Управление параметрами пользователя осуществляется полностью в Active Directory (либо любой другой службе каталогов) посредством задания атрибутов и членства в группах.
Сервис получает по протоколу RADIUS запрос на аутентификацию пользователя. Производится поиск посльзователя в Active Directory в случае успеха, проверяется его членство в группе, разрешающей подключение по VPN (параметр otp_group в секции ldap_setting файла settings.json) если пользователь является членом этой группы, проверяются атрибуты: Мобильный телефон (mobile) Электронная почта (mail) А так же Заметки на вкладке телефоны (info) В поле Заметки можно указать предпочитаемый метод доставки одноразового пароля, либо otpmail либо otpsms если в этом поле уже имеется текст, укажите метод доставки в конце текста, отделив его запятой или пробелом.
Для отправки SMS требуется промежуточный сервис (мы предоставляем интеграцию с InPlat)
Секция ldap_setting:
fqdn: FQDN или IP дрес конроллера домена.
ldap_port: LDAP порт
base_dn: узел в дереве откуда начинать поиск пользователей
bind_username_upn: имя пользователя от имени которого будет производится обращение по LDAP к контроллеру домена
в формате UPN (username@domain)
bind_password: пароль пользователя
otp_group: имя группы, членам которой разрешен доступ в VPN (в формате CN=<Группа>,CN=<контейнер>........,DC=<домен>,DC=local)
Секция radius_setting
shared_secret секректный ключ
port порт (обычно 1812)
address адрес на котором слушать Radius дейтаграммы (можно оставить пустым)
Секция otp_params:
valid_interval: интервал в течении которого временный пароль действителен
otp_len: количество цифр в одноразовом пароле
Секция smtp_params:
mail_from: Пользователь, от которого будет производится отправка письма
mail_from_name: "ArañiaOTP"
smtpserver: IP или FQDN адрес SMTP сервера
SMTPPort: порт SMTP сервера
subject: тема в письме
message: текст помимо пароля
smtp_password: пароль на SMTP соединение
Секция sms_params:
smsurl: URL шлюза SMS - сейчас возможен только Инплат - "https://pay.inplat.ru/smsc/send_sms?msisdn"
smscert: сертификат по которому авторизуется клиент
smskey: закрытый ключ
smsca: корневой сертификат - не обязателен
checkidentity: 1 - если проверять валидность сертификата сервера и 0 если не проверять
Перейти в папку /opt
cd /opt
выполнить:
перейти в папку powermf
cd powermf
сделать исполняемым файл init.sh
chmod +x ./init.sh
и выполнить его
./init.sh
Дождаться появления информации о лицензии и сохранить ее
Связаться с нами по e-mail: info@powerc.ru или по телефону и приобрести лицензию
После получения файла license.dat скопировать его в папку lic
Для запуска как сервис включить сервис
systemctl enable /opt/powermf/powermf.service
Запустить
service powermf start
Разрешить принимать дейтаграммы на нужный порт в файрволе
firewall-cmd --zone=public --permanent --add-port=1812/udp
firewall-cmd --reload
Журнал ведется в текстовый файл в папке logs
Утилиты лежат в папке tools под windows и linux