Documentazione di Oracle Cloud Infrastructure

Impostazione del proxy RADIUS

RADIUS (Remote Authentication Dial In User Service) è un protocollo di rete che definisce regole e convenzioni per la comunicazione tra dispositivi di rete. RADIUS Proxy autentica e autorizza utenti o dispositivi e tiene traccia anche dell'utilizzo di tali servizi.

Criterio o ruolo richiesto

Per impostare e convalidare il proxy RADIUS, è necessario disporre di uno dei seguenti privilegi di accesso:
  • Essere membro del gruppo Administrators
  • Assegnare il ruolo di amministratore del dominio di Identity o di amministratore della sicurezza
  • Essere membro di un gruppo a cui sono stati concessi i domini manage

Per ulteriori informazioni sui criteri e sui ruoli, vedere Ruoli del gruppo di amministratori, dei criteri e dell'amministratore, Introduzione ai ruoli dell'amministratore e Panoramica sui criteri IAM.

Impostazione del proxy RADIUS

Installare, configurare e testare il proxy RADIUS.

Informazioni preliminari:
  • Assicurarsi che il proxy RADIUS sia disponibile per il dominio di Identity. Il proxy RADIUS è disponibile solo per i tipi di dominio di Identity Premium e Premium di Oracle Apps. Per informazioni sui tipi di dominio di Identity e sulle funzioni e sui limiti associati a ciascuno di essi, vedere Tipi di dominio di Identity IAM.
  • Installare l'ultimo client Postman.
  • Scaricare la raccolta RADIUS Proxy Postman.
  • Rivedere le istruzioni di mapping del proxy RADIUS. Vedere Mapping proxy RADIUS.
  • Rivedere questi checkpoint. Durante l'impostazione del proxy RADIUS, utilizzare i checkpoint riportati di seguito per verificare che la configurazione sia corretta in ogni fase del processo.
    1. Verificare che il proxy RADIUS e l'applicazione client proxy RADIUS siano attivati nel dominio di Identity.
    2. Controllare che l'indirizzo IP del database e il numero di porta del proxy RADIUS siano configurati correttamente nell'applicazione RADIUS.
    3. Verificare che l'agente RADIUS sia attivo e in esecuzione.
    4. Controllare se il server proxy è attivo e in esecuzione.
    5. Controllare che il database sia attivo.
  1. Scaricare il programma di installazione proxy RADIUS più recente dalla pagina Download nella console.
    1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Identità, selezionare Domini. Fare clic sul nome del dominio di Identity in cui si desidera lavorare. Potrebbe essere necessario modificare il compartimento per trovare il dominio desiderato. Fare quindi clic su Impostazioni, quindi su Download.
    2. Scegliere Proxy RADIUS di Oracle Identity Cloud Service per Linux, quindi selezionare Scarica.
  2. Creare l'applicazione RADIUS dal modello di applicazione RADIUS. Nota: per REST, andare a Proxy RADIUS, Applicazione RADIUS, Cerca, quindi Cerca tutte le applicazioni (con i criteri di ricerca).
    1. Nella console, selezionare Applicazioni, Aggiungi, quindi Catalogo applicazioni.
    2. Cercare il Modello applicazione raggio di Oracle Database e selezionare Aggiungi.
    3. Completare i dettagli dell'applicazione simili all'esempio seguente.
      • Nome: server DB
      • Descrizione: applicazione che rappresenta il database server Oracle come client RADIUS
      • Indirizzo IP del server Oracle Database: 10.242.230.122 (questo indirizzo IP è il punto in cui è installato il database).
      • Porta del proxy RADIUS: 1812 (il numero di porta su cui il proxy RADIUS ascolta le richieste da questo database Oracle. È necessario configurare lo stesso numero di porta nelle impostazioni RADIUS di Oracle Database.)
      • Chiave segreta: testing123 (la chiave segreta utilizzata per proteggere le comunicazioni tra il proxy RADIUS e il server Oracle Database). La stessa chiave deve essere configurata nelle impostazioni RADIUS di Oracle Database.)
    4. Selezionare Aggiungi, Attiva, quindi selezionare la scheda Utenti.
      Nota

      Assegnare gli utenti autorizzati a collegarsi a Oracle Database a questa applicazione raggio selezionando Assegna utenti. Anziché assegnare singoli utenti, è possibile assegnare anche un gruppo contenente tali utenti. Selezionare la scheda Gruppi, quindi Assegna gruppi.

      Nota: creare il nome del gruppo nel dominio di Identity in base al formato definito nel passo 3C: configurare il server RADIUS in Configuring RADIUS Authentication: ORA_databaseSID_rolename[_[A]|[D]].

      Affinché ogni ruolo nel database Oracle venga identificato da IAM, creare un gruppo corrispondente utilizzando il formato precedente. Assegnare un utente a questo gruppo in IAM in modo che il rispettivo utente del database sia associato al rispettivo ruolo del database.

  3. Creare un proxy RADIUS in IAM.
    1. Registrare un'applicazione client. Vedere Register a Client Application.
    2. Aprire Postman e importare la raccolta RADIUS Proxy.postman_collection.json per effettuare le richieste REST in questa sezione.
    3. Importare il file di ambiente RADIUS Proxy Example Environment con il file di ambiente Variables.postman_environment.json che contiene le variabili di ambiente utilizzate nella raccolta.
    4. Impostare le variabili di ambiente riportate di seguito.

      Per HOST, utilizzare l'indirizzo IAM, ad esempio https://yourtenant.identity.oraclecloud.com/.

      Per CLIENT_ID e CLIENT_SECRET, utilizzare i valori copiati in precedenza.

      Nota

      Altre variabili di ambiente vengono impostate automaticamente quando vengono effettuate richieste REST. Assicurarsi che le seguenti richieste REST vengano effettuate nello stesso ordine.
    5. Ottenere un token di accesso. Per effettuare chiamate API a IAM, è necessario autenticare il client su IAM, quindi ottenere un token di accesso OAuth. Il token di accesso fornisce una sessione tra un client (in questo caso, Postman) e IAM. Per impostazione predefinita, il token di accesso ha un intervallo di timeout di 60 minuti, quindi è necessario richiedere un nuovo token di accesso per eseguire chiamate API REST aggiuntive. Per ottenere un token di accesso OAuth, effettuare la richiesta nella raccolta Postman in RADIUS Proxy, OAuth Token, quindi Ottenere access_token (credenziali client).
    6. Creare il proxy RADIUS utilizzando un'operazione POST. Andare a Proxy RADIUS, Crea, quindi Crea un proxy RADIUS.

      Punto finale: admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Usare questa operazione di patch per attivare il proxy RADIUS. Andare a Proxy RADIUS, Lifecycle, quindi Attiva un proxy RADIUS.

      Punto finale: /admin/v1/RadiusProxies/{{RPid}}

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Creare il listener proxy RADIUS utilizzando un'operazione POST. Andare a Proxy RADIUS, Listener proxy RADIUS, Crea, quindi a Creare un listener proxy RADIUS.

      Punto finale: {{HOST}}/admin/v1/RadiusProxyListeners

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Ottenere l'ID applicazione dbserver. Eseguire una chiamata GET su admin/v1/Apps?filter=displayName eq "dbserver". Recupera l'ID applicazione dalla risposta di questa chiamata GET. Andare a Proxy RADIUS, Applicazione RADIUS, Cerca, quindi Cerca tutte le applicazioni (con criteri di ricerca).
      È inoltre possibile ottenere l'ID applicazione dall'URL del dbserver.
    10. Creare un mapping proxy RADIUS utilizzando un'operazione POST. Andare a Proxy RADIUS, Mapping proxy RADIUS, Crea, quindi Crea un mapping proxy RADIUS.

      Punto finale: {{HOST}}/admin/v1/RadiusProxyMappings/

      Nota

      Per "valore" di seguito, l'ID è l'ID di Radius Proxy creato in precedenza. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Per istruzioni sul mapping proxy RADIUS, vedere Mapping proxy RADIUS.

    11. RICHIEDI client_id e clientSecret del proxy RADIUS. I valori client_id e clientSecret sono obbligatori durante l'installazione del proxy RADIUS. Il proxy RADIUS utilizza queste credenziali per eseguire l'autenticazione con IAM. Andare a Proxy RADIUS, Cerca, Crea, Ottieni ID client e segreto client dell'applicazione corrispondente al proxy RADIUS.

      Punto finale: {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId: è l'ID dell'applicazione corrispondente al proxy RADIUS. È possibile trovarlo nella risposta [response.oauthClient.value] nel passo 3f, Creare un mapping proxy RADIUS utilizzando un'operazione POST.

      Risposta:
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Eseguire Installer.
    1. Estrarre il file idcs_radius_proxy-xxxx.zip scaricato in una cartella.
    2. Denominare la cartella <radius bin location-xxxx>. Dove xxxx è il numero di versione (ad esempio, 20.1.3).
      Vengono estratti tre file: FileInfo.json, idcs_radius_proxy_installer.bin e InstallerValidation.jar. I file InstallerValidation.jar e idcs_radius_proxy_installer.bin si trovano nella stessa directory dopo l'estrazione. Devono rimanere nella stessa directory.
    3. Eseguire il login come utente root o eseguire il comando seguente come sudo: ./idcs_radius_proxy_installer.bin
      Nota

