS : /sbin/service idcs_radiusd start
    3. Exécutez les commandes de serveur RADIUS suivantes pour vérifier que le service RADIUS est en cours d'exécution.
      • /sbin/service idcs_radiusd status
      • Vous pouvez également utiliser stop, start et restart si nécessaire.
  7. (Facultatif) Servez-vous de l'utilitaire de test NTRadPing pour valider le fonctionnement du proxy RADIUS.
    1. Installez l'utilitaire de test NTRadPing dans Windows, puis créez un utilisateur dans IAM.
    2. Utilisez la capture d'écran ci-dessous comme exemple. Dans la capture d'écran ci-dessous, client est l'utilisateur créé dans IAM et testing123 est la clé secrète fournie dans les paramètres RADIUS (clé privée de la page Détails de l'app).

      L'image suivante présente l'utilitaire de test NTRadPing dans Windows :

      Capture d'écran de l'utilitaire de test NTRadPing dans Windows

  8. Configurez Oracle Database 12c. Suivez les instructions fournies dans Configuration de l'authentification, puis employez les commandes suivantes pour créer un utilisateur/rôle dans la base de données.
  9. Configurez Oracle Database 12c. Pour plus d'informations, reportez-vous à Configuration de l'authentification RADIUS. Suivez les instructions fournies dans la section Configuration de l'authentification RADIUS pour créer un utilisateur et une fonction dans la base de données.
  10. Vous Ne pouvez pas ajouter une adresse IP au format CIDR à l'aide de l'interface utilisateur IAM. Si l'adresse IP de la base de données Oracle est au format CIDR, utilisez la demande suivante à partir de la collecte Postman. Reportez-vous à Modification d'une adresse IP à partir du format CIDR.
  11. Configurez l'authentification à plusieurs facteurs. Pour configurer l'authentification à plusieurs éléments, reportez-vous à la section Gestion de l'authentification à plusieurs éléments.

Fichiers journaux et informations de configuration de proxy RADIUS

Notez les emplacements de fichier de proxy RADIUS suivants pour les informations de journal et de configuration. Ces informations peuvent être utiles pour la résolution de problèmes.

Journaux de programme d'installation <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identity/ Cloud/ Service/ RADIUS/ Proxy_installation/Logs/
Journaux d'agent <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Journaux de proxy <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configuration de proxy <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configuration d'agent <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configuration client <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Correspondance de proxy RADIUS

Le proxy RADIUS et le processus d'écoute de proxy RADIUS appliquent une correspondance 1 à 1. Par exemple, pour chaque proxy RADIUS, il existe un processus d'écoute de proxy RADIUS. Plusieurs clients RADIUS Oracle Database peuvent être mis en correspondance avec un proxy RADIUS, c'est-à-dire qu'un proxy RADIUS applique une correspondance 1 à n avec les clients RADIUS Oracle Database.

Si un administrateur configure plusieurs clients Oracle DB RADIUS, de nombreuses applications Oracle Database RADIUS doivent être créées dans des domaines d'identité IAM, un pour chaque client Oracle DB RADIUS. Par exemple, si un administrateur a configuré quatre clients Oracle DB RADIUS sur un proxy RADIUS, quatre applications Oracle Database RADIUS doivent être configurées pour chaque client Oracle DB dans les domaines d'identité IAM.