Documentação do Oracle Cloud Infrastructure

Configurando o Proxy RADIUS

O RADIUS (Remote Authentication Dial In User Service) é um protocolo de rede que define regras e convenções para comunicação entre dispositivos de rede. O Proxy do RADIUS autentica e autoriza usuários ou dispositivos e também rastreia o uso desses serviços.

Política ou Atribuição Obrigatória

Para configurar e validar o Proxy RADIUS, você deve ter uma das seguintes concessões de acesso:
  • Ser membro do grupo de Administradores
  • Ter recebido a atribuição Administrador de Domínio de Identidades ou Administrador de Segurança
  • Ser membro de um grupo que recebeu domínios manage

Para entender mais sobre políticas e atribuições, consulte Grupo de Administradores, Política e Atribuições do Administrador, Entendendo Atribuições do Administrador e Visão Geral de Políticas do Serviço IAM.

Configurando o Proxy RADIUS

Instale, configure e teste o Proxy RADIUS.

Antes de Começar a :
  • Certifique-se de que seu Proxy RADIUS esteja disponível para seu domínio de identidades. O Proxy RADIUS só está disponível para os Tipos de Domínio de Identidades Premium e Aplicativos Oracle Premium. Para saber mais sobre os tipos de domínio de identidades e os recursos e limites associados a cada um deles, consulte Tipos de Domínio de Identidades do Serviço IAM.
  • Instale o cliente Postman mais recente.
  • Faça download da coleção Postman do Proxy RADIUS.
  • Verifique as instruções de mapeamento de Proxy RADIUS. Consulte Mapeamento de Proxy RADIUS.
  • Verifique esses pontos. Enquanto configura o Proxy RADIUS, use os pontos de verificação a seguir para confirmar se sua configuração está correta em cada etapa do processo.
    1. Verifique se o Proxy RADIUS e o Aplicativo Cliente do Proxy RADIUS estão ativados no domínio de identidades.
    2. Verifique se o endereço IP do Banco de Dados e o número da porta do Proxy RADIUS estão configurados corretamente no Aplicativo RADIUS.
    3. Verifique se o Agente RADIUS está em funcionamento
    4. Verifique se o servidor proxy está em funcionamento.
    5. Verifique se o banco de dados está ativo.
  1. Faça download do Instalador de Proxy RADIUS mais recente na página Downloads da Console.
    1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Clique no nome do domínio de identidades no qual deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Configurações e depois em Downloads.
    2. Escolha Proxy RADIUS do Oracle Identity Cloud Service para Linux e selecione Fazer Download.
  2. Crie o Aplicativo RADIUS com base no Modelo de Aplicativo RADIUS. Observação: Para REST, vá para RADIUS Proxy, RADIUS App, Search e, em seguida, Search all apps (com critérios de pesquisa).
    1. Na Console, selecione Aplicativos, Adicionar e, em seguida, Catálogo de Aplicativos.
    2. Procure o Modelo do Aplicativo Oracle Database Radius e selecione Adicionar.
    3. Preencha os detalhes do Aplicativo como no exemplo a seguir.
      • Nome: dbserver
      • Descrição: Aplicativo que representa o servidor do banco de dados Oracle como um cliente RADIUS
      • Endereço IIP do servidor Oracle Database: 10.242.230.122 (Esse endereço IP é o local em que o banco de dados está instalado.)
      • Porta do Proxy RADIUS: 1812 (O número de porta em que o Proxy RADIUS faz listening das solicitações deste banco de dados da Oracle. O mesmo número de porta deve ser configurado nas definições do RADIUS do Oracle Database.)
      • Chave Secreta: testing123 (A chave secreta usada para proteger a comunicação entre a Proxy RADIUS e o servidor Oracle Database. A mesma chave deve ser configurada nas definições do RADIUS do Oracle Database.)
    4. Selecione Adicionar, Ativar e depois selecione a guia Usuários.
      Nota

      Atribua os usuários que têm permissão para acessar ao Oracle Database a este Aplicativo Radius selecionando Atribuir Usuários. Em vez de designar usuários individuais, um Grupo que contém esses usuários também pode ser designado. Selecione a guia Grupos e Atribuir Grupos.

      Observação: Crie o nome do grupo no domínio de identidades de acordo com o seguinte formato definido na Etapa 3C: Configure o Servidor RADIUS em Configurando a Autenticação do RADIUS: ORA_databaseSID_rolename[_[A]|[D]].

      Para cada atribuição no banco de dados Oracle a ser identificada pelo IAM, crie um grupo correspondente usando o formato acima. Atribua um usuário a este grupo no IAM para que o respectivo usuário de banco de dados esteja associado à respectiva atribuição de banco de dados.

