Documentación de Oracle Cloud Infrastructure

Configuración del proxy RADIUS

El servicio de autenticación remota telefónica de usuario (RADIUS) es un protocolo de red que define reglas y convenciones para la comunicación entre dispositivos de red. El proxy RADIUS autentica y autoriza usuarios o dispositivos y también realiza un seguimiento del uso de esos servicios.

Rol o política necesarios

Para configurar y validar el proxy RADIUS, debe tener uno de los siguientes permisos de acceso:
  • Ser miembro del grupo Administradores
  • Tener otorgado el rol de administrador de dominio de identidad o de administrador de seguridad.
  • Ser miembro de un grupo que tiene otorgada la gestión (manage) de dominios

Para obtener más información sobre políticas y roles, consulte Grupo de administradores, política y roles de administrador, Descripción de los roles de administrador y Visión general de las políticas de IAM.

Configuración del proxy RADIUS

Instale, configure y pruebe el proxy RADIUS.

Antes de empezar:
  • Asegúrese de que el proxy RADIUS está disponible para el dominio de identidad. El proxy RADIUS solo está disponible para los tipos de dominio de identidad Premium y Oracle Apps Premium. Para obtener más información sobre los tipos de dominio de identidad y las funciones y los límites asociados a cada uno, consulte Tipos de dominio de identidad de IAM.
  • Instale el cliente de Postman más reciente.
  • Descargue la recopilación de Postman del proxy RADIUS.
  • Revise las instrucciones de asignación del proxy RADIUS. Consulte Asignación de proxy RADIUS.
  • Revise estos puntos de control. Al configurar el proxy RADIUS, utilice los siguientes puntos de control para verificar que la configuración es correcta en cada paso del proceso.
    1. Compruebe que el proxy RADIUS y la aplicación de cliente de proxy RADIUS estén activados en el dominio de identidad.
    2. Compruebe que la dirección IP de la base de datos y el número de puerto del proxy RADIUS están configurados correctamente en la aplicación RADIUS.
    3. Compruebe que el agente RADIUS está activo y en ejecución.
    4. Compruebe que el servidor proxy está activo y en ejecución.
    5. Compruebe que la base de datos está activa.
  1. Descargue el instalador del proxy RADIUS más reciente desde la página Descargas de la consola.
    1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Configuración y, a continuación, en Descargas.
    2. Seleccione Oracle Identity Cloud Service RADIUS Proxy for Linux y, a continuación, haga clic en Descargar.
  2. Cree la aplicación RADIUS a partir de la plantilla de aplicación de RADIUS. Nota: En REST, vaya a Proxy RADIUS, Aplicación RADIUS, Buscar y, a continuación, Buscar todas las aplicaciones (con criterios de búsqueda).
    1. En la consola, haga clic en Applications, en Add y, a continuación, en App Catalog.
    2. Busque la Plantilla de aplicación Radius de Oracle Database y haga clic en Agregar.
    3. Complete los detalles de la aplicación de forma similar al siguiente ejemplo.
      • Nombre: dbserver
      • Descripción: aplicación que representa el servidor de base de datos Oracle como cliente RADIUS
      • Dirección IP del servidor de Oracle Database: 10.242.230.122 (esta dirección IP es donde está instalada la base de datos).
      • Puerto del proxy RADIUS: 1812 (número de puerto en el que el proxy RADIUS recibe solicitudes de esta base de datos Oracle. Se debe configurar el mismo número de puerto en la configuración de RADIUS de Oracle Database).
      • Clave secreta: testing123 (clave secreta que se utiliza para proteger la comunicación entre el proxy RADIUS y el servidor de Oracle Database. Se debe configurar la misma clave en la configuración de RADIUS de Oracle Database).
    4. Haga clic en Agregar, en Activar y, a continuación, en el separador Usuarios.
      Nota

      Asigne los usuarios que pueden conectarse a Oracle Database a esta aplicación Radius haciendo clic en Asignar usuarios. En lugar de asignar usuarios individuales, también se puede asignar un grupo que contenga esos usuarios. Haga clic en el separador Grupos y, a continuación, en Asignar grupos.

      Nota: Cree el nombre del grupo en el dominio de identidad según el siguiente formato definido en el paso 3C: configure el servidor RADIUS en Configuración de la autenticación RADIUS: ORA_databaseSID_rolename[_[A]|[D]].

      Para que cada rol de la base de datos Oracle se identifique mediante IAM, cree un grupo correspondiente con el formato anterior. Asigne un usuario a este grupo en IAM para que el usuario de base de datos respectivo esté asociado al rol de base de datos correspondiente.

  3. Cree un proxy RADIUS en IAM.
    1. Registre una aplicación cliente. Consulte la sección sobre el registro de una aplicación cliente.
    2. Abra Postman e importe la recopilación RADIUS Proxy.postman_collection.json para realizar las solicitudes REST en esta sección.
    3. Importe el archivo de entorno RADIUS Proxy Example Environment with Variables.postman_environment.json que contiene las variables de entorno que se utilizan en la recopilación.
    4. Configure las siguientes variables de entorno.

