Documentação do Oracle Cloud Infrastructure

Configurando o Proxy RADIUS

O RADIUS (Remote Authentication Dial In User Service) é um protocolo de rede que define regras e convenções para comunicação entre dispositivos de rede. O Proxy do RADIUS autentica e autoriza usuários ou dispositivos e também rastreia o uso desses serviços.

Política ou Atribuição Obrigatória

Para configurar e validar o Proxy RADIUS, você deve ter uma das seguintes concessões de acesso:
  • Ser membro do grupo de Administradores
  • Ter recebido a atribuição Administrador de Domínio de Identidades ou Administrador de Segurança
  • Ser membro de um grupo que recebeu domínios manage

Para entender mais sobre políticas e atribuições, consulte O Grupo de Administradores, a Política e as Atribuições de Administrador, Noções Básicas de Atribuições de Administrador e Noções Básicas de Políticas.

Configurando o Proxy RADIUS

Instale, configure e teste o Proxy RADIUS.

Antes de começar:
  • Certifique-se de que seu Proxy RADIUS esteja disponível para seu domínio de identidades. O Proxy RADIUS só está disponível para os Tipos de Domínio de Identidades Premium e Aplicativos Oracle Premium. Para saber mais sobre os tipos de domínio de identidades e os recursos e limites associados a cada um deles, consulte Tipos de Domínio de Identidades do Serviço IAM.
  • Instale o cliente Postman mais recente.
  • Faça download da coleção Postman do Proxy RADIUS.
  • Verifique as instruções de mapeamento de Proxy RADIUS. Consulte Mapeamento de Proxy RADIUS.
  • Verifique esses pontos. Enquanto configura o Proxy RADIUS, use os pontos de verificação a seguir para confirmar se sua configuração está correta em cada etapa do processo.
    1. Verifique se o Proxy RADIUS e o Aplicativo Cliente do Proxy RADIUS estão ativados no domínio de identidades.
    2. Verifique se o endereço IP do Banco de Dados e o número da porta do Proxy RADIUS estão configurados corretamente no Aplicativo RADIUS.
    3. Verifique se o Agente RADIUS está em funcionamento
    4. Verifique se o servidor proxy está em funcionamento.
    5. Verifique se o banco de dados está ativo.
  1. Faça download do Instalador do Proxy RADIUS mais recente na página Downloads da Console.
    1. Abra o menu de navegação e clique em Segurança de Identidade. Em Identidade, clique em Domínios. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Definições e, em seguida, em Downloads.
    2. Escolha Oracle Identity Cloud Service RADIUS Proxy for Linux e clique em Fazer Download.
  2. Crie o Aplicativo RADIUS com base no Modelo de Aplicativo RADIUS. Observação: Para REST, vá para Proxy RADIUS, Aplicativo RADIUS, Pesquisar e Pesquisar todos os aplicativos (com critérios de pesquisa).
    1. Na Console, clique em Applications, Add e, em seguida, em App Catalog.
    2. Procure o Modelo de Aplicativo Radius do Oracle Database e clique em Adicionar.
    3. Preencha os detalhes do Aplicativo como no exemplo a seguir.
      • Nome: dbserver
      • Descrição: O aplicativo que representa o servidor de banco de dados Oracle como um cliente RADIUS
      • Endereço IP do servidor do Oracle Database: 10.242.230.122 (Esse endereço IP é onde o banco de dados está instalado.)
      • Porta do Proxy RADIUS: 1812 (O número da porta na qual o Proxy RADIUS atende às solicitações desse banco de dados Oracle. O mesmo número de porta deve ser configurado nas definições do RADIUS do Oracle Database.)
      • Chave secreta: testing123 (A chave secreta usada para proteger a comunicação entre o Proxy RADIUS e o servidor do Oracle Database. A mesma chave deve ser configurada nas definições do RADIUS do Oracle Database.)
    4. Clique em Adicionar, Ativar e, em seguida, clique na guia Usuários.
      Nota

      Designe os usuários com permissão para acessar o Oracle Database a esse Aplicativo Radius clicando em Designar Usuários. Em vez de designar usuários individuais, um Grupo que contém esses usuários também pode ser designado. Clique na guia Grupos e, em seguida, em Designar Grupos.

      Observação: Crie o nome do grupo no domínio de identidades de acordo com o seguinte formato definido na Etapa 3C: Configure o Servidor RADIUS em Configurando a Autenticação do RADIUS: ORA_databaseSID_rolename[_[A]|[D]].

      Para que cada atribuição no banco de dados Oracle seja identificada pelo serviço IAM, crie um grupo correspondente usando o formato acima. Designe um usuário a esse grupo no serviço IAM para que o respectivo usuário do banco de dados esteja associado à respectiva atribuição de banco de dados.

