Logowanie do systemu

 Główna strona  Wstecz  Dalej

Uwierzytelnianie (autentykacja) w WinCN może się odbywać w oparciu o 3 metody: lokalna, ActiveDirectory, Radius.

 

Konfiguracja autentykacji przechowywana jest w bazie danych. Za pomocą odpowiednich rekordów można załączać/wyłączać niezależnie każdą z tych 3 metod autentykacji oraz można definiować kolejność w jakiej te autentykacje są realizowane.

Podczas logowania użytkownik sprawdzany jest w kolejnych bazach według priorytetu. Jeżeli autentykacja jest negatywna, to sprawdzany jest w kolejnej. Jeżeli autentykacja jest pozytywna, to sprawdzanie jest przerywane i odsyłana jest pozytywna odpowiedź. Jeżeli wszystkie załączone autentykacje są negatywne, to do użytkownika odsyłana jest negatywna odpowiedź.

Wyjątkiem w autentykacji jest pierwotne konto administratora (ID = 1). Ten użytkownik jest sprawdzany tylko w bazie lokalnej. Jeżeli nie jest to pożądane, to można to konto dezaktywować i utworzyć inne konto Administrator uwierzytelniane w serwerze zewnętrznym.

Nawet jeżeli użytkownik jest uwierzytelniany zewnętrznie (AD, Radius) to musi posiadać konto w bazie danych WinCN. Jest to związane z tym, że wszelkie działania wykonywane w systemie muszą być przypisane do określonej osoby. Jeżeli konto nie istnieje to logowanie się nie uda, chyba że jest załączona opcja automatycznego dodawania konta użytkownika.

 

Priorytet

AuthPriority definiuje w jakie kolejności ma być sprawdzany logujący się użytkownik. Do dyspozycji są 3 wartości:

L – autentykacja lokalna, login i hasło sprawdzane w bazie danych WinCN
A – ActiveDirectory – autentykacja zdalna, login i hasło sprawdzane w serwerze AD
R - Radius – autentykacja zdalna, login i hasło sprawdzane w serwerze Radius

 

Wartość parametru wypełniana jest w postaci kolejnych liter np. LAR. Nawet jak dany typ autentykacji jest wyłączony to może znajdować się w polu priorytet, jest w takim przypadku ignorowany.

 

Autentykacja lokalna

AuthLocalLogin może przyjmować dwie wartości:

0 – autentykacja lokalna wyłączona
1 – autentykacja lokalna załączona, login i hasło przechowywane w bazie danych WinCN

 

Autentykacja ActiveDirectory

ActiveDirectoryLoginType może przyjmować wartości:

0 - autentykacja przez ActiveDirectory wyłączona
1 - autentykacja załączona, login i hasło przechowywane w serwerze AD
2 - autentykacja załączona, login i hasło w serwerze AD, przesyłany dodatkowy atrybut określający prawo do zalogowania się do WinCN
3 - autentykacja załączona, login i hasło w serwerze AD, użytkownik musi należeć do określonej grupy AD

 

ActiveDirectoryProtocolType – protokół do komunikacji z serwerem AD:

0 - LDAP
1 - LDAPS
2 - StartTLS

 

ActiveDirectoryAccess - źródło uprawnień, grupy dostępu:

0 – oznacza pobieranie uprawnień z lokalnej bazy danych WinCN
1 – oznacza otrzymanie uprawnień z serwera AD

 

ActiveDirectoryServer i ActiveDirectoryPort – adres i port serwera AD

 

Typ protokołu

Adres

Port

LDAP (0)

LDAP://adres.serwera.ad

389

LDAPS (1)

LDAP://adres.serwera.ad

636

StartTLS (2)

adres.serwera.ad

389

 

W przypadku ustawienia ActiveDirectoryLoginType na 2 trzeba w polu ActiveDirectoryRightGroupKey wpisać nazwę atrybutu, a w polu ActiveDirectoryRightGroupValue wartość atrybutu.

