Аутентификация — проверка подлинности предоставленных учетных данных того, кто запрашивает сетевой доступ. Система WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются различные критерии и атрибуты в поступившем запросе: откуда, когда, каким способом, что при этом передаётся. Можно определить требуемое число профилей, для каждого метода авторизации, источника запроса и других критериев. При проверке списка профилей отсеиваются заведомо не совпавшие, а по окончании проверки выбирается самый первый (по порядковому номеру) из оставшихся.

Внимание

В конце цепочки проверки подразумевается неявное правило Default Deny, которое срабатывает в двух случаях:

  • ошибка (exception) на стадии обработки какого-либо из правил;
  • ни одно из правил аутентификации не совпало.

В результате выбора профиля определяется результат: Allow или Deny, а также сессии абонентского подключения присваивается тэг (если он задан). Последнее используется при выборе правила авторизации на следующем шаге проверок. Список профилей представлен в разделе 

Вы можете добавить в систему сколько угодно профилей, но вряд ли вам понадобится более десятка. Профили упорядочены по номерам, их можно перенумеровать, а также сбросить счетчики проверок/совпадений.

Нажатие на кнопку "Создать новый", либо клик в строку с правилом, открывает окно редактирования профиля:

Вы можете отредактировать необходимые параметры, клонировать правило, удалить его или сохранить изменения. Рассмотрим все настраиваемые параметры по порядку:

Включено - определяет, будет ли это правило использоваться в работе системы

Наименование - произвольное название правила, будет видно в разделе "Диагностика" системы. Пользователь его не видит.

Приоритет - порядковый номер правила в цепочке проверок; они идут от меньшего номера к большему

Время - диапазон времени суток, в которые происходит проверка срабатывания правила (в настоящий момент не реализовано)

Источник - проверка совпадения производится путем анализа того, откуда пришел запрос (RADIUS-пакет), с какого сервера доступа. Вы можете выбрать:

  • "Любой" - без проверки, совпадают все
  • "Подразделение" - выбирается один из бизнес-клиентов (поразделений), заданных в разделе "Конфигурация-Подразделения", и при фильтрации правила совпадает найденная площадка с той, которая настроена в иерархии (включая вложенные). Этим способом удобно группировать ваши площадки и NAS (контроллеры, коммутаторы) по территориальному признаку
  • "Сервер доступа" - выбирается один из настроенных вами серверов доступа (коммутатор, контроллер)
  • "Категории серверов доступа" - задаются категории NAS для совпадения по правилам категорий
  • "Совпадение в NAS Identity" - поиск по подстроке или точному совпадению RADIUS-атрибута NAS-Id.

SSID - проверка совпадения параметра имени беспроводной сети (проводится только для Wi-Fi подключений). Имя сети берется из RADIUS-запроса, параметр Calling-Station-Id формата "AP_MAC:SSID". Возможные варианты:

  • "Любой" - подходит любая сеть
  • "Имя сети" - подходит заданная сеть по точному совпадению имени (чувствительно к регистру)
  • "WLAN ID" проверка совпадения по значению атрибута "Airespace-Wlan-ID", который численно равен порядковому номеру профиля сети WLAN (только для контроллеров Cisco)

Метод - проверка ведется по методу проверки аутентификации, в зависимости от того, что приходит в RADIUS-запросе. Возможные варианты

  • PAP - простая проверка, характерная для запросов портальной (гостевой) авторизации, и MAC Address Bypass (MAB), т.е. авторизации по МАС адресу.
    Вы можете задать проверку статуса МАС адреса подключающегося устройства. Он берется из параметра Calling-Station-Id, либо User-Name.
    МАС адрес может быть для системы WNAM:
    • "Известен и валиден" - устройство с этим адресом ранее каким-то способом уже авторизовано, и эта авторизация не истекла и не сброшена
    • "Не известен" - в базе данных WNAM (в разделе "Пользователи") такого адреса нет 
    • "Просрочен/не валиден" - устройство с этим адресом уже присутствует в базе WNAM, но его авторизация истекла или сброшена
      Также дополнительным критерием вы можете задать совпадение МАС-адреса по регулярному выражению, например строкой "^(00:50:56)." можно задать совпадение только адресов виртуальных машин VMware.
    Следующие два метода, EAP-PEAP и EAP-TLS, определяют подключения корпоративной авторизации 802.1х. В обоих случаях можно задать фильтр по полю EAP Identity (обычно это логин пользователя, либо имя в сертификате). Формат фильтра - регулярное выражение.
  • Для EAP-TLS метода можно настроить проверку совпадения:
    • подстроки или регулярного выражения в поле CN сертификата клиента
    • подстроки или регулярного выражения в поле SAN сертификата клиента
  • Для EAP-PEAP метода можно настроить проверку совпадения:
    • членства пользователя в заданной группе в Active Directory. Имя группы выбирается из списка, который заполняется значениями, полученными в ходе настройки взаимодействия с Active Directory. Запрос в AD проводится по LDAP, используя логин из EAP Identity заголовка запроса
    • подстроки или регулярного выражения в имени группы, или в присвоенной пользователю категории
    • наличию записи о пользователя (с заданным логином и паролем) в WNAM, в таблице "Пользователи". при этом запрос в Active Directory не производится

Внимание

Критерии в правиле проверяются в соответствии с логикой "И" относительно настроек "Время", "Источник", "SSID" и "Метод".

Настройки критериев "Источник", "SSID" и "Метод" основаны на радио-кнопке, то есть проверяется только выбранный вариант.

Если внутри варианта содержится несколько чекбоксов, и они включены, между ними срабатывает логика "ИЛИ".

 

Внимание

Использование схемы корпоративной авторизации меняет логику работы RADIUS-сервера в части обработки трафика гостевых Wi-Fi подключений. Для того, чтобы ваш сервер WNAM мог одновременно обслуживать и гостевых Wi-Fi, и 802.1x клиентов, необходимо создать дополнительные профили (№1, №2) аутентификации и авторизации, как описано в примерах.

 

В результате проверки правила, если все его критерии совпали с запросом, формируется:

  • итоговое действие - Deny, Allow или FastAllow
  • возможность присвоить произвольное слово (тэг) результату

Если выбраны первые два варианта (Deny или Allow), они передаются дальше на вход алгоритму выбора правила авторизации. При этом происходит аналогичный перебор всех правил, сравнение условий (результат, тэг, номер правила и т.п.), и выбирается первый наиболее совпавший.

Если выбран третий вариант FastAllow:

то проверки цепочки правил авторизации не последует. Вместо этого RADIUS-сервер WNAM сразу вернет ответ Access-Accept, и опционально произведет назначение номера VLAN (используя стандартные атрибуты, или атрибут вендора HP). Данный сценарий реализован для того, чтобы в определенных случаях (назначение VLAN в зависимости от AD-группы или профилирования) не приходилось создавать правило авторизации на каждое правило аутентификации.

  • No labels