  3. Crie um Proxy RADIUS no IAM.
    1. Registre um Aplicativo Cliente. Consulte Registrar um Aplicativo Cliente.
    2. Abra o Postman e importe a coleção RADIUS Proxy.postman_collection.json para fazer as solicitações REST nesta seção.
    3. Importe o arquivo de ambiente RADIUS Proxy Example Environment with Variables.postman_environment.json que contém as variáveis de ambiente usadas na coleção.
    4. Defina as seguintes variáveis de ambiente.

      Para HOST, use o endereço do IAM, por exemplo, https://yourtenant.identity.oraclecloud.com/.

      Para CLIENT_ID e CLIENT_SECRET, use os valores que você copiou acima.

      Observação

      Outras variáveis de ambiente são definidas automaticamente quando solicitações REST são feitas. Certifique-se de que as solicitações REST a seguir sejam feitas na mesma ordem.
    5. Obtenha um token de acesso. Para fazer chamadas de API para o IAM, você deve autenticar seu cliente no IAM e, em seguida, obter um token do OAuth. Esse token fornece uma sessão entre um cliente (nesse caso, Postman) e o IAM. Por padrão, o token de acesso tem um intervalo de timeout de 60 minutos e você deverá solicitar um novo token de acesso para executar chamadas adicionais de API REST. Para obter um token do acesso OAuth, faça a solicitação na coleção Postman em Proxy do RADIUS, Token OAuth e, em seguida, Obtenha access_token (credenciais do Cliente).
    6. Crie o Proxy RADIUS usando uma Operação POST. Vá para RADIUS Proxy, Create e, em seguida, Create a RADIUS Proxy.

      Ponto final: admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Use esta Operação de Patch para ativar o Proxy RADIUS. Vá para Proxy RADIUS, Ciclo de Vida e, em seguida, Ative um Proxy RADIUS.

      Ponto final: /admin/v1/RadiusProxies/{{RPid}} 

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Crie o Listener do Proxy RADIUS usando uma Operação POST. Vá para Proxy RADIUS, Listening de Proxy RADIUS, Criar e Criar um Listener de Proxy RADIUS.

      Ponto final: {{HOST}}/admin/v1/RadiusProxyListeners 

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Obtenha o ID do Aplicativo dbserver. Execute uma chamada GET em admin/v1/Apps?filter=displayName eq "dbserver". Extraia o ID do Aplicativo da resposta dessa chamada GET. Vá para Proxy RADIUS, Aplicativo RADIUS, Pesquisar e Pesquisar todos os aplicativos (com critérios de pesquisa).
      Você também pode obter o ID do Aplicativo no URL do dbserver.
    10. Crie um Mapeamento do Proxy RADIUS usando uma Operação POST. Vá para Proxy RADIUS, Mapeamentos de Proxy RADIUS, Criar e Criar um Mapeamento de Proxy RADIUS.

      Ponto final: {{HOST}}/admin/v1/RadiusProxyMappings/

      Observação

      Para "valor" abaixo, o ID é o do Proxy Radius criado acima. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Para obter instruções sobre o mapeamento de Proxy RADIUS, consulte Mapeamento de Proxy RADIUS.

    11. GET client_id e clientSecret do Proxy RADIUS. client_id e clientSecret são obrigatórios durante a instalação do Proxy RADIUS. O Proxy RADIUS usa essas credenciais para autenticação com o IAM. Vá para Proxy RADIUS, Pesquisar, Criar, Obter ID do cliente e o segredo do cliente do Aplicativo correspondente ao Proxy RADIUS.

      Ponto final: {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId: é o ID do Aplicativo correspondente ao Proxy RADIUS. Você o encontra na resposta [response.oauthClient.value] na etapa 3f, Criar um Mapeamento de Proxy RADIUS usando uma Operação POST.

      Resposta:
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Execute o Instalador.
    1. Descompacte em uma pasta o arquivo idcs_radius_proxy-xxxx.zip baixado.
    2. Nomeie a pasta <radius bin location-xxxx>. Em que xxxx é o número da versão (por exemplo, 20.1.3).
      Três arquivos são extraídos: FileInfo.json, idcs_radius_proxy_installer.bin e InstallerValidation.jar. Os arquivos InstallerValidation.jar e idcs_radius_proxy_installer.bin estão localizados no mesmo diretório pós-extração. Eles devem permanecer no mesmo diretório.
    3. Faça log-in como usuário raiz ou execute o seguinte comando como sudo: ./idcs_radius_proxy_installer.bin
      Observação

