Аутентификация — проверка подлинности предоставленных учетных данных того, кто запрашивает сетевой доступ. WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым такая проверка производится. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются различные критерии и атрибуты в поступившем запросе: откуда, когда, каким способом, что при этом передаётся. Вы можете определить требуемое вам число профилей, для каждого типа или источника запроса.
При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании - выбирается самый первый (по порядковому номеру) из оставшихся.
В результате выбора профиля определяется результат: Allow или Deny, а также сессии абонентского подключения присваивается тэг (если задан). Последнее используется при выборе правила авторизации на следующем шаге проверок.
Список профилей выглядит следующим образом:
Вы можете добавить в систему сколько угодно профилей, но вряд ли вам понадобится более десятка. Профили упорядочены по номерам, их можно перенумеровать, а также сбросить счетчики проверок/совпадений.
Нажатие на кнопку "Создать новый", либо клик в строку с правилом, открывает окно редактирования профиля:
Вы можете отредактировать необходимые параметры, клонировать правило, удалить его или сохранить изменения. Рассмотрим все настраиваемые параметры по порядку:
Включено - определяет, будет ли это правило использоваться в работе системы
Наименование - произвольное название правила, будет видно в разделе "Диагностика" системы. Пользователь его не видит.
Приоритет - порядковый номер правила в цепочке проверок; они идут от меньшего номера к большему
Время - диапазон времени суток, в которые происходит проверка срабатывания правила (в настоящий момент не реализовано)
Источник - проверка совпадения производится путем анализа того, откуда пришел запрос (RADIUS-пакет), с какого сервера доступа. Вы можете выбрать:
"Любой" - без проверки, совпадают все
"Клиент" - выбирается один из бизнес-клиентов, заданных в разделе "Конфигурация-Клиенты", и совпадают все сервера доступа, настроенные там у клиента (включая вложенных клиентов). Этим способом удобно группировать ваши сервера доступа NAS (контроллеры, коммутаторы) по территориальному признаку
"Сервер доступа" - выбирается один из настроенных вами серверов доступа (коммутатор, контроллер)
SSID - проверка совпадения параметра имени беспроводной сети (проводится только для Wi-Fi подключений). Имя сети берется из RADIUS-запроса, параметр Calling-Station-Id формата "AP_MAC:SSID". Возможные варианты:
"Любой" - подходит любая сеть
"Имя сети" - подходит заданная сеть по точному совпадению имени (чувствительно к регистру)
"WLAN ID" проверка совпадения по значению атрибута "Airespace-Wlan-ID", который численно равен порядковому номеру профиля сети WLAN (только для контроллеров Cisco)
Метод - проверка ведется по методу проверки аутентификации