...
Warning |
---|
В конце цепочки проверки применяется неявное правило Default Reject, которое срабатывает в трех случаях:
|
Список профилей пользователей правил представлен в виде таблицы в разделе "Конфигурация " → "Профили пользователей".
- правила авторизации":
В систему можно добавить сколько угодно профилей правил (обычно требуется порядка 10 профилей). Профили Правила упорядочены по номерам, и их можно перенумеровать, а также настроить правила генерации и использования паролей. Также на вкладке доступны кнопки, перенаправляющие на другие разделы - пользователи, группы пользователей, службы каталогов и диагностика.
Для изменения правил генерации и использования паролей необходимо нажать кнопку "Политика паролей" и произвести требуемые настройки (установить правила), после чего нажать кнопку 2Сохранить".
правила аутентификации, диагностика.
Для добавления нового правила Для добавления нового профиля необходимо нажать кнопку "Создать новый", либо нажать левой кнопкой мыши на строку с правилом. При этом открывается окно редактирования профиля.
При нажатии на строку в таблице открывается окно редактирования правила, с тем же содержанием.
Можно отредактировать необходимые параметры, удалить его или сохранить изменения. Ниже представлено описание настраиваемых параметров профиля.
...
Приоритет - порядковый номер правила в цепочке проверок (проверка начинается с наименьшего номера).
Уровень привилегий -
Источник подключения -
Протокол -
Цель подключения -
Пользователь -
Доступ -
Команды -
Атрибуты -
Условие - проверка совпадения правила аутентификации, выполненная на предыдущем шаге. Сравниваются:
...
- VLAN ID
- ACL ID - номер или имя ACL, который должен быть предварительно задан на оборудовании
- Downloadable ACL - выбранный загружаемый список доступа, из заранее созданных
- RADIUS-атрибуты - набор произвольных атрибутов вида Имя=Значение, которые передаются оборудованию. Внимание! Атрибуты должны уже существовать в RADIUS-словаре системы WNAM. Если вы применяете экзотический атрибут и получаете ошибку, обратитесь в службу поддержки
- Возможность применения политики КИБ "Сакура"
- Ограничения в виде набора атрибутов тайм-аута сессии, скорости передачи трафика и т.п.
Создать Эндпоинт- определяет, что будет происходить с учетной записью абонента. Для корпоративной авторизации вам необходимо выбрать "создать учетную запись с МАС пользователя", для гостевой (портальной) она и так будет автоматически создана. сетевого клиента. Здесь вы можете указать привязку сертификата к эндпоинту, чтобы предотвратить нелегитимное распространение TLS-сертификатов клиентов
Добавить - набор действий с записью пользователяэндпоинта:
- Добавление категории в виде имен правил и т.п.
- Добавление VIP-статуса
Вернуть - определяет тип RADIUS-ответа: ACCEPT или REJECT.
Внимание: для 802.1х методов непременными атрибутами ACCEPTдополнительными атрибутами ACCEPT-ответа также будут MS-MPPE ключи канального шифрования.