      O instalador só suporta o modo Interface Gráfica do Usuário. Ele não suporta o modo console. Portanto, se você vir o erro: "Graphical installers are not supported by the VM.", verifique se o X server está configurado corretamente. Em seguida, execute este comando como usuário não raiz: xhost +si:localuser:root e execute o instalador novamente.
  5. Instale o Proxy RADIUS.
    1. Leia a tela de boas-vindas e selecione Próximo.
    2. Leia a tela Informações e selecione Próximo.
    3. Selecione a Pasta de Destino (o padrão é /root/oracle_radius_proxy), na qual o instalador do Proxy RADIUS será instalado. Selecione Próximo.
    4. Na tela Proxy HTTP, selecione Usar Proxy HTTP se o Proxy RADIUS necessitar usar o proxy HTTP para estabelecer conexão com o IAM. Caso contrário, deixe esta caixa de seleção desmarcada. Selecione Próximo.
    5. Na tela do IAM, informe o URL do Cloud Service no seguinte formato: https://yourtenant.identity.oraclecloud.com. Forneça o ID do Cliente e oSecredo do Cliente do Proxy RADIUS criado no IAM. (Esse é o Proxy RADIUS que você criou usando a Operação POST acima.) Selecione Próximo.
    6. Na tela Informações do Usuário e do Grupo RADIUS, forneça as informações Nome do Usuário e Grupo do usuário, por exemplo:
      • Nome do Usuário: <client>
      • Grupo: <dba>

      O daemon de Proxy IAM RADIUS será executado no nome de usuário e no grupo especificados.

    7. Selecione Próximo.
    8. Na tela de pré-instalação, verifique se todas as informações estão corretas. Se a informação estiver correta, selecione Instalar.
    9. Quando a instalação estiver concluída, selecione Concluído.
  6. Verifique se o Agente RADIUS e o Proxy RADIUS estão em execução. O Agente RADIUS obtém dados de configuração do IAM em intervalos regulares. Em seguida, ele atualiza os arquivos de configuração usados pelo Proxy RADIUS.
    1. Use os seguintes comandos do Agente RADIUS para verificar se o agente está em execução:
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • Você também pode usar stop, start e restart, se necessário.
    2. Use o seguinte comando para executar o Proxy RADIUS: /sbin/service idcs_radiusd start
    3. Execute esses comandos do servidor RADIUS para verificar se o serviço RADIUS está em execução.
      • /sbin/service idcs_radiusd status
      • Você também pode usar stop, start e restart, se necessário.
  7. (Opcional) Use o Utilitário de Teste NTRadPing para confirmar se o proxy RADIUS está funcionando.
    1. Instale o NTRadPing Test Utility no Windows e, em seguida, crie um Usuário no IAM.
    2. Use a captura de tela abaixo como exemplo. Na captura de tela abaixo, cliente é o usuário criado no IAM e testing123 é a chave secreta fornecida nas Definições de RADIUS, Chave Secreta da página Detalhes da Aplicação.

      A seguinte imagem mostra o utilitário de teste NTRadPing no Windows:

      Captura de tela do Utilitário de Teste NTRadPing no Windows

  8. Instalar e Configurar o Oracle Database 12c. Siga as instruções em Configurando a Autenticação e use os comandos a seguir para criar um usuário/atribuição no banco de dados.
  9. Instalar e Configurar o Oracle Database 12c. Para obter mais informações, consulte Configurando a Autenticação do RADIUS. Siga as instruções na seção Configurando a Autenticação RADIUS para criar um usuário e atribuição no banco de dados.
  10. Não é possível adicionar um endereço IP no formato CIDR usando a interface do usuário do IAM. Se o endereço IP do Oracle Database estiver no formato CIDR, use a seguinte solicitação da coleção Postman. Consulte Alterar um Endereço IP do Formato CIDR.
  11. Configure a autenticação MFA. Para configurar a MFA, siga estas instruções, consulte Gerenciando Autenticação Multifatorial.

Arquivos de Log e Informações de Configuração do Proxy RADIUS

Observe as seguintes localizações de arquivo do Proxy RADIUS para informações de log e configuração. Essas informações podem ser úteis para solucionar problemas.

Logs do Instalador <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identity/ Cloud/ Service/ RADIUS/ Proxy_installation/Logs/
Logs do Agente <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Logs de proxy <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configuração de Proxy <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configuração do Agente <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configuração do Cliente <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Mapeamento de Proxy RADIUS

O Proxy RADIUS e o Listener do Proxy RADIUS têm um mapeamento 1-1. Por exemplo, para cada Proxy RADIUS, há um Listener do Proxy RADIUS. Vários clientes RADIUS do Oracle Database podem ser mapeados para um Proxy RADIUS, ou seja, um Proxy RADIUS tem um mapeamento 1-n com clientes RADIUS do Oracle Database.

Se um administrador configurar vários clientes RADIUS do Oracle DB, muitos aplicativos RADIUS do Oracle Database precisarão ser criados em domínios de identidade do IAM - um para cada cliente RADIUS do Oracle DB. Por exemplo, se um administrador tiver configurado quatro clientes RADIUS do Oracle DB para um Proxy RADIUS, nos domínios de identidades do IAM deverá haver quatro aplicativos RADIUS do Oracle Database configurados um para cada cliente do Oracle DB.