Versions Compared

Old Version 4

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 5

changes.mady.by.user Oksana Serus

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

При поступлении запроса от сервера доступа (NAS) по протоколу TACACS+ сервер WNAM производит перебор всех настроенных и включенных профилей TACACS+ для определения:

  • Какой из пользователей пользователя, который запрашивает доступ;
  • Какой уровень уровня привилегий, допустимые команды и атрибуты допустимых команд и атрибутов, которые необходимо применять к этой каждой сессии подключения.

Профили определяются в меню разделе "Конфигурация - " → "Корпоративная авторизация - " → "Профили TACACS+". При старте система проверяет наличие профилей в системе, и если их ещё нет, профили еще не созданы, система создает несколько преднастроенных профилей.

В интерфейсе раздела "Профили TACACS+" расположен ряд кнопок, позволяющих создать новый профиль, перейти в другие разделы ("Пользователи", "Группы", Службы Active Directory"), а также расположено поле для поиска профиля. У каждого профиля есть порядковый номер. При анализе подключения (откудаместо подключения, логин) система WNAM перебирает их все номера, отметая заведомо не совпадающие. В конечном итоге остается один совпавший профиль (при прочих равных параметрах остается тот, у кого меньше номер). Если ни один из профилей не подошел, доступ запрещается. 

Для того, чтобы отредактировать существующий профиль необходимо нажать левой кнопкой мыши на соответствующую запись в таблице профилей и изменить настройки в открывшемся окне. Для создания нового профиля необходимо нажать кнопку "Создать новый". При этом будет открыто окно, в котором необходимо задать требуемые параметры.

Image Added

Каждый из профилей имеет следующие настройки:

Image Removed

  • Признак признак включенности;
  • Названиенаименование профиля;
  • Приоритет приоритет (порядковый номер в таблице);
  • Уровень уровень привилегий пользователя, который передается оборудованию (NAS). Он имеет меньший приоритет, чем тот, который задан в настройках учетной записи пользователя (если там он не нулевой).;
  • чекбокс "не передавать" означает, что при старте сессии в сторону оборудования не будет передан атрибут типа "shell:priv-lvl=...", что может быть важно для настройки работы с, например, Cisco WLC.;
  • источник подключения - фильтр Фильтр на источник подключения (IP-адрес подключающегося клиента - администратора);
  • Фильтр цель подключения - фильтр на цель подключения (к какому серверу доступа обращается администратор: к любому, заданному, находящемуся в иерархической группе подразделения);
  • Правило правило совпадения обращающейся учетной записи (логина):
    • администратор веб-интерфейса WNAM с опциональной проверкой совпадения подстроки в логине;
    • локальный пользователь TAСACS+ с фильтром по списку пользователей или групп (мульти-выбор);
    • доменный пользователь (при настроенной интеграции с Active Directory) с проверкой пароля и членства в группе (выбор, подстрока) по LDAP;
  • Список список допустимых команд;
  • список передаваемых атрибутов.

Список допустимых команд и список передаваемых атрибутов

...

Последние два списка объединяются с аналогичными списками совпавшего локального пользователя TAСACS+ (у других типов учетных записей этих списков нет вовсеэти списки отсутствуют).