  3. Crie um Proxy RADIUS no serviço IAM.
    1. Registre um Aplicativo Cliente. Consulte Registrar um Aplicativo Cliente.
    2. Abra o Postman e importe a coleção RADIUS Proxy.postman_collection.json para fazer as solicitações REST nesta seção.
    3. Importe o arquivo de ambiente RADIUS Proxy Example Environment with Variables.postman_environment.json que contém as variáveis de ambiente usadas na coleção.
    4. Defina as seguintes variáveis de ambiente.

      Para HOST, use o endereço do serviço IAM, por exemplo, https://yourtenant.identity.oraclecloud.com/.

      Para CLIENT_ID e CLIENT_SECRET, use os valores copiados acima.

      Observação

      Outras variáveis de ambiente são definidas automaticamente quando solicitações REST são feitas. Certifique-se de que as solicitações REST a seguir sejam feitas na mesma ordem.
    5. Obtenha um token de acesso. Para fazer chamadas de API para o serviço IAM, autentique seu cliente no serviço IAM e obtenha um token de acesso OAuth. O token de acesso fornece uma sessão entre um cliente (nesse caso, Postman) e o serviço IAM. Por padrão, o token de acesso tem um intervalo de timeout de 60 minutos e você deverá solicitar um novo token de acesso para executar chamadas adicionais de API REST. Para obter um token de acesso OAuth, faça a solicitação na coleção Postman em Proxy RADIUS, Token OAuth e, em seguida, Obter access_token (credenciais do cliente).
    6. Crie o Proxy RADIUS usando uma Operação POST. Vá para RADIUS Proxy, Create e, em seguida, Create a RADIUS Proxy.

      Ponto final: admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Use esta Operação de Patch para ativar o Proxy RADIUS. Vá para RADIUS Proxy, Lifecycle e, em seguida, Activate a RADIUS Proxy.

      Ponto final: /admin/v1/RadiusProxies/{{RPid}}

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Crie o Listener do Proxy RADIUS usando uma Operação POST. Vá para RADIUS Proxy, RADIUS Proxy Listeners, Create e Create a RADIUS Proxy Listener.

      Ponto final: {{HOST}}/admin/v1/RadiusProxyListeners

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Obtenha o ID do Aplicativo dbserver. Execute uma chamada GET em admin/v1/Apps?filter=displayName eq "dbserver". Extraia o ID do Aplicativo da resposta dessa chamada GET. Vá para RADIUS Proxy, RADIUS App, Search e Search all apps (with search criteria).
      Você também pode obter o ID do Aplicativo no URL do dbserver.
    10. Crie um Mapeamento do Proxy RADIUS usando uma Operação POST. Vá para RADIUS Proxy, RADIUS Proxy Mappings, Create e Create a RADIUS Proxy Mapping.

      Ponto final: {{HOST}}/admin/v1/RadiusProxyMappings/

      Observação

      Para "valor" abaixo, o ID é o do Proxy Radius criado acima. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Para obter instruções sobre o mapeamento de Proxy RADIUS, consulte Mapeamento de Proxy RADIUS.

    11. GET client_id e clientSecret do Proxy RADIUS. client_id e clientSecret são obrigatórios durante a instalação do Proxy RADIUS. O Proxy RADIUS usa essas credenciais para autenticação no serviço IAM. Vá para RADIUS Proxy, Search, Create, Get client ID, and client secret of the App corresponding to RADIUS Proxy.

      Ponto final: {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId: é o ID do Aplicativo correspondente ao Proxy RADIUS. Você pode encontrá-lo na resposta [response.oauthClient.value] na etapa 3f, Criar um Mapeamento do Proxy RADIUS usando uma Operação POST.

      Resposta:
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Execute o Instalador.
    1. Descompacte em uma pasta o arquivo idcs_radius_proxy-xxxx.zip baixado.
    2. Nomeie a pasta <radius bin location-xxxx>. Em que xxxx é o número da versão (por exemplo, 20.1.3).
      Três arquivos são extraídos: FileInfo.json, idcs_radius_proxy_installer.bin e InstallerValidation.jar. O arquivo InstallerValidation.jar e o arquivo idcs_radius_proxy_installer.bin estão localizados no mesmo diretório após a extração. Eles devem permanecer no mesmo diretório.
    3. Faça log-in como usuário raiz ou execute o seguinte comando como sudo: ./idcs_radius_proxy_installer.bin
      Observação