      En HOST, utilice la dirección de IAM, por ejemplo, https://yourtenant.identity.oraclecloud.com/.

      En CLIENT_ID y CLIENT_SECRET, utilice los valores que ha copiado anteriormente.

      Nota

      Cuando se realizan solicitudes REST, se definen automáticamente otras variables de entorno. Asegúrese de que se realizan las siguientes solicitudes REST en el mismo orden.
    5. Obtenga un token de acceso. Para realizar llamadas de API a IAM, debe autenticar el cliente en IAM y, a continuación, obtener un token de acceso de OAuth. El token de acceso proporciona una sesión entre un cliente (en este caso, Postman) e IAM. Por defecto, el token de acceso tiene un intervalo de timeout de 60 minutos y, a continuación, debe solicitar un nuevo token de acceso para realizar llamadas de API de REST adicionales. Para obtener un token de acceso de OAuth, realice la solicitud en la recopilación de Postman en Proxy RADIUS, Token de OAuth y, a continuación, Obtener access_token (credenciales de cliente).
    6. Cree el proxy RADIUS mediante una operación POST. Vaya a Proxy RADIUS, Crear y, a continuación, Crear un proxy RADIUS.

      Punto final: admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Utilice esta operación de parche para activar el proxy RADIUS. Vaya a Proxy RADIUS, Ciclo de vida y, a continuación, Activar un proxy RADIUS.

      Punto final: /admin/v1/RadiusProxies/{{RPid}}

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Cree el listener de proxy RADIUS mediante una operación POST. Vaya a Proxy RADIUS, Listeners de proxy RADIUS, Crear y, a continuación, Crear un proxy RADIUS.

      Punto final: {{HOST}}/admin/v1/RadiusProxyListeners

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Obtenga el identificador de aplicación dbserver. Realice una llamada GET en admin/v1/Apps?filter=displayName eq "dbserver". Recupere el identificador de aplicación de la respuesta de esta llamada GET. Vaya a Proxy RADIUS, Aplicación RADIUS, Buscar y, a continuación, Buscar todas las aplicaciones (con criterios de búsqueda).
      También puede obtener el identificador de aplicación de la URL de dbserver.
    10. Cree una asignación de proxy RADIUS mediante una operación POST. Vaya a Proxy RADIUS, Asignaciones de proxy RADIUS, Crear y, a continuación, Crear una asignación de proxy RADIUS.

      Punto final: {{HOST}}/admin/v1/RadiusProxyMappings/

      Nota

      En "value" a continuación, el identificador es el identificador del proxy Radius que ha creado anteriormente. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Para obtener instrucciones sobre la asignación del proxy RADIUS, consulte Asignación de proxy RADIUS.

    11. GET client_id y clientSecret del proxy RADIUS. client_id y clientSecret son necesarios durante la instalación del proxy RADIUS. El proxy RADIUS utiliza estas credenciales para autenticarse con IAM. Vaya a Proxy RADIUS, Buscar, Crear, Obtener ID de cliente y secreto de cliente de la aplicación correspondiente al proxy RADIUS.

      Punto final: {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId: es el identificador de la aplicación correspondiente al proxy RADIUS. Puede encontrarlo en la respuesta [response.oauthClient.value] en el paso 3f, Cree una asignación de proxy RADIUS mediante una operación POST.

      Respuesta:
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Ejecute el instalador.
    1. Descomprima el archivo idcs_radius_proxy-xxxx.zip descargado en una carpeta.
    2. Asigne un nombre a la carpeta <radius bin location-xxxx>. Donde xxxx es el número de versión (por ejemplo, 20.1.3).
      Se extraerán tres archivos: FileInfo.json, idcs_radius_proxy_installer.bin e InstallerValidation.jar. El archivo InstallerValidation.jar y el archivo idcs_radius_proxy_installer.bin se ubican en el mismo directorio después de la extracción. Deben permanecer en el mismo directorio.
    3. Inicie sesión como usuario raíz o ejecute el siguiente comando como sudo: ./idcs_radius_proxy_installer.bin
      Nota

