Для успешной настройки , и последующей эксплуатации модуля корпоративной авторизации WNAM вы должны легко ориентироваться в применяемых терминах и технологиях. Для вашего удобства мы разработали словарь.требуется понимание и знание применяемых терминов и технологий. С целью повышения осведомленности о технологиях системы WNAM рекомендуется ознакомиться с настоящими терминами и определениями.
| Warning |
|---|
Нижеследующий текст не претендует на исчерпывающее руководство является исчерпывающим руководством по технологиям PKI, 802.1x и так далеет.п, и не содержит математических принципов, применяющихся в алгоритмах шифрования на открытых ключах и цифровых подписях. Информация и объяснения определения даны в очень упрощенном виде. Если вам хочется разобраться более детально, обратитесь упрощенной форме. В случае необходимости более детального изучения, следует обратиться к специализированной литературе. |
Сертификат
Цифровая сущность, содержащая в себе: атрибуты принадлежности (название, компания, город и т.п.), даты начала и конца валидности, публичный ключ, название и идентификатор того, кто этот сертификат подписал (другой сертификат). Служит для подтверждения "идентичности" того, кто сертификат предъявляет. При правильной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до того сертификата, который числится в "заведомо доверенных" на устройстве.
Удостоверяющий центр
Организация либо управляемая ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов, публикующая списки отзыва и т.п.
PEM
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Текстовый. Закодирован в BASE64. Содержит в начале и конце строки вида ----- BEGIN CERTIFICATE ------ и т.п.
DER
Абонент, пользователь, пользователь Wi-Fi
Физическое лицо, человек, подключившийся к беспроводной сети и пользующийся доступом в сеть Интернет. Система WNAM позволяет проводить идентификацию пользователей путём привязки аппаратного адреса (МАС-адреса) мобильного устройства (смартфон, телефон, планшет, мобильный компьютер) к номеру телефона с идентификацией номера путём отправки/получения СМС-сообщения. Система WNAM ведет регистрацию пользователей с указанием МАС-адреса, идентификаторов, телефона, даты и времени первой и последней сессии, параметров блокировок и т.п.
Авторизация
Процесс определения результирующих прав подключающегося устройства, то есть назначенных определенных политик, например, ограничение скорости или номера VLAN.
Аккаунтинг
При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство (VPN шлюз, коммутатор ЛВС, контроллер БЛВС) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Аккаунтинг не передает информацию по ресурсам, к которым подключается абонент (это функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.).
Аутентификация
Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи (логина и пароля), сертификата, анализа других параметров (например, место и дата/время подключения, тип устройства). В результате проверяющий компонент принимает решение о допуске/запрете подключения к сети.
Брендирование
Это возможность удалить (требует дополнительной платной лицензии) отображение логотипа системы WNAM и ссылки "Система авторизации доступа WNAM" с соответствующим всплывающим окном на страницах авторизации (идентификации) и приветствия (перенаправления) пользовательского интерфейса. При этом владелец лицензии WNAM вправе размещать свой (или другой) логотип, а также название в любом месте страницы идентификации и приветствия. Данная функция на работу интерфейса администратора и интерфейса владельца площадки не влияет. Ниже представлены примеры настроек брендирования.
Настройки по умолчанию (лицензии на брендирование отсутствует).
Собственная настройка (при наличии лицензии на брендирование).
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Бинарный. Технически эквивалентен PEM.
Открытый и закрытый ключи
Автоматически сформированные очень большие числа, запакованные специальным образом (в контейнер), позволяющие осуществить операции по цифровой подписи и шифрованию данных (см. здесь). Публичный ключ содержится в сертификате и доступен всем желающим. Приватный ключ находится в защищенном хранилище мобильного устройства , и никогда не передается по сети в открытом виде.
PFX
Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Его допустимо пересылать по сети, для последующей установки в клиентское устройство.
CSR
Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью.
PKI
Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе, авторизации на основе сертификатов
LDAP
Пользователь веб-интерфейса
Администратор системы управления WNAM, оператор (дежурный персонал) системы управления, владелец площадки (собственник бизнеса, где размещены точки доступа Wi-Fi), который может получить ограниченный доступ к статистике, собираемой системой WNAM.
Площадка
Территориальное место предоставления услуги беспроводного доступа, например одно кафе, один бизнес-центр, один корпус торгового центра. Характеризуется параметром IP-сети, из которой получают адреса абоненты, и/или иным идентификатором (обычно его передаёт хотспот), например, номеру VLAN, номер и название SSID. Статистика по использованию ресурсов сети (трафик, сессии), тонкие настройки параметров авторизации/перенаправления/ограничений производится в системе WNAM с привязкой к площадке и с точностью до площадки.
Поток трафика
Информация об индивидуальной TCP/IP-сессии обмена трафиком, проводимой подключившимся абонентом в рамках сессии, и внешним ресурсом в сети Интернет. Определяется IP-адресами и TCP либо UDP-портами отправляющей или принимающей стороны, счетчиками пакетов и байт. Требует работы специализированных средств сбора такой информации на канале передачи данных, например, NetFlow.