      O instalador só suporta o modo Interface Gráfica do Usuário. Ele não suporta o modo console. Portanto, se você vir o erro: "Graphical installers are not supported by the VM.", certifique-se de que o X server esteja configurado corretamente. Em seguida, execute este comando como usuário não raiz: xhost +si:localuser:root e execute o instalador novamente.
  5. Instale o Proxy RADIUS.
    1. Leia a tela de Boas-vindas e clique em Próximo.
    2. Leia a tela de Informações e clique em Próximo.
    3. Selecione a Pasta de Destino (o padrão é /root/oracle_radius_proxy), onde o instalador do Proxy RADIUS será instalado. Clique em Próximo.
    4. Na tela Proxy HTTP, selecione Usar Proxy HTTP se o Proxy RADIUS precisar usar o proxy HTTP para estabelecer conexão com o serviço IAM. Caso contrário, deixe esta caixa de seleção desmarcada. Clique em Próximo.
    5. Na tela do serviço IAM, digite o URL do Cloud Service neste formato: https://yourtenant.identity.oraclecloud.com. Forneça o ID do Cliente e o Segredo do Cliente do Proxy RADIUS criado no serviço IAM. (Esse é o Proxy RADIUS que você criou usando a Operação POST acima.) Clique em Próximo.
    6. Na tela Informações de Usuários e Grupos do RADIUS, forneça as informações de Nome do Usuário e Grupo de usuários, por exemplo:
      • Nome do Usuário: <client>
      • Grupo: <dba>

      O daemon do Proxy RADIUS do serviço IAM será executado sob o nome de usuário e o grupo especificados.

    7. Clique em Próximo.
    8. Na tela de pré-instalação, verifique se todas as informações estão corretas. Se as informações estiverem corretas, clique em Instalar.
    9. Quando a instalação estiver concluída, clique em Concluído.
  6. Verifique se o Agente RADIUS e o Proxy RADIUS estão em execução. O Agente RADIUS obtém dados de configuração do serviço IAM em intervalos regulares. Em seguida, ele atualiza os arquivos de configuração usados pelo Proxy RADIUS.
    1. Use os seguintes comandos do Agente RADIUS para verificar se o agente está em execução:
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • Você também pode usar stop, start e restart, se necessário.
    2. Use o seguinte comando para executar o Proxy RADIUS: /sbin/service idcs_radiusd start
    3. Execute esses comandos do servidor RADIUS para verificar se o serviço RADIUS está em execução.
      • /sbin/service idcs_radiusd status
      • Você também pode usar stop, start e restart, se necessário.
  7. (Opcional) Use o Utilitário de Teste NTRadPing para confirmar se o proxy RADIUS está funcionando.
    1. Instale o Utilitário de Teste NTRadPing no Windows e, em seguida, crie um Usuário no serviço IAM.
    2. Use a captura de tela abaixo como exemplo. Na captura de tela abaixo, cliente é o usuário criado no serviço IAM e testing123 é a chave secreta fornecida nas Definições do RADIUS, Chave secreta da página Detalhes do Aplicativo.

      A imagem a seguir mostra o utilitário de teste NTRadPing no Windows:

      Captura de tela do Utilitário de Teste NTRadPing no Windows

  8. Instalar e Configurar o Oracle Database 12c. Siga as instruções em Configurando a Autenticação e use os comandos a seguir para criar um usuário/atribuição no banco de dados.
  9. Instalar e Configurar o Oracle Database 12c. Para obter mais informações, consulte Configurando a Autenticação do RADIUS. Siga as instruções na seção Configurando a Autenticação do RADIUS para criar um usuário e uma atribuição no banco de dados.
  10. Não é possível adicionar um endereço IP no formato CIDR usando a interface do usuário do serviço IAM. Se o endereço IP do Oracle Database estiver no formato CIDR, use a seguinte solicitação da coleção Postman. Consulte Alterar um Endereço IP do Formato CIDR.
  11. Configure a autenticação MFA. Para configurar a MFA siga estas instruções; consulte Gerenciando a Autenticação Multifator.

Arquivos de Log e Informações de Configuração do Proxy RADIUS

Observe as seguintes localizações de arquivo do Proxy RADIUS para informações de log e configuração. Essas informações podem ser úteis para solucionar problemas.

Logs do Instalador <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identity/ Cloud/ Service/ RADIUS/ Proxy_installation/Logs/
Logs do Agente <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Logs de proxy <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configuração de Proxy <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configuração do Agente <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configuração do Cliente <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Mapeamento de Proxy RADIUS

O Proxy RADIUS e o Listener do Proxy RADIUS têm um mapeamento 1-1. Por exemplo, para cada Proxy RADIUS, há um Listener do Proxy RADIUS. Vários clientes RADIUS do Oracle Database podem ser mapeados para um Proxy RADIUS, ou seja, um Proxy RADIUS tem um mapeamento 1-n com clientes RADIUS do Oracle Database.

Se um administrador configurar vários clientes RADIUS do Oracle Database, muitos aplicativos RADIUS do Oracle Database precisarão ser criados em domínios de identidades do IAM - um para cada cliente RADIUS do Oracle Database. Por exemplo, se um administrador tiver configurado quatro clientes RADIUS do Oracle Database em um Proxy RADIUS, nos domínios de identidades do serviço IAM deverá haver quatro aplicativos RADIUS do Oracle Database configurados - um para cada cliente do Oracle Database.