      El instalador solo soporta el modo de interfaz gráfica de usuario. No soporta el modo de consola. Por lo tanto, si aparece el error: "Graphical installers are not supported by the VM.", asegúrese de que el servidor X está configurado correctamente. A continuación, ejecute este comando como usuario no raíz: xhost +si:localuser:root y vuelva a ejecutar el instalador.
  5. Instale el proxy RADIUS.
    1. Lea la pantalla de bienvenida y, a continuación, haga clic en Siguiente.
    2. Lea la pantalla Información y haga clic en Siguiente.
    3. Seleccione la Carpeta de destino (el valor por defecto es /root/oracle_radius_proxy), en la que se instalará el instalador del proxy RADIUS. Haga clic en Siguiente.
    4. En la pantalla Proxy HTTP, seleccione Usar proxy HTTP si el proxy RADIUS necesita utilizar el proxy HTTP para conectarse a IAM. Si no lo desea, no active esta casilla. Haga clic en Next.
    5. En la pantalla IAM, introduzca la URL de servicio en la nube con el siguiente formato: https://yourtenant.identity.oraclecloud.com. Proporcione el ID de cliente y el Secreto de cliente del proxy RADIUS creado en IAM. (Es el proxy RADIUS que ha creado con la operación POST anterior). Haga clic en Next.
    6. En la pantalla Información de grupo y usuario de RADIUS, proporcione la información de Nombre de usuario y Grupo, por ejemplo:
      • Nombre de usuario: <client>
      • Grupo: <dba>

      El daemon del proxy RADIUS de IAM se ejecutará con el nombre de usuario y el grupo especificados.

    7. Haga clic en Siguiente.
    8. En la pantalla de preinstalación, compruebe que toda la información es correcta. Si la información es correcta, haga clic en Instalar.
    9. Cuando se haya completado la instalación, haga clic en Listo.
  6. Compruebe que el agente RADIUS y el proxy RADIUS se están ejecutando. El agente RADIUS obtiene los datos de configuración desde IAM a intervalos regulares. A continuación, actualiza los archivos de configuración que utiliza el proxy RADIUS.
    1. Utilice los siguientes comandos del agente RADIUS para comprobar si el agente se está ejecutando:
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • También puede utilizar stop, start y restart si es necesario.
    2. Utilice el siguiente comando para ejecutar el proxy RADIUS: /sbin/service idcs_radiusd start
    3. Ejecute estos comandos del servidor RADIUS para verificar que el servicio RADIUS se está ejecutando.
      • /sbin/service idcs_radiusd status
      • También puede utilizar stop, start y restart si es necesario.
  7. (Opcional) Utilice la utilidad de prueba NTRadPing para validar que el proxy RADIUS está funcionando.
    1. Instale la utilidad de prueba NTRadPing en Windows y, a continuación, cree un usuario en IAM.
    2. Utilice la siguiente captura de pantalla como ejemplo. En la siguiente captura de pantalla, client es el usuario creado en IAM y testing123 es la clave secreta proporcionada en Configuración de RADIUS, Clave secreta, de la página Detalles de la aplicación.

      En la siguiente imagen se muestra la utilidad de prueba NTRadPing en Windows:

      Captura de pantalla de la utilidad de prueba NTRadPing en Windows

  8. Configuración de Oracle Database 12c. Siga las instrucciones que se describen en Configuración de la autenticación y, a continuación, utilice los siguientes comandos para crear un usuario/rol en la base de datos.
  9. Configuración de Oracle Database 12c. Para obtener más información, consulte Configuración de la autenticación RADIUS. Siga las instrucciones de la sección Configuración de la autenticación RADIUS para crear un usuario y un rol en la base de datos.
  10. No puede agregar una dirección IP en formato CIDR mediante la interfaz de usuario de IAM. Si la dirección IP de Oracle Database está en formato CIDR, utilice la siguiente solicitud de Postman Collection. Consulte Cambio de una dirección IP desde el formato CIDR.
  11. Configure MFA. Para configurar MFA siga estas instrucciones. Consulte Gestión de autenticación multifactor.

Archivos log e información de configuración del proxy RADIUS

Tenga en cuenta las siguientes ubicaciones de archivos del proxy de RADIUS para obtener información de log y de configuración. Esta información puede ser útil para solucionar problemas.

Logs de instalador <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identity/ Cloud/ Service/ RADIUS/ Proxy_installation/Logs/
Logs de agente <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Logs de proxy <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Configuración del proxy <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Configuración del agente <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Configuración del cliente <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

Asignación de proxy RADIUS

El proxy RADIUS y el listener de proxy RADIUS tienen una asignación de 1-1, por ejemplo, para cada proxy RADIUS hay un listener de proxy RADIUS. Se pueden asignar varios clientes RADIUS de Oracle DB a un proxy RADIUS, es decir, un proxy RADIUS tiene una asignación de 1-n con clientes de RADIUS de Oracle DB.

Si un administrador configura varios clientes RADIUS de Oracle DB, será necesario crear ese número de aplicaciones RADIUS de Oracle Database en los dominios de identidad de IAM, una para cada cliente RADIUS de Oracle DB. Por ejemplo, si un administrador ha configurado cuatro clientes RADIUS de Oracle DB en un proxy RADIUS, en los dominios de identidad de IAM debe haber cuatro aplicaciones RADIUS de Oracle Database configuradas, una para cada cliente de Oracle Database.