You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 11 Next »

Помимо обеспечения гостевой авторизации, WNAM версии 1.6.2855 и старше (апрель 2022 г.) поддерживает и корпоративную авторизацию.

Это означает, что та же система обеспечит для вас проверку подлинности, назначение политик, логгинг и отчеты для подключений абонентов в корпоративной среде. При этом поддерживаются как беспроводные, так и проводные подключения, а также VPN-подключения.

Корпоративная авторизация связана с усиленной проверкой подлинности учётных данных, на основе TLS-сертификатов, либо индивидуальных пар "логин-пароль". Применяющиеся при этом TLS -соединения между абонентом и сервером авторизации WNAM делают такое подключение максимально безопасным, а построенную на их основе сеть - наиболее защищенной в соответствии с текущими действующими стандартами.

WNAM предоставляет:

  • собственную реализацию RADIUS-сервера для поддержки протокола EAP и, таким образом, протокола 802.1x
  • методы авторизации PAP, EAP-TLS, EAP-PEAP/MSCHAPv2
  • встроенный центр сертификатов, и возможность работы с внешними сертификатами, выпущенными вашим PKI
  • авторизацию по локально созданным пользователям с парами "логин-пароль", 
  • авторизацию по учетным данным из вашего домена Microsoft Active Directory или FreeIPA, с проверкой членства в группах, а также совпадения LDAP-атрибутов пользователя
  • гибкие политики аутентификации на основе источника, метода и т.п.
  • гибкие политики авторизации с назначением пользователю VLAN, ACL, dACL, ограничений скорости и других RADIUS-атрибутов
  • редактор RADIUS-атрибутов
  • аккаунтинг авторизованных сессий пользователей
  • собственную реализацию TACACS+ сервера с базой пользователