Zugriff auf die Didactum Überwachungssysteme mit RADIUS Server

RADIUS ist ein Programm, das mit einer zentralen Benutzerdatenbank arbeitet. Es wird für die netzwerkweite Authentifizierung und Autorisierung (Bestimmung von Zugriffsrechten) von Benutzern verwendet. Die Didactum Monitoring Systeme können per RADIUS in einem Netzwerk verwaltet werden.

Auf die zeitaufwändige Konfiguration einzelner Benutzer für jedes Überwachungssystem kann durch Verwendung von RADIUS verzichtet werden.

RADIUS Integration

Konfiguration von RADIUS im WebGUI der Didactum Überwachungssysteme

Die RADIUS Einstellungen der Didactum Remote Monitoringsysteme finden Sie im Webinterface unter „Main Menu“ => „Preferences“ => „RADIUS“.

Um RADIUS auf dem Didactum Überwachungssystem zu aktivieren, müssen Sie auf „RADIUS“ auf „enabled“ setzen.

Unter „Server address“ geben Sie bitte die IP-Adresse Ihres Radius Servers ein.

Unter „Server Port“ wird der Port angegeben. Üblicherweise lautet dieser „1812“.

Unter „Server password“ geben Sie bitte das Passwort Ihres Servers ein.

Danach speichern Sie bitte Ihre Einstellungen (bitte auch auf das Diskettensymbol oben rechts klicken). Das Didactum Monitoring System leitet dann einen Neustart ein und die getätigten Änderungen werden aktiviert.

Praxisbeispiel FreeRADIUS:

Authentifizierungsmethode - unverschlüsselte Authentifizierung (PAP, SPAP).

Nachdem Sie FreeRADIUS installiert und konfiguriert haben, müssen Sie folgende Punkte prüfen

  1. Vendor Glossary
  2. Zugriffsrechte (E-Mail Adressen und Passwörter) für die Clients (z.B. Didactum Monitoring Systeme)
  3. Benutzerliste mit den entsprechenden Zugriffsattributen

Das Vendor Glossary (z.B. „dictionary.local) muss in das Verzeichnis /etc/raddb/ kopiert 

 

dictionary.local

#
# Didactum dictionary of parameters.
#
VENDOR        Didactum        39052
ATTRIBUTE    SRead            10    string        Didactum
ATTRIBUTE    SWrite           11    string        Didactum
ATTRIBUTE    CRead            12    string        Didactum
ATTRIBUTE    CWrite           13    string        Didactum
ATTRIBUTE    GRead            14    string        Didactum
ATTRIBUTE    GWrite           15    string        Didactum
ATTRIBUTE    RFU1             16    string        Didactum
ATTRIBUTE    RFU2             17    string        Didactum

 

Prüfen Sie, ob die Dictionary Datei enthalten ist:

 

dictionary

...
$INCLUDE-    dictionary.local

 

Die Liste der Server-Clients ist in der Datei /etc/raddb/clients.conf. Dieser Client-Datensatz sieht wie folgt aus:

 

/etc/raddb/clients.conf

client 192.168.1.88 {
   secret = password123
}

 

Obige Config Datei zeigt die IP-Adresse des Clients und das Passwort an, um sich mit dem Server zu verbinden. In unserem Fall sind Clients die Didactum Überwachungssysteme. Das Kennwort im Attribut "secret" sollte mit dem Feld "Server password" abgestimmt werden, wenn Sie den Client konfigurieren (Siehe oben).

Die Benutzerdatensätze sind in der Datei ./etc/raddb/mods-config/files/authorize hinterlegt und sehen wie folgt aus:

 

/etc/raddb/clients.conf

username01 Cleartext-Password := "35675e68f4b5af7b995d9205ad0fc43842f16450"
    SRead = "all,",
    SWrite = "all,",
    CRead = "all,",
    CWrite = "all,",
    GRead = "all,",
    GWrite = "all,",
    RFU1 = "something strange",
    RFU2 = "anover something strange too"

 

Folgende Eingaben sind vorgenommen worden:

  • user name – in unserem Fall username01
  • Cleartext-Passwort (welches vom Benutzer im Klartext eingegeben wird) - dieses muss aus einem SHA-1 Hash Code bestehen
  • SRead, SWrite, CRead, CWrite, GRead, Write – die Systemzugriffsberechtigungen
  • RFU1 und RFU2 – reservierte Attribute (nicht verwendet)

Sollte ein Attribut nicht verwendet werden, so muss es aus den Einstellungen entfernt werden. Ein Weglassen in Form von RU= "“ wird seitens FreeRADIUS nicht unterstützt. 

In unserem Beispiel erhalten alle Geräte, die sich über den FreeRADIUS Server anmelden, die gleiche Konfiguration von Benutzerberechtigungen. Wenn Sie unterschiedliche Benutzerrechte auf den Geräten benötigen, so gehen Sie bitte wie folgt vor:

 

/etc/raddb/clients.conf

username01 Cleartext-Password := "35675e68f4b5af7b995d9205ad0fc43842f16450", NAS-IP-Address == "192.168.1.88"
    SRead = "all,",
    SWrite = "all,",
    CRead = "all,",
    CWrite = "all,",
    GRead = "all,",
    GWrite = "all,"

username01 Cleartext-Password := "35675e68f4b5af7b995d9205ad0fc43842f16450", NAS-IP-Address != "192.168.1.88"
    SRead = "all,",
    SWrite = "devvirt,elements,log,logics,modules,notify,relays,sdcard,system,view,",
    CRead = "all,",
    CWrite = "all,",
    GRead = "all,",
    GWrite = "3001,3002,"

 

Im obigen Beispiel erhält der Benutzer username01 auf das Gerät mit IP-Adresse 192.168.1.88  volle Zugriffsrechte auf das Gerät (alle Felder „all") erhalten. Bei Autorisierung des Benutzers username01 auf anderen Geräten (alle IP-Adressen außer 192.168.1.88), werden die Rechte begrenzt.

System Zugriffsberechtigungen

Für jedes Benutzerprofil kann bei Zugriff auf Systemressourcen ein "read only" oder "read-write“ Modus hinterlegt werden. Hierzu werden die Ressourcen mit der entsprechenden Zugangs ID verglichen.

Die Zugriffskontrolle erfolgt anhand einer Liste. Die Liste bestehen aus einer Textreihenfolge, welche aus ACCESS ID`s getrennt durch Kommas besteht.

Anhand des Benutzerprofils werden 2 Arten von Listen angeboten: Eine Liste für Lesezugriff (Read Access) und für den Schreibzugriff (Write Access). Letztere ermöglicht Lesen und Schreiben.

Das Didactum Monitoring System bietet 3 Arten von Berechtigungslisten:

1.) Server Berechtigungslisten / Permission Lists:

  • SRead – read access list;
  • SWrite – write access list;

Hier die Liste der Ressourcen der Didactum Monitoring Systeme in Bezug auf RADIUS:

  • accesskeys - Verwaltung der iButton Zugriffsschlüssel und RFID Karten;
  • cameras -  Verwaltung der an den Didactum IP Alarmservern angeschlossenen Videokameras
  • canbus – Verwaltung des CAN Bus (Control Area Network) der Didactum Monitoring Systeme 400/500/500DC/600/700
  • deviirt – Verwaltung der virtuellen Sensoren und Geräte
  • elements – Verwaltung der an den Didactum Monitoringsystemen angeschlossenen Elemente
  • GSM – Verwaltung des GSM Modems
  • groups – Verwaltung der Gruppenfunktionen
  • languages – Verwaltung der Spracheinstellungen des Didactum Monitoring Systems
  • log – Verwaltung der Log Dateien
  • logics – Management der logischen Schemata / Alarmregeln der Didactum Monitoringsysteme
  • modules – Verwaltung der an den Didactum Monitoring Systemen angeschlossenen Module und Erweiterungseinheiten
  • notify – Verwaltung der Notifikations- und Benachrichtigungsarten (E-Mail Alarm, SMS Alarm, SNMP Traps, Sirene usw.)
  • relay – Management der in den Didactum Monitoring Systemen 500/500DC/600/700 integrierten Relaisausgänge
  • sdcard – Verwaltung der in den Didactum Monitoring Systemen 400/500/500DC/600/700 eingebauten SD Kartenlesers
  • system – Runtime Management des Linux Betriebssystems
  • users – Benutzerverwaltung
  • view – Verwaltung der grafischen Benutzeroberfläche / WebGUI des Didactum Monitoring Systems

Achtung: Bitte keine identificator users angeben, da ansonsten die Gefahr besteht, dass ein Benutzer ohne Administrator Rechte die Profile anderer Benutzer einsehen könnte.

2.) Client Permissions List (Web Interface)

  • CRead — read access list;
  • CWrite — write access list;

Die Liste der Ressourcen-ID´s des Clients werden allein durch das Web-Interface definiert. Diese werden nicht verwendet und sollten als "all“ aufgeführt werden.

3) Listen von Genehmigungen für Objekt Gruppen:

  • GRead - Liste von Gruppen ID´s mit read-only access;
  • GWrite – Liste von Gruppen ID`s mit write-only access;

Listen von Gruppen-Berechtigungen bestehen aus einer Gruppen ID (eine positive ganze Zahl). 

  • all – voller Zugriff auf sämtliche ID`s (voller Admin Zugriff)
  • None – Kein Zugriff auf ID`s

Anmerkung: Werksmäßig sind keine Gruppen im System hinterlegt. Der Zugriff ist nur per Rechtedefinition „all“  möglich.

Stand 30/11/2015. Technische Änderungen jederzeit vorbehalten.