Autentikacija korisnika programom pGina s Radius pluginom

Za rješavanje problema autentikacije studenata u javno dostupnim računalnim učionicama odlično rješenje je pGina. Program nakon instalacije zamjenjuje Microsoftov GINA sustav i u suradnji s odabranim pluginom autenticira korisnike za rad na računalu. Prilikom uspješne autentikacije pGina će napraviti korisnika (lokalnog ili domenskog), a kod odjave korisnik će automatski biti obrisan. Ovdje ćemo koristiti Radius plugin koji će komunicirati s LDAP imenikom ustanove.


Da bi se sustav upogonio, prvo treba izvršiti pripremne radnje na Debian poslužitelju. U datoteku /etc/freeradius/clients.conf treba dodati zonu:

client 192.168.10.0/24 {
    secret          = MySecret
    shortname       = pgina-lab
}

Adresu/masku treba prepraviti ovisno o adresama klijentskih računala koja će koristiti pGina-u. Potrebno je restartati freeradius kako bi se promjene učitale.

Sada možemo preći na instalaciju programa i plugina na klijentskom računalu. Nakon jednostavne instalacije, imamo novu programsku grupu pGina u Start meniju i prelazimo na konfiguraciju. Izaberemo plugin RADIUSplugin.dll i konfiguriramo ga: pod server1 upišemo adresu servera, port ostavimo na defaultu (1812), a pod secret upišemo secret iz clients.conf datoteke.

U konfiguraciji pGina-e ima nekoliko kartica s opcijama, važnije su:

* Logon Window: pozdravna poruka, slika itd.

* Account Interaction: određuje želimo li čuvati korisničke profile – nije dobra ideja ako imamo mnogo korisnika

* Profile: mapiranje diskova, određivanje kojoj grupi pripada korisnik, login skripte...

* Domain Interaction: suradnja s postojećom Active Directory strukturom. Potrebno je upisati ime domene, username i password s administratorskim pravima na domeni.

Ako koristimo Domain Interaction korisnik se u Active Directoryju nakon uspješne autentikacije kreira u Users kontejneru, a nakon odjave (ako ne koristimo "Keep Accounts" opciju) od tamo briše. Vjerojatno nam to ne odgovara, jer bismo na takve korisnike htjeli primijeniti neke specifične Group Policy-je, pa bismo takve korisnike željeli imati u posebnom kontejneru. Tu će nam na Windows Serveru 2003 poslužiti naredba:

redirusr ou=lab,dc=ustanova,dc=hr

(ou prilagoditi postojećoj strukturi)

OPREZ: Ova će naredba trajno preusmjeriti kreiranje svih novih korisnika u lab kontejner!

Korisnici koji se autenticiraju preko pGina-e nemaju svoj profil na računalu, pa će se korisnički profil kreirati iz Default User i All Users profila. Za izradu tih profila može se koristiti sljedeća procedura:

* napraviti novog korisnika, logirati se kao on

* podesiti sve postavke windowsa i programa

* logirati se kao administrator i pomoću System Properties appleta i Advanced kartice prekopirati profil novog korisnika u 'C:\Documents and Settings\Default User'

* obrisati korisnika.

Kako bi ubrzali dupliciranje instalacija na više računala, granu registryja HKEY_LOCAL_MACHINE\SOFTWARE\ pGina možemo eksportirati i, nakon instalacije programa i plugina, importirati je na drugom klijentu. Također, ako su klijentska računala ista, na isti način mogu se iskopirati i Default User i All Users direktoriji, pa se instalacija po klijentu svodi na par minuta posla.

Obavezno treba pripaziti da se obrišu ili onemoguće stari useri, jer će se inače, ovisno o konfiguraciji pGina-e, korisnici moći logirati i preko njih. Točan slijed pGininih pokušaja autentikacije može se vidjeti na samom kraju službenog priručnika.