Documentazione dell'infrastruttura Oracle Cloud

Impostazione del proxy RADIUS

RADIUS (Remote Authentication Dial In User Service) è un protocollo di rete che definisce le regole e le convenzioni per la comunicazione tra i dispositivi di rete. RADIUS Proxy autentica e autorizza gli utenti o i dispositivi e tiene traccia anche dell'utilizzo di tali servizi.

Criterio o ruolo richiesto

Per impostare e convalidare RADIUS Proxy, è necessario disporre di uno dei seguenti privilegi di accesso:
  • Essere membro del gruppo Administrators
  • Ottenere il ruolo di amministratore del dominio di Identity o di amministratore della sicurezza
  • Essere membro di un gruppo a cui sono stati concessi i domini manage

Per ulteriori informazioni su criteri e ruoli, vedere Gruppi di amministratori, criteri e ruoli di amministratore, Informazioni sui ruoli di amministratore e Panoramica sui criteri IAM.

Impostazione del proxy RADIUS

Installare, configurare e testare RADIUS Proxy.

Prima di iniziare :
  • Assicurarsi che il proxy RADIUS sia disponibile per il dominio di Identity. Il proxy RADIUS è disponibile solo per i tipi di dominio di Identity Premium e Premium di Oracle Apps. Per ulteriori informazioni sui tipi di dominio di Identity e sulle funzioni e i limiti associati a ciascuno, vedere Tipi di dominio di Identity IAM.
  • Installare il client Postman più recente.
  • Scaricare la raccolta RADIUS Proxy Postman.
  • Esaminare le istruzioni di mapping del proxy RADIUS. Vedere Mapping proxy RADIUS.
  • Esaminare questi checkpoint. Durante l'impostazione di RADIUS Proxy, utilizzare i checkpoint riportati di seguito per verificare che la configurazione sia corretta in ogni fase del processo.
    1. Verificare che il proxy RADIUS e l'applicazione client proxy RADIUS siano attivati nel dominio di Identity.
    2. Controllare che l'indirizzo IP del database e il numero di porta del proxy RADIUS siano configurati correttamente nell'applicazione RADIUS.
    3. Controllare che l'agente RADIUS sia attivo e in esecuzione.
    4. Controllare che il server proxy sia attivo e in esecuzione.
    5. Controllare che il database sia attivo.
  1. Scaricare l'Installer proxy RADIUS più recente dalla pagina Download nella console.
    1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità selezionare Domini. Fare clic sul nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Fare quindi clic su Impostazioni, quindi su Download.
    2. Scegliere Proxy RADIUS di Oracle Identity Cloud Service per Linux, quindi Scarica.
  2. Creare l'applicazione RADIUS dal modello di applicazione RADIUS. Nota: per REST andare a Proxy RADIUS, App RADIUS, Cerca, quindi Cerca tutte le applicazioni (con criteri di ricerca).
    1. Nella console selezionare Applicazioni, Aggiungi, quindi Catalogo applicazioni.
    2. Cercare il modello applicazione Oracle Database Radius e selezionare Aggiungi.
    3. Completare i dettagli dell'applicazione in modo simile all'esempio seguente.
      • Nome: dbserver
      • Descrizione: applicazione che rappresenta il database server Oracle come client RADIUS.
      • Indirizzo IP del server Oracle Database: 10.242.230.122 (questo indirizzo IP è la posizione in cui è installato il database).
      • Porta del proxy RADIUS: 1812 (il numero di porta su cui il proxy RADIUS ascolta le richieste di questo database Oracle. Lo stesso numero di porta deve essere configurato nelle impostazioni RADIUS di Oracle Database.
      • Chiave segreta: testing123 (chiave segreta utilizzata per proteggere le comunicazioni tra il Proxy RADIUS e il server Oracle Database. La stessa chiave deve essere configurata nelle impostazioni RADIUS di Oracle Database.
    4. Selezionare Aggiungi, Attiva, quindi selezionare la scheda Utenti.
      Nota

      Assegnare gli utenti autorizzati ad accedere a Oracle Database e a questa applicazione Radius selezionando Assegna utenti. Invece di assegnare singoli utenti, è possibile assegnare anche un gruppo contenente tali utenti. Selezionare la scheda Gruppi, quindi Assegna gruppi.

      Nota: creare il nome del gruppo nel dominio di Identity in base al formato seguente definito nel passo 3C: configurare il server RADIUS in Configurazione dell'autenticazione RADIUS: ORA_databaseSID_rolename[_[A]|[D]].

      Affinché ogni ruolo nel database Oracle sia identificato da IAM, creare un gruppo corrispondente utilizzando il formato sopra riportato. Assegnare un utente a questo gruppo in IAM in modo che il rispettivo utente del database sia associato al rispettivo ruolo del database.

  3. Creare un proxy RADIUS in IAM.
    1. Registrare un'applicazione client. Vedere Registrare un'applicazione client.
    2. Aprire Postman e importare la raccolta RADIUS Proxy.postman_collection.json per effettuare le richieste REST in questa sezione.
    3. Importare il file di ambiente RADIUS Proxy Example Environment con Variables.postman_environment.json che contiene le variabili di ambiente utilizzate nella raccolta.
    4. Impostare le variabili d'ambiente seguenti.

      Per HOST, utilizzare l'indirizzo IAM, ad esempio https://yourtenant.identity.oraclecloud.com/.

      Per CLIENT_ID e CLIENT_SECRET, utilizzare i valori copiati sopra.

      Nota

      Altre variabili di ambiente vengono impostate automaticamente quando vengono effettuate richieste REST. Assicurarsi che le richieste REST seguenti vengano eseguite nello stesso ordine.
    5. Ottenere un token di accesso. Per effettuare chiamate API a IAM, è necessario autenticare il client su IAM, quindi ottenere un token di accesso OAuth. Il token di accesso fornisce una sessione tra un client (in questo caso Postman) e IAM. Per impostazione predefinita, il token di accesso prevede un intervallo di timeout di 60 minuti, quindi è necessario richiedere un nuovo token di accesso per eseguire chiamate API REST aggiuntive. Per ottenere un token di accesso OAuth, effettuare la richiesta nella raccolta Postman in Proxy RADIUS, OAuth Token, quindi in Ottenere access_token (credenziali client).
    6. Creare il proxy RADIUS utilizzando un'operazione POST. Andare a Proxy RADIUS, Crea e quindi Crea un proxy RADIUS.

      Endpoint: admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Utilizzare questa operazione patch per attivare il proxy RADIUS. Andare a Proxy RADIUS, Ciclo di vita e quindi Attiva un proxy RADIUS.

      Endpoint: /admin/v1/RadiusProxies/{{RPid}} 

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Creare il listener proxy RADIUS utilizzando un'operazione POST. Andare a Proxy RADIUS, Listener proxy RADIUS, Crea e quindi Crea un listener proxy RADIUS.

      Endpoint: {{HOST}}/admin/v1/RadiusProxyListeners 

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Ottenere l'ID dell'applicazione dbserver. Eseguire una chiamata GET su admin/v1/Apps?filter=displayName eq "dbserver". Recupera l'ID applicazione dalla risposta di questa chiamata GET. Andare a Proxy RADIUS, Applicazione RADIUS, Cerca e quindi Cerca tutte le applicazioni (con criteri di ricerca).
      È inoltre possibile ottenere l'ID applicazione dall'URL di dbserver.
    10. Creare un mapping proxy RADIUS utilizzando un'operazione POST. Andare a Proxy RADIUS, Mapping proxy RADIUS, Crea e quindi Crea un mapping proxy RADIUS.

      Endpoint: {{HOST}}/admin/v1/RadiusProxyMappings/

      Nota

      Per "valore" riportato di seguito, l'ID è l'ID del proxy Radius creato in precedenza. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Per istruzioni sul mapping proxy RADIUS, vedere Mapping proxy RADIUS.

    11. GET client_id e clientSecret del proxy RADIUS. I parametri client_id e clientSecret sono richiesti durante l'installazione proxy RADIUS. Il proxy RADIUS utilizza queste credenziali per l'autenticazione con IAM. Andare a Proxy RADIUS, Cerca, Crea, Recupera ID client e segreto client dell'applicazione corrispondente al proxy RADIUS.

      Endpoint: {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId: è l'ID dell'applicazione corrispondente al proxy RADIUS. È possibile trovarlo nella risposta [response.oauthClient.value] nel passo 3f, Creare un mapping proxy RADIUS utilizzando un'operazione POST.

      Risposta:
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Eseguire il programma di installazione.
    1. Decomprimere il file idcs_radius_proxy-xxxx.zip scaricato in una cartella.
    2. Denominare la cartella <radius bin location-xxxx>. Dove xxxx è il numero di versione (ad esempio, 20.1.3).
      Vengono estratti tre file: FileInfo.json, idcs_radius_proxy_installer.bin e InstallerValidation.jar. Il file InstallerValidation.jar e il file idcs_radius_proxy_installer.bin si trovano nella stessa directory dopo l'estrazione. Devono rimanere nella stessa directory.
    3. Eseguire il login come utente root o il comando seguente come sudo: ./idcs_radius_proxy_installer.bin
      Nota

      Il programma di installazione supporta solo la modalità Interfaccia utente grafica. Non supporta la modalità console. Pertanto, se viene visualizzato l'errore "Graphical installers are not supported by the VM.", assicurarsi che il server X sia configurato correttamente. Eseguire quindi questo comando come utente non root: xhost +si:localuser:root ed eseguire nuovamente il programma di installazione.
  5. Installa proxy RADIUS.
    1. Leggere la schermata di benvenuto, quindi selezionare Avanti.
    2. Leggere la schermata Informazioni, quindi selezionare Successivo.
    3. Selezionare la cartella di destinazione (l'impostazione predefinita è /root/oracle_radius_proxy), in cui verrà installato il programma di installazione proxy RADIUS. Selezionare Next.
    4. Nella schermata Proxy HTTP, selezionare Usa proxy HTTP se il proxy RADIUS deve utilizzare il proxy HTTP per connettersi a IAM. In caso contrario, lasciare deselezionata questa casella di controllo. Selezionare Next.
    5. Nella schermata IAM, immettere l'URL di Cloud Service nel seguente formato: https://yourtenant.identity.oraclecloud.com. Fornire l'ID client e il segreto client del proxy RADIUS creato in IAM. (Questo è il proxy RADIUS creato utilizzando l'operazione POST sopra.) Selezionare Next.
    6. Nella schermata Informazioni utente e gruppo RADIUS, fornire le informazioni Nome utente e Gruppo utente, ad esempio:
      • Nome utente: <client>
      • Gruppo: <dba>

      Il daemon proxy IAM RADIUS verrà eseguito nel nome utente e nel gruppo specificati.

    7. Selezionare Next.
    8. Nella schermata di preinstallazione verificare che tutte le informazioni siano corrette. Se le informazioni sono corrette, selezionare Installa.
    9. Al termine dell'installazione, selezionare Done (Fine).
  6. Verificare che l'agente RADIUS e il proxy RADIUS siano in esecuzione. L'agente RADIUS ottiene i dati di configurazione da IAM a intervalli regolari. Aggiorna quindi i file di configurazione utilizzati dal proxy RADIUS.
    1. Utilizzare i comandi RADIUS Agent riportati di seguito per verificare se l'agente è in esecuzione.
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • Se necessario, è anche possibile utilizzare stop, start e restart.
    2. Usare il comando seguente per eseguire il proxy RADIUS: /sbin/service idcs_radiusd start
    3. Eseguire questi comandi del server RADIUS per verificare che il servizio RADIUS isRADIUS sia in esecuzione.
      • /sbin/service idcs_radiusd status
      • Se necessario, è anche possibile utilizzare stop, start e restart.
  7. (Opzionale) Utilizzare la utility di test NTRadPing per verificare che il proxy RADIUS funzioni.
    1. Installare la utility di test NTRadPing in Windows, quindi creare un utente in IAM.
    2. Utilizzare lo screenshot riportato di seguito come esempio. Nello screenshot seguente il client è l'utente creato in IAM e testing123 è la chiave segreta fornita in Impostazioni RADIUS, Chiave segreta della pagina Dettagli applicazione.

      L'immagine seguente mostra la utility di test NTRadPing in Windows:

      Screenshot dell'utility di test NTRadPing in Windows

  8. Impostare e configurare Oracle Database 12c. Seguire le istruzioni riportate in Configuring Authentication, quindi utilizzare i comandi riportati di seguito per creare un utente/ruolo nel database.
  9. Impostare e configurare Oracle Database 12c. Per ulteriori informazioni, vedere Configurazione dell'autenticazione RADIUS. Seguire le istruzioni nella sezione Configuring RADIUS Authentication per creare un utente e un ruolo nel database.
  10. Non è possibile aggiungere un indirizzo IP in formato CIDR utilizzando l'interfaccia utente IAM. Se l'indirizzo IP di Oracle Database è in formato CIDR, utilizzare la richiesta riportata di seguito dalla raccolta Postman. Vedere Modifica di un indirizzo IP da un formato CIDR.
  11. Impostazione dell'autenticazione MFA. Per impostare l'autenticazione a più fattori, seguire queste istruzioni. Vedere Gestione dell'autenticazione a più fattori.

File di log proxy RADIUS e informazioni di configurazione

Prendere nota delle seguenti posizioni dei file proxy RADIUS per informazioni su log e configurazione. Queste informazioni possono essere utili per risolvere i problemi.

Log dei programmi di installazione <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identità/ Cloud/ Servizio/ RADIUS/ Proxy_installation/Log/
Log agente <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Log proxy <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configurazione proxy <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configurazione dell'agente <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configurazione client <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Mapping proxy RADIUS

Il proxy RADIUS e il listener proxy RADIUS hanno una mappatura 1-1, ad esempio per ogni proxy RADIUS c'è un listener proxy RADIUS. Più client Oracle DB RADIUS possono essere mappati a un proxy RADIUS, ovvero un proxy RADIUS ha un mapping di 1-n con i client Oracle DB RADIUS.

Se un amministratore configura più client Oracle DB RADIUS, è necessario creare molte applicazioni Oracle Database RADIUS nei domini di Identity IAM, uno per ogni client Oracle DB RADIUS. Ad esempio, se un amministratore ha configurato quattro client Oracle DB RADIUS in un proxy RADIUS, nei domini di Identity IAM devono esistere quattro applicazioni Oracle Database RADIUS configurate una per ogni client Oracle DB.