При поступлении запроса от сервера доступа (NAS) по протоколу TACACS+ сервер WNAM производит перебор всех настроенных и включенных профилей TACACS+ для определения:
- Какой из пользователей запрашивает доступ
- Какой уровень привилегий, допустимые команды и атрибуты применять к этой сессии подключения
Профили определяются в меню "Конфигурация - Корпоративная авторизация - Профили TACACS+". При старте система проверяет наличие профилей в системе, и если их ещё нет, создает несколько преднастроенных профилей.
У каждого профиля есть порядковый номер. При анализе подключения (откуда, логин) WNAM перебирает их все, отметая заведомо не совпадающие. В конечном итоге остается один совпавший профиль (при прочих равных тот, у кого меньше номер). Если ни один из профилей не подошел, доступ запрещается.
Каждый из профилей имеет следующие настройки:
- Признак включенности
- Название
- Приоритет (порядковый номер в таблице)
- Уровень привилегий пользователя, который передается оборудованию (NAS). Он имеет меньший приоритет, чем тот, который задан в настройках учетной записи пользователя (если там он не нулевой).
- Фильтр на источник подключения (IP адрес подключающегося клиента - администратора)
- Фильтр на цель подключения (к какому серверу доступа обращается администратор: к любому, заданному, находящемуся в иерархической группе подразделения)
- Правило совпадения обращающейся учетной записи (логина):
- администратор веб-интерфейса WNAM с опциональной проверкой совпадения подстроки в логине
- локальный пользователь TAСACS+ с фильтром по списку пользователей или групп (мульти-выбор)
- доменный пользователь (при настроенной интеграции с Active Directory) с проверкой пароля и членства в группе (выбор, подстрока) по LDAP
- Список допустимых команд
- Список передаваемых атрибутов
Последние два списка объединяются с аналогичными списками совпавшего локального пользователя TAСACS+ (у других типов учетных записей этих списков нет вовсе).