Jeśli chcesz wdrożyć uwierzytelnianie wieloskładnikowe (MFA) dla określonych grup użytkowników usługi Active Directory (AD) i mieć pewność, że tylko ci użytkownicy będą oznaczeni jako Active (Aktywny) w konsoli Rublon Admin Console (co spowoduje zużycie licencji), wykonaj następujące kroki.
Zacznim zaczniesz
Rublon Authentication Proxy to aplikacja, którą możesz zainstalować na systemie Windows lub Linux. Umożliwia ona włączenie uwierzytelniania wieloskładnikowego (MFA) dla usług obsługujących protokoły RADIUS i LDAP(S). Pozwala również na synchronizację użytkowników z usługi Active Directory do konsoli administracyjnej Rublon Admin Console. To właśnie z tej ostatniej funkcjonalności będziemy korzystać w tym artykule.
Wymagania wstępne:
Pobierz i zainstaluj usługę Rublon Authentication Proxy. Nie musisz konfigurować usługi Auth Proxy per se. Musisz ją tylko przygotować do synchronizacji z usługą Active Directory. Więcej informacji znajdziesz w artykule How to synchronize users from Active Directory using Directory Sync.
Upewnij się, że usługa Active Directory jest skonfigurowana jako źródło uwierzytelniania w konfiguracji usługi Auth Proxy.
Krok 1: Otwórz plik konfiguracyjny Rublon Authentication Proxy
Znajdź i otwórz plik konfiguracyjny Rublon Authentication Proxy. Ten plik nosi nazwę config.json lub config.yaml, w zależności od wyboru dokonanego podczas konfigurowania usługi Auth Proxy.
W przypadku systemu Windows, plik konfiguracyjny znajduje się w katalogu:
C:\Program Files\Rublon Auth Proxy\config\config.yamlW przypadku systemu Linux, plik można znaleźć w:
/etc/rublonauthproxy/config/config.yaml
Jeśli plik jeszcze nie istnieje, możesz go utworzyć, korzystając z jednego z szablonów znajdujących się w folderze rublonauthproxy/config/examples. Zalecamy użycie formatu YAML dla pliku konfiguracyjnego.
Krok 2: Skonfiguruj synchronizację AD dla wybranych grup użytkowników
1. W pliku konfiguracyjnym Auth Proxy dodaj sekcję directory_sync.
2. Ustaw opcję enabled na true, aby włączyć synchronizację katalogów.
3. Ustaw opcję source_type na ad.
4. Zdefiniuj swoje grupy AD w polu group_dns, podając ich pełne nazwy Distinguished Name (DN). Są to grupy AD, których członkowie będą musieli przejść przez uwierzytelnianie wieloskładnikowe. Tylko ci użytkownicy będą synchronizowani jako aktywni w platformie Rublon i będą zużywać licencje.
5. Oto przykładowa konfiguracja (w YAML):
directory_sync:
enabled: true
auth_source: EXAMPLE_AD
source_type: ad
group_dns:
- cn=some-group,dc=example,dc=org
- cn=some-group2,dc=example,dc=org
auth_sources:
- name: EXAMPLE_AD
type: LDAP
ip: localhost
port: 636
transport_type: ssl
search_dn: dc=example,dc=org
access_user_dn: cn=admin,dc=example,dc=org
access_user_password: some-very-hard-password
rublon:
rublon_api: https://core.rublon.net
rublon_token: ABC
rublon_secret: defWażne jest, aby poprawnie zdefiniować parametr search_dn. Jest to główna nazwa wyróżniająca (Distinguished Name), od której rozpocznie się przeszukiwanie katalogu. Zazwyczaj jest to pełna kwalifikowana nazwa domeny (FQDN) Twojej firmy w usłudze Active Directory. (Zobacz: Jak znaleźć wartość FQDN dla serwera Active Directory (parametr search_dn w konfiguracji usługi Rublon Auth Proxy)?). Użytkownicy są najpierw wyszukiwani na podstawie wartości search_dn ustawionej w źródle uwierzytelniania w sekcji auth_sources. Dopiero po tym następuje sprawdzenie przynależności do grup wymienionych w group_dns.
Krok 3 (opcjonalny): Uruchom synchronizację katalogów ręcznie
Po edycji i zapisaniu pliku konfiguracyjnego możesz ręcznie uruchomić synchronizację katalogów, aby przetestować konfigurację. W przeciwnym razie trzeba poczekać na godzinę, na którą serwer Auth Proxy zaplanował synchronizację.
- Dla systemu Windows: Otwórz katalog Rublon Auth Proxy/bin i kliknij dwukrotnie plik rublon-directorysync.exe
- Dla systemu Linux: Uruchom plik rublonauthproxy/bin/rublon-directorysync.exe
Krok 4: Zapisz i uruchom ponownie usługę Rublon Authentication Proxy
Po edycji i zapisaniu pliku konfiguracyjnego, uruchom ponownie usługę Rublon Authentication Proxy, aby zastosować zmiany.
Na systemie Windows, otwórz wiersz polecenia jako Administrator i wykonaj polecenia:
net stop rublonauthproxy
net start rublonauthproxyNa systemie Linux, użyj następującego polecenia:
sudo systemctl restart rublonauthproxy
Krok 5: Ustaw typ rejestracji dla nieznanych użytkowników
Aby uniemożliwić użytkownikom spoza wybranych grup AD wykorzystywanie licencji i nie wymagać od nich uwierzytelniania MFA, skonfiguruj sposób obsługi nieznanych użytkowników przez platformę Rublon:
1. Zaloguj się do konsoli Rublon Admin Console.
2. Przejdź do zakładki Settings (Ustawienia).
3. Ustaw opcję Enrollment Type (Typ rejestracji) na Manual (Ręczny), a następnie opcję Handling of unknown users (Obsługa nieznanych użytkowników) na Bypass (Pomijanie). Dzięki temu użytkownicy niezsynchronizowani z określonych grup AD pominą uwierzytelnianie MFA i nie będą aktywni w platformie Rublon, a zatem nie będą korzystać z licencji.
Krok 6: Sprawdź konfigurację
1. W konsoli Rublon Admin Console przejdź do zakładki Users (Użytkownicy), aby upewnić się, że tylko użytkownicy z wybranych grup AD (określonych w group_dns) zostali dodani do konsoli Admin Console ze statusem ustawionym na Active (Aktywny).
Jeśli użytkownik, który nie należy do żadnej z wybranych grup użytkowników AD, spróbuje się zalogować, zostanie pominięty (uwierzytelnianie MFA zostanie pominięte). Taki użytkownik nie zostanie dodany do zakładki Users (Użytkownicy) w konsoli Rublon Admin Console i nie zużyje licencji.
2. Przejdź do zakładki Groups (Grupy) i upewnij się, że grupy AD są zsynchronizowane.
Pomocne linki
Rublon Authentication Proxy - Pobieranie
Rublon Authentication Proxy - Dokumentacja
How to synchronize users from Active Directory using Directory Sync
Czy ten artykuł był pomocny?
To wspaniale!
Dziękujemy za opinię
Przepraszamy, że nie udało nam się pomóc!
Dziękujemy za opinię
Wysłano opinię
Doceniamy Twój wysiłek i postaramy się naprawić artykuł