Aby logowanie było poprawne użytkownik w AD musi mieć przypisany atrybut o nazwie wpisanej w ActiveDirectoryRightGroupKey i wartości takiej jak wpisanej w ActiveDirectoryRightGroupValue.

 

W przypadku ustawienia ActiveDirectoryLoginType na 3 trzeba w polu ActiveDirectoryGroupName wpisać nazwę grupy w AD, do której musi należeć, aby logowanie było poprawne.

 

W przypadku ustawienia ActiveDirectoryAccess na 1 trzeba użytkownikowi w AD przypisać 2 atrybuty określające uprawnienia i dostęp. Nazwy atrybutów są określone w pliku konfiguracyjnym serwera w polach:

ActiveDirectoryUserAccessKey (domyślna wartość to WinCNUserAccessId)
ActiveDirectoryUserAccessGroupKey (domyślna wartość to WinCNUserAccessGroupId)

Wartości atrybutów muszą odpowiadać Id odpowiednio:

Ustawień (tabela Accesses w bazie danych)
Grupy dostępu (tabela AccessGroups w bazie danych)

Jeżeli dla pobranych Id nie ma rekordów w powyższych tabelach to dostęp nie zostanie przydzielony.

 

ActiveDirectoryDomainComponent

Rekord zawierający parametry identyfikacyjne potrzebne do logowania w AD.

 

ActiveDirectoryDefaultDomain

Rekord zawierający domyślną nazwę domeny użytkowników AD. Jeżeli użytkownik w nazwie loginu nie zawiera domeny (brak znaku @) to przy autentykacji użytkownika w AD do loginu dodawana jest domyślna domena (musi zaczynać się od znaku @).

 

Autentykacja Radius

RadiusLogin:

0 - autentykacja przez Radius wyłączona
1 - autentykacja załączona, login i hasło przechowywane w serwerze Radius
2 - autentykacja załączona, login i hasło w serwerze Radius, przesyłany dodatkowy atrybut określający prawo do zalogowania się do WinCN

 

RadiusAccess - źródło uprawnień, grupy dostępu:

0 – oznacza pobieranie uprawnień z bazy danych WinCN
1 – oznacza otrzymanie uprawnień z serwera Radius

 

RadiusClientSecret – Klucz klienta Radius, musi być zgodny z tym, który jest w serwerze Radius

RadiusMain - Adres głównego serwera Radius. Port serwera jest opcjonalny.

RadiusReserve - Adres serwera rezerwowego Radius. Port serwera jest opcjonalny. Brak adresu w RadiusReserve oznacza pracę tylko z serwerem głównym.

 

Domyślnym portem dla serwerów Radius jest 1812.

 

Automatyczne dodawanie kont użytkowników

Dla autentykacji zewnętrznych Istnieje możliwość załączenia automatycznego dodawania kont użytkowników. Jeżeli w serwerze AD lub Radius logowanie przeszło pozytywnie, a konto w lokalnej bazie danych nie istnieje to jest automatycznie dodawane.

Do nowego konta dodawane są domyślne wartości pól. Pole z hasłem jest wypełniane przypadkowymi danymi, nie jest zapisywane hasło użyte do zewnętrznej autentykacji.

Pole Login jest przepisywane z logowania użytkownika. Imię i nazwisko jest wypełniane taką samą wartością jak login chyba, że login zawiera kropkę. Wtedy kropka jest traktowana jako znak oddzielający imię od nazwiska.

 

AuthUserAutoCreate:

0 – automatyczne dodawanie wyłączone
1 – automatyczne dodawanie załączone

 

AuthUserExpirationDays – czas w dniach ważności konta od chwili jego utworzenia

 

AuthUserLoginTypes – domyślna wartość dla pola typów logowania

 

AuthUserUserGroupId – domyślne przypisanie do grupy użytkowników

 

AuthUserAccessId – domyślne przypisanie do uprawnień

 

AuthUserAccessGroupId – domyślne przypisanie do grup dostępów