      Il programma di installazione supporta solo la modalità di interfaccia utente grafica. Non supporta la modalità console. Pertanto, se viene visualizzato l'errore "Graphical installers are not supported by the VM.", assicurarsi che il server X sia configurato correttamente. Quindi, eseguire questo comando come utente non root: xhost +si:localuser:root ed eseguire di nuovo il programma di installazione.
  5. Installare il proxy RADIUS.
    1. Leggere la schermata di benvenuto, quindi selezionare Successivo.
    2. Leggere la schermata Informazioni, quindi selezionare Avanti.
    3. Selezionare la cartella di destinazione (l'impostazione predefinita è /root/oracle_radius_proxy), in cui verrà installato il programma di installazione del proxy RADIUS. Selezionare Avanti.
    4. Nella schermata Proxy HTTP, selezionare Usa proxy HTTP se il proxy RADIUS deve utilizzare il proxy HTTP per connettersi a IAM. In caso contrario, lasciare deselezionata questa casella di controllo. Selezionare Avanti.
    5. Nella schermata IAM, immettere l'URL di Cloud Service nel seguente formato: https://yourtenant.identity.oraclecloud.com. Fornire l'ID client e il segreto client del proxy RADIUS creato in IAM. Questo è il proxy RADIUS creato utilizzando l'operazione POST sopra riportata. Selezionare Avanti.
    6. Nella schermata Informazioni utente e gruppo RADIUS, fornire le informazioni Nome utente e Gruppo dell'utente, ad esempio:
      • Nome utente: <client>
      • Gruppo: <dba>

      Il daemon proxy IAM RADIUS verrà eseguito con il nome utente e il gruppo specificati.

    7. Selezionare Successivo.
    8. Nella schermata di preinstallazione, verificare che tutte le informazioni siano corrette. Se le informazioni sono corrette, selezionare Install.
    9. Al termine dell'installazione, selezionare Done.
  6. Verificare che l'agente RADIUS e il proxy RADIUS siano in esecuzione. L'agente RADIUS ottiene i dati di configurazione da IAM a intervalli regolari. Aggiorna quindi i file di configurazione utilizzati dal proxy RADIUS.
    1. Utilizzare i comandi dell'agente RADIUS riportati di seguito per verificare se l'agente è in esecuzione.
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • Se necessario, è possibile utilizzare anche stop, start e restart.
    2. Utilizzare il seguente comando per eseguire il proxy RADIUS: /sbin/service idcs_radiusd start
    3. Eseguire i comandi del server RADIUS per verificare che il servizio RADIUS sia in esecuzione isRADIUS.
      • /sbin/service idcs_radiusd status
      • Se necessario, è possibile utilizzare anche stop, start e restart.
  7. (Facoltativo) Utilizzare la utility di test NTRadPing per verificare che il proxy RADIUS funzioni.
    1. Installare la utility di test NTRadPing in Windows, quindi creare un utente in IAM.
    2. Utilizzare lo screenshot riportato di seguito come esempio. Nello screenshot riportato di seguito, client è l'utente creato in IAM e testing123 è la chiave segreta fornita nelle impostazioni RADIUS, chiave segreta della pagina Dettagli applicazione.

      L'immagine seguente mostra l'utilità di test NTRadPing in Windows:

      Screenshot di NTRadPing Test Utility in Windows

  8. Configura e configura Oracle Database 12c. Seguire le istruzioni in Configurazione dell'autenticazione, quindi utilizzare i comandi riportati di seguito per creare un utente/ruolo nel database.
  9. Configura e configura Oracle Database 12c. Per ulteriori informazioni, vedere Configurazione dell'autenticazione RADIUS. Seguire le istruzioni riportate nella sezione Configuring RADIUS Authentication per creare un utente e un ruolo nel database.
  10. Non è possibile aggiungere un indirizzo IP in formato CIDR utilizzando l'interfaccia utente IAM. Se l'indirizzo IP di Oracle Database è in formato CIDR, utilizzare la richiesta riportata di seguito dalla raccolta Postman. Vedere Modifica di un indirizzo IP da un formato CIDR.
  11. Imposta MFA. Per impostare l'autenticazione MFA, attenersi alle istruzioni riportate di seguito. Vedere Gestione dell'autenticazione con più fattori.

File di log proxy RADIUS e informazioni di configurazione

Prendere nota delle seguenti posizioni dei file proxy RADIUS per le informazioni di log e configurazione. Queste informazioni possono essere utili per la risoluzione dei problemi.

Log programma di installazione <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identità/ Cloud/ Servizio/ RADIUS/ Proxy_installation/Log/
Log agente <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Log proxy <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configurazione proxy <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configurazione agente <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configurazione client <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Mapping proxy RADIUS

Il proxy RADIUS e il listener proxy RADIUS hanno un mapping 1-1, ad esempio per ogni proxy RADIUS esiste un listener proxy RADIUS. È possibile mappare più client RADIUS di Oracle DB a un proxy RADIUS, ovvero un proxy RADIUS dispone di un mapping 1-n con i client RADIUS di Oracle DB.

Se un amministratore configura più client RADIUS Oracle DB, è necessario creare molte applicazioni RADIUS Oracle Database nei domini di Identity IAM, uno per ciascun client RADIUS Oracle DB. Ad esempio, se un amministratore ha configurato quattro client Oracle DB RADIUS con un proxy RADIUS, nei domini di Identity IAM devono essere configurate quattro applicazioni Oracle Database RADIUS, una per ciascun client Oracle DB.