Работа с рекламой
Возможность редактировать шаблоны страниц СМС-авторизации и пост-авторизации (перенаправления) в онлайн-редакторе с размещением в них рекламной информации и счетчиков показов и кликов. Возможность просматривать соответствующие отчёты по показам и кликам с точностью до площадки.
Рекламные кампании и интерфейс рекламодателя
Появившаяся в версии 1.2 системы WNAM дополнительно лицензируемая возможность создавать пользователей типа "рекламный агент" и "рекламодатель" с отдельным личным кабинетом для них, возможность создавать рекламные блоки, рекламные компании (время, место и число показов), просматривать индивидуальную и общую статистику по проводимым рекламным кампаниям.
Сервер доступа
Физическое устройство, осуществляющее контроль и предоставление доступа в Интернет абонентам Wi-Fi сети. В общем случае, это маршрутизатор, выполняющий функцию hotspot (портал перехвата), или логическая настройка hotspot | captive portal на контроллере беспроводных точек Wi-Fi. На одном маршрутизаторе или контроллере можно создать несколько записей о серверах доступа, если это целесообразно для целей сегментации сети или предоставления разных имён сети Wi-Fi (SSID). Сервером доступа также является хотспот, организованный на Linux-маршрутизаторе при помощи ipset/iptables.
Сервер WNAM
Физический сервер или виртуальная машина, на которой установлена операционная система Linux, служебные программы (freeradius, tomcat, mongodb) и программное обеспечение WNAM.
Эндпоинт
Оконечное сетевое устройство, осуществляющее подключение к проводной или беспроводной сети, с использованием МАС адреса или персонифицированного идентификатора, характеризующееся уникальным МАС адресом. Исключая подключающиеся к открытой гостевой беспроводной сети устройства.
Сертификат
Цифровая сущность, содержащая в себе атрибуты принадлежности (название, компания, город и т.п.), даты начала и завершения валидности, публичный ключ, название и идентификатор сущности, подписавшей сертификат (другой сертификат). Служит для подтверждения "идентичности" предъявителя сертификата. При корректной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до сертификата, который числится в "заведомо доверенных" на устройстве.
Сессия
Сведения о факте подключения пользователя к сети с указанием ссылки на профиль абонента, а также на текущие параметры сессии: временный IP-адрес, выданный абонентскому устройству, счётчики принятых и отправленных байт, сведения о площадке, где произошло подключение, точке доступа Wi-Fi, RADIUS-идентификаторе сессии и т.п.
Стандарт 802.1x
Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP для последующей их передачи серверу авторизации.
Удостоверяющий центр
Организация либо управляемое ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов и публикующая списки отзыва и т.п.
Хотспот
Встроенное в устройство (сервер доступа) специальное программное обеспечение, позволяющее перехватывать (перенаправлять) HTTP- или HTTPS-сессию браузера абонента на внешний веб-сервер. В случае использования системы WNAM таким веб-сервером является часть системы WNAM, где производится идентификация абонента и демонстрация ему заданных страниц. После проведения авторизации хотспот по команде от WNAM,временно разрешает абоненту доступ в сеть Интернет.Служба каталога, справочник, а также сам протокол, по которому передаются запросы и получаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена Windows
Active Directory
Служба каталога в исполнении Microsoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, помогает позволяет распространять групповые политики и т.п.
CSR
Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью.
DER
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является бинарным и технически эквивалентен PEM.
FreeIPA
Служба каталога в открытой реализации. Входит в состав многих большинства (в том числе российских) дистрибутивов Linux.
802.1x
LDAP
Служба каталога, справочник, а также сам протокол, по которому передаются запросы и возвращаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена WindowsСтандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP, для последующей передачи серверу авторизации.
MAB или MAC Bypass
Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется тогда, когда оконечное устройство не поддерживает протокол 802.1х.
Аутентификация
Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи, логина, пароля, сертификата, анализа других параметров (например, откуда и когда осуществлено подключение, с какого типа устройства). В результате проверяющий компонент принимает решение, допускать в сеть, или нет.
Авторизация
Процесс определения реультирующих прав подключающегося устройства, то есть назначения тому определенных политик, например ограничение скорости или номера VLAN.
Аккаунтинг
PEM
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является текстовым и закодирован в BASE64. Сертификат, ключ и т.п. содержится в начале и конце файла в строках вида ----- BEGIN CERTIFICATE ------ и т.п.
PFX
Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Файл допустимо пересылать по сети для последующей установки в клиентское устройство.
PKI
Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе для авторизации на основе сертификатов.При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство - VPN шлюз, коммутатор ЛВС, контроллер БЛВС - формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP адрес и т.п.). Сессия аккаунтинга длится, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Никогда аккаунтинг не передает информацию о том, куда (на какие ресурсы) подключается абонент: это дело других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.)