Documentation Oracle Cloud Infrastructure

Configuration du proxy RADIUS

RADIUS (Remote Authentication Dial In User Service) est un protocole réseau qui définit les règles et conventions de communication entre les périphériques réseau. Le proxy RADIUS authentifie et autorise les utilisateurs ou les périphériques, et assure le suivi de l'utilisation de ces services.

Stratégie ou rôle requis

Pour configurer et valider le proxy RADIUS, vous devez disposer de l'un des octrois d'accès suivants :
  • Etre membre du groupe d'administrateurs
  • Disposer du rôle d'administrateur de domaine d'identité ou d'administrateur de sécurité
  • Etre membre d'un groupe disposant du droit de gestion (manage) des domaines

Pour en savoir plus sur les stratégies et les rôles, reportez-vous à Groupe d'administrateurs, stratégie et rôles d'administrateur, à Présentation des rôles d'administrateur et à Présentation des stratégies.

Configuration du proxy RADIUS

Installez, configurez et testez le proxy RADIUS.

avant de commencer :
  • Assurez-vous que le proxy RADIUS est disponible pour le domaine d'identité. Le proxy RADIUS est disponible uniquement pour les types de domaine d'identité Oracle Apps Premium et Premium. Pour en savoir plus sur les types de domaine d'identité, ainsi que sur les fonctionnalités et les limites associées à chacun, reportez-vous à Types de domaine d'identité IAM.
  • Installez le dernier client Postman.
  • Téléchargez la collecte Postman du proxy RADIUS.
  • Consultez les instructions de mise en correspondance de proxy RADIUS. Reportez-vous à Correspondance de proxy RADIUS.
  • Examinez les points de reprise ci-dessous. Lors de la configuration du proxy RADIUS, utilisez les points de reprise suivants pour vérifier que la configuration est correcte à chaque étape du processus.
    1. Vérifiez que le proxy RADIUS et l'application client de proxy RADIUS sont activés dans le domaine d'identité.
    2. Vérifiez que l'adresse IP de la base de données et le numéro de port du proxy RADIUS sont configurés correctement dans l'application RADIUS.
    3. Vérifiez que l'agent RADIUS est en fonctionnement.
    4. Vérifiez que le serveur proxy est en fonctionnement.
    5. Vérifiez que la base de données est démarrée.
  1. Téléchargez le dernier programme d'installation du proxy RADIUS à partir de la page Téléchargements de la console.
    1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Paramètres, puis sur Téléchargements.
    2. Choisissez Proxy RADIUS Oracle Identity Cloud Service pour Linux, puis cliquez sur Télécharger.
  2. Créez l'application RADIUS à partir du modèle d'application RADIUS. Remarque : pour REST, accédez à Proxy RADIUS, à Application RADIUS, à Rechercher, puis à Rechercher toutes les applications (avec des critères de recherche).
    1. Dans la console, cliquez sur Applications, sur Ajouter, puis sur Catalogue d'applications.
    2. Recherchez le modèle d'application RADIUS Oracle Database et cliquez sur Ajouter.
    3. Fournissez les détails de l'application comme dans l'exemple suivant.
      • Nom : dbserver
      • Description : application représentant le serveur de base de données Oracle en tant que client RADIUS
      • Adresse IP du serveur Oracle Database : 10.242.230.122 (Cette adresse IP est l'emplacement d'installation de la base de données.)
      • Port de proxy RADIUS : 1812 (Numéro de port sur lequel le proxy RADIUS écoute les demandes de cette base de données Oracle. Le même numéro de port doit être configuré dans les paramètres RADIUS d'Oracle Database.)
      • Clé secrète : testing123 (Clé secrète utilisée pour sécuriser la communication entre le proxy RADIUS et le serveur Oracle Database. La même clé doit être configurée dans les paramètres RADIUS d'Oracle Database.)
    4. Cliquez sur Ajouter, sur Activer, puis sur l'onglet Utilisateurs.
      Remarque

      Affectez les utilisateurs autorisés à se connecter à Oracle Database à cette application RADIUS en cliquant sur Affecter des utilisateurs. Au lieu d'affecter des utilisateurs individuels, vous pouvez également affecter un groupe contenant ces utilisateurs. Cliquez sur l'onglet Groupes, puis sur Affecter des groupes.

      Remarque : créez le nom de groupe dans le domaine d'identité en respectant le format suivant défini à l'étape 3C : Configuration du serveur RADIUS dans Configuration de l'authentification RADIUS : ORA_databaseSID_rolename[_[A]|[D]].

      Pour chaque rôle de la base de données Oracle qu'IAM doit identifier, créez un groupe correspondant en utilisant le format ci-dessus. Affectez un utilisateur à ce groupe dans IAM afin que l'utilisateur de base de données soit associé au rôle de base de données correspondant.

  3. Créez un proxy RADIUS dans IAM.
    1. Inscrivez une application client. Reportez-vous à Inscription d'une application client.
    2. Ouvrez Postman et importez la collecte RADIUS Proxy.postman_collection.json pour exécuter les demandes REST dans cette section.
    3. Importez le fichier d'environnement RADIUS Proxy Example Environment with Variables.postman_environment.json qui contient les variables d'environnement utilisées dans la collecte.
    4. Définissez les variables d'environnement suivantes.

      Pour HOST, utilisez l'adresse IAM, par exemple : https://yourtenant.identity.oraclecloud.com/.

      Pour CLIENT_ID et CLIENT_SECRET, utilisez les valeurs que vous avez copiées ci-dessus.

      Remarque

      D'autres variables d'environnement sont définies automatiquement lorsque des demandes REST sont exécutées. Assurez-vous que les demandes REST suivantes sont exécutées dans le même ordre.
    5. Obtenez un jeton d'accès. Pour effectuer des appels d'API vers IAM, vous devez authentifier le client auprès d'IAM, puis obtenir un jeton d'accès OAuth. Le jeton d'accès permet une session entre un client (dans ce cas, Postman) et IAM. Par défaut, le jeton d'accès possède un intervalle d'expiration de 60 minutes. Ensuite, vous devez demander un nouveau jeton d'accès pour effectuer des appels d'API REST supplémentaires. Pour obtenir un jeton d'accès OAuth, exécutez la demande dans la collecte Postman sous Proxy RADIUS, Jeton OAuth, puis Obtenir un jeton access_token (informations d'identification client).
    6. Créez le proxy RADIUS à l'aide d'une opération POST. Accédez à Proxy RADIUS, à Créer, puis à Créer un proxy RADIUS.

      Adresse : admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Utilisez cette opération de patch pour activer le proxy RADIUS. Accédez à Proxy RADIUS, à Cycle de vie, puis à Activer un proxy RADIUS.

      Adresse : /admin/v1/RadiusProxies/{{RPid}}

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Créez le processus d'écoute de proxy RADIUS à l'aide d'une opération POST. Accédez à Proxy RADIUS, à Processus d'écoute de proxy RADIUS, à Créer, puis à Créer un processus d'écoute de proxy RADIUS.

      Adresse : {{HOST}}/admin/v1/RadiusProxyListeners

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Obtenez l'ID de l'application dbserver. Effectuez un appel GET sur admin/v1/Apps?filter=displayName eq "dbserver". Extrayez l'ID d'application de la réponse de cet appel GET. Accédez à Proxy RADIUS, à Application RADIUS, à Rechercher, puis à Rechercher toutes les applications (avec des critères de recherche).
      Vous pouvez également obtenir l'ID de l'application à partir de l'URL de dbserver.
    10. Créez une correspondance de proxy RADIUS à l'aide d'une opération POST. Accédez à Proxy RADIUS, à Correspondances de proxy RADIUS, à Créer, puis à Créer une correspondance de proxy RADIUS.

      Adresse : {{HOST}}/admin/v1/RadiusProxyMappings/

      Remarque

      Pour "value" ci-dessous, l'ID est l'ID du proxy RADIUS que vous avez créé ci-dessus. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Pour obtenir les instructions de mise en correspondance de proxy RADIUS, reportez-vous à Correspondance de proxy RADIUS.

    11. Obtenez les valeurs client_id et clientSecret du proxy RADIUS. Les valeurs client_id et clientSecret sont requises lors de l'installation du proxy RADIUS. Le proxy RADIUS utilise ces informations d'identification pour s'authentifier auprès d'IAM. Accédez à Proxy RADIUS, à Rechercher, à Créer, puis à Obtenir l'ID client et la clé secrète client de l'application correspondant au proxy RADIUS.

      Adresse : {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId est l'ID de l'application correspondant au proxy RADIUS. Vous pouvez le trouver dans la réponse [response.oauthClient.value] à l'étape 3f de création d'une correspondance de proxy RADIUS à l'aide d'une opération POST.

      Réponse :
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Exécutez le programme d'installation.
    1. Décompressez le fichier idcs_radius_proxy-xxxx.zip téléchargé dans un dossier.
    2. Nommez le dossier <radius bin location-xxxx>, où xxxx est le numéro de version (par exemple, 20.1.3).
      Trois fichiers sont extraits : FileInfo.json, idcs_radius_proxy_installer.bin et InstallerValidation.jar. Le fichier InstallerValidation.jar et le fichier idcs_radius_proxy_installer.bin se trouvent dans le même répertoire après l'extraction. Ils doivent rester dans le même répertoire.
    3. Connectez-vous en tant qu'utilisateur root ou exécutez la commande suivante en tant que sudo : ./idcs_radius_proxy_installer.bin
      Remarque

      Le programme d'installation prend uniquement en charge le mode interface utilisateur graphique. Il ne prend pas en charge le mode console. Par conséquent, si l'erreur Graphical installers are not supported by the VM. survient, assurez-vous que le serveur X est correctement configuré. Exécutez ensuite en tant qu'utilisateur autre que root la commande xhost +si:localuser:root et réexécutez le programme d'installation.
  5. Installez le proxy RADIUS.
    1. Lisez l'écran de bienvenue, puis cliquez sur Suivant.
    2. Lisez l'écran d'informations, puis cliquez sur Suivant.
    3. Sélectionnez le dossier de destination (par défaut : /root/oracle_radius_proxy), où le programme d'installation du proxy RADIUS sera installé. Cliquez sur Suivant.
    4. Sur l'écran Proxy HTTP, sélectionnez Utiliser un proxy HTTP si le proxy RADIUS doit utiliser un proxy HTTP pour se connecter à IAM. Si ce n'est pas le cas, ne cochez pas cette case. Cliquez sur Suivant.
    5. Sur l'écran IAM, entrez l'URL Cloud Service au format suivant : https://yourtenant.identity.oraclecloud.com. Indiquez l'ID client et la clé secrète client du proxy RADIUS créé dans IAM. (Il s'agit du proxy RADIUS que vous avez créé à l'aide de l'opération POST ci-dessus.) Cliquez sur Suivant.
    6. Sur l'écran Informations d'utilisateur et de groupe RADIUS, fournissez les informations Nom utilisateur et Groupe de l'utilisateur, par exemple :
      • Nom utilisateur : <client>
      • Group : <dba>

      Le démon de proxy RADIUS IAM est exécuté sous le nom utilisateur et le groupe spécifiés.

    7. Cliquez sur Suivant.
    8. Sur l'écran de préinstallation, vérifiez que toutes les informations sont correctes. Si les informations sont correctes, cliquez sur Installer.
    9. Une fois l'installation terminée, cliquez sur Terminé.
  6. Vérifiez que l'agent RADIUS et le proxy RADIUS sont en cours d'exécution. L'agent RADIUS obtient les données de configuration à partir d'IAM à intervalles réguliers. Il met ensuite à jour les fichiers de configuration utilisés par le proxy RADIUS.
    1. Utilisez les commandes d'agent RADIUS suivantes pour vérifier si l'agent est en cours d'exécution :
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • Vous pouvez également utiliser stop, start et restart si nécessaire.
    2. Utilisez la commande suivante pour exécuter le proxy RADIUS : /sbin/service idcs_radiusd start
    3. Exécutez les commandes de serveur RADIUS suivantes pour vérifier que le service RADIUS est en cours d'exécution.
      • /sbin/service idcs_radiusd status
      • Vous pouvez également utiliser stop, start et restart si nécessaire.
  7. (Facultatif) Servez-vous de l'utilitaire de test NTRadPing pour valider le fonctionnement du proxy RADIUS.
    1. Installez l'utilitaire de test NTRadPing dans Windows, puis créez un utilisateur dans IAM.
    2. Utilisez la capture d'écran ci-dessous comme exemple. Dans la capture d'écran ci-dessous, client est l'utilisateur créé dans IAM et testing123 est la clé secrète fournie dans les paramètres RADIUS (clé secrète de la page Détails de l'application).

      L'image suivante montre l'utilitaire de test NTRadPing sous Windows :

      Capture d'écran de l'utilitaire de test NTRadPing dans Windows

  8. Configurez Oracle Database 12c. Suivez les instructions fournies dans Configuration de l'authentification, puis employez les commandes suivantes pour créer un utilisateur/rôle dans la base de données.
  9. Configurez Oracle Database 12c. Pour plus d'informations, reportez-vous à Configuration de l'authentification RADIUS. Suivez les instructions fournies dans Configuration de l'authentification RADIUS pour créer un utilisateur et un rôle dans la base de données.
  10. Vous ne pouvez pas ajouter une adresse IP au format CIDR à l'aide de l'interface utilisateur IAM. Si l'adresse IP de la base de données Oracle est au format CIDR, utilisez la demande suivante à partir de la collecte Postman. Reportez-vous à Modification d'une adresse IP à partir du format CIDR.
  11. Configurez l'authentification à plusieurs facteurs. Pour configurer l'authentification à plusieurs facteurs, reportez-vous à Gestion de l'authentification à plusieurs facteurs.

Fichiers journaux et informations de configuration de proxy RADIUS

Notez les emplacements de fichier de proxy RADIUS suivants pour les informations de journal et de configuration. Ces informations peuvent être utiles pour la résolution de problèmes.

Journaux de programme d'installation <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identity/ Cloud/ Service/ RADIUS/ Proxy_installation/Logs/
Journaux d'agent <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Journaux de proxy <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configuration de proxy <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configuration d'agent <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configuration client <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Correspondance de proxy RADIUS

Le proxy RADIUS et le processus d'écoute de proxy RADIUS appliquent une correspondance 1 à 1. Par exemple, pour chaque proxy RADIUS, il existe un processus d'écoute de proxy RADIUS. Plusieurs clients RADIUS Oracle Database peuvent être mis en correspondance avec un proxy RADIUS, c'est-à-dire qu'un proxy RADIUS applique une correspondance 1 à n avec les clients RADIUS Oracle Database.

Si un administrateur configure plusieurs clients RADIUS Oracle Database, plusieurs applications RADIUS Oracle Database doivent être créées dans les domaines d'identité IAM (une pour chaque client RADIUS Oracle Database). Par exemple, si un administrateur a configuré quatre clients RADIUS Oracle Database sur un proxy RADIUS, quatre applications RADIUS Oracle Database doivent être configurées dans les domaines d'identité IAM (une pour chaque client Oracle Database).