Hrvatska akademska i istraživačka mreža
  NASLOVNICA MAPA WEBA TRAŽILICA KONTAKTI CARNET WEB
Hrvatska akademska i istraživačka mreža
 
menu 4
Sigurnost
menu 4
Distribucija
menu 4
Pomoć
menu 4
Dokumenti
menu 4
menu 4

 

 

22-02-06 11:38
Autentikacija korisnika programom pGina s Radius pluginom

piše PETAR TALER

Za rješavanje problema autentikacije studenata u javno dostupnim računalnim učionicama odlično rješenje je pGina. Program nakon instalacije zamjenjuje Microsoftov GINA sustav i u suradnji s odabranim pluginom autenticira korisnike za rad na računalu. Prilikom uspješne autentikacije pGina će napraviti korisnika (lokalnog ili domenskog), a kod odjave korisnik će automatski biti obrisan. Ovdje ćemo koristiti Radius plugin koji će komunicirati s LDAP imenikom ustanove.

 

Da bi se sustav upogonio, prvo treba izvršiti pripremne radnje na Debian poslužitelju. U datoteku /etc/freeradius/clients.conf treba dodati zonu:

 

client 192.168.10.0/24 {

secret          = MySecret

shortname       = pgina-lab

}

 

Adresu/masku treba prepraviti ovisno o adresama klijentskih računala koja će koristiti pGina-u. Potrebno je restartati freeradius kako bi se promjene učitale.

 

Sada možemo preći na instalaciju programa i plugina na klijentskom računalu. Nakon jednostavne instalacije, imamo novu programsku grupu pGina u Start meniju i prelazimo na konfiguraciju. Izaberemo plugin RADIUSplugin.dll i konfiguriramo ga: pod server1 upišemo adresu servera, port ostavimo na defaultu (1812), a pod secret upišemo secret iz clients.conf datoteke.

 

U konfiguraciji pGina-e ima nekoliko kartica s opcijama, važnije su:

  • Logon Window: pozdravna poruka, slika itd.

  • Account Interaction: određuje želimo li čuvati korisničke profile – nije dobra ideja ako imamo mnogo korisnika

  • Profile: mapiranje diskova, određivanje kojoj grupi pripada korisnik, login skripte...

  • Domain Interaction: suradnja s postojećom Active Directory strukturom. Potrebno je upisati ime domene, username i password s administratorskim pravima na domeni.

Ako koristimo Domain Interaction korisnik se u Active Directoryju nakon uspješne autentikacije kreira u Users kontejneru, a nakon odjave (ako ne koristimo "Keep Accounts" opciju) od tamo briše. Vjerojatno nam to ne odgovara, jer bismo na takve korisnike htjeli primijeniti neke specifične Group Policy-je, pa bismo takve korisnike željeli imati u posebnom kontejneru. Tu će nam na Windows Serveru 2003 poslužiti naredba:

 

redirusr ou=lab,dc=ustanova,dc=hr

 

(ou prilagoditi postojećoj strukturi)

OPREZ: Ova će naredba trajno preusmjeriti kreiranje svih novih korisnika u lab kontejner!

 

Korisnici koji se autenticiraju preko pGina-e nemaju svoj profil na računalu, pa će se korisnički profil kreirati iz Default User i All Users profila. Za izradu tih profila može se koristiti sljedeća procedura:

  • napraviti novog korisnika, logirati se kao on

  • podesiti sve postavke windowsa i programa

  • logirati se kao administrator i pomoću System Properties appleta i Advanced kartice prekopirati profil novog korisnika u 'C:\Documents and Settings\Default User'

  • obrisati korisnika.

Kako bi ubrzali dupliciranje instalacija na više računala, granu registryja HKEY_LOCAL_MACHINE\SOFTWARE\pGina možemo eksportirati i, nakon instalacije programa i plugina, importirati je na drugom klijentu. Također, ako su klijentska računala ista, na isti način mogu se iskopirati i Default User i All Users direktoriji, pa se instalacija po klijentu svodi na par minuta posla.

 

Obavezno treba pripaziti da se obrišu ili onemoguće stari useri, jer će se inače, ovisno o konfiguraciji pGina-e, korisnici moći logirati i preko njih. Točan slijed pGininih pokušaja autentikacije može se vidjeti na samom kraju službenog priručnika.





[Lista]
Ovu uslugu CARNeta realizira Sveučilišni računski centar Sveučilišta u Zagrebu
  Copyright ©2005. CARNet. Sva prava zadržana. Impressum.
Mail to
sys-portal@CARNet.hr