Аутентификация — проверка подлинности предоставленных учетных данных того, кто запрашивает сетевой доступ. Система WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка производится. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются различные критерии и атрибуты в поступившем запросе: откуда, когда, каким способом, что при этом передаётся. Вы можете Можно определить требуемое вам число профилей, для каждого метода авторизации, источника запроса и других критериев. При проверке списка профилей отбрасываются отсеиваются заведомо не совпавшие, а по окончании - проверки выбирается самый первый (по порядковому номеру) из оставшихся.
| Warning | ||
|---|---|---|
| ||
В конце цепочки проверки подразумевается неявное правило Default Deny, которое срабатывает в двух случаях:
|
В результате выбора профиля определяется результат: Allow или Deny, а также сессии абонентского подключения присваивается тэг (если он задан). Последнее используется при выборе правила авторизации на следующем шаге проверок. Список профилей представлен следующим образом:в разделе
Вы можете добавить в систему сколько угодно профилей, но вряд ли вам понадобится более десятка. Профили упорядочены по номерам, их можно перенумеровать, а также сбросить счетчики проверок/совпадений.
...
- PAP - простая проверка, характерная для запросов портальной (гостевой) авторизации, и MAC Address Bypass (MAB), т.е. авторизации по МАС адресу.
Вы можете задать проверку статуса МАС адреса подключающегося устройства. Он берется из параметра Calling-Station-Id, либо User-Name.
МАС адрес может быть для системы WNAM:- "Известен и валиден" - устройство с этим адресом ранее каким-то способом уже авторизовано, и эта авторизация не истекла и не сброшена
- "Не известен" - в базе данных WNAM (в разделе "Пользователи") такого адреса нет
- "Просрочен/не валиден" - устройство с этим адресом уже присутствует в базе WNAM, но его авторизация истекла или сброшена
Также дополнительным критерием вы можете задать совпадение МАС-адреса по регулярному выражению, например строкой "^(00:50:56)." можно задать совпадение только адресов виртуальных машин VMware.
- Для EAP-TLS метода можно настроить проверку совпадения:
- подстроки или регулярного выражения в поле CN сертификата клиента
- подстроки или регулярного выражения в поле SAN сертификата клиента
- Для EAP-PEAP метода можно настроить проверку совпадения:
- членства пользователя в заданной группе в Active Directory. Имя группы выбирается из списка, который заполняется значениями, полученными в ходе настройки взаимодействия с Active Directory. Запрос в AD проводится по LDAP, используя логин из EAP Identity заголовка запроса
- подстроки или регулярного выражения в имени группы, или в присвоенной пользователю категории
- наличию записи о пользователя (с заданным логином и паролем) в WNAM, в таблице "Пользователи". при этом запрос в Active Directory не производится
| Warning | ||
|---|---|---|
| ||
Критерии в правиле проверяются в соответствии с логикой "И" относительно настроек "Время", "Источник", "SSID" и "Метод". Настройки критериев "Источник", "SSID" и "Метод" основаны на радио-кнопке, то есть проверяется только выбранный вариант. Если внутри варианта содержится несколько чекбоксов, и они включены, между ними срабатывает логика "ИЛИ". |
| Warning | ||
|---|---|---|
| ||
Использование схемы корпоративной авторизации меняет логику работы RADIUS-сервера в части обработки трафика гостевых Wi-Fi подключений. Для того, чтобы ваш сервер WNAM мог одновременно обслуживать и гостевых Wi-Fi, и 802.1x клиентов, необходимо создать дополнительные профили (№1, №2) аутентификации и авторизации, как описано в примерах. |
В результате проверки правила, если все его критерии совпали с запросом, формируется:
...
Если выбраны первые два варианта (Deny или Allow), они передаются дальше на вход алгоритму выбора правила авторизации. При этом происходит аналогичный перебор всех правил, сравнение условий (результат, тэг, номер правила и т.п.), и выбирается первый наиболее совпавший.
...