Versions Compared

Old Version 6

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 7

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • PAP - простая проверка, характерная для запросов портальной (гостевой) авторизации, и MAC Address Bypass (MAB), т.е. авторизации по МАС адресу.
    Вы можете задать проверку статуса МАС адреса подключающегося устройства. Он берется из параметра Calling-Station-Id, либо User-Name.
    МАС адрес может быть для системы WNAM:
    • "Известен и валиден" - устройство с этим адресом ранее каким-то способом уже авторизовано, и эта авторизация не истекла и не сброшена
    • "Не известен" - в базе данных WNAM (в разделе "Пользователи") такого адреса нет 
    • "Просрочен/не валиден" - устройство с этим адресом уже присутствует в базе WNAM, но его авторизация истекла или сброшена
      Также дополнительным критерием вы можете задать совпадение МАС-адреса по регулярному выражению, например строкой "^(00:50:56)." можно задать совпадение только адресов виртуальных машин VMware.
    Следующие два метода, EAP-PEAP и EAP-TLS, определяют подключения корпоративной авторизации 802.1х. В обоих случаях можно задать фильтр по полю EAP Identity (обычно это логин пользователя, либо имя в сертификате). Формат фильтра - регулярное выражение.
  • Для EAP-TLS метода можно настроить проверку совпадения:
    • подстроки или регулярного выражения в поле CN сертификата клиента
    • подстроки или регулярного выражения в поле SAN сертификата клиента
  • Для EAP-PEAP метода можно настроить проверку совпадения:
    • членства пользователя в заданной группе в Active Directory. Имя группы выбирается из списка, который заполняется значениями, полученными в ходе настройки взаимодействия с Active Directory. Запрос в AD проводится по LDAP, используя логин из EAP Identity заголовка запроса
    • подстроки или регулярного выражения в имени группы, или в присвоенной пользователю категории
    • наличию записи о пользователя (с заданным логином и паролем) в WNAM, в таблице "Пользователи". при этом запрос в Active Directory не производится

Warning
titleВнимание

...

Критерии в правиле проверяются в соответствии с логикой "И" относительно настроек "Время", "Источник", "SSID" и "Метод".

Настройки критериев "Источник", "SSID" и "Метод" основаны на радио-кнопке,

...

то есть проверяется только выбранный вариант.

Если внутри варианта содержится несколько чекбоксов, и они включены, между ними срабатывает логика "ИЛИ".


Warning
titleВнимание

Использование схемы корпоративной авторизации меняет логику работы RADIUS-сервера в части обработки трафика гостевых Wi-Fi подключений. Для того, чтобы ваш сервер WNAM мог одновременно обслуживать и гостевых Wi-Fi, и 802.1x клиентов, необходимо создать несколько дополнительных профилей аутентификации и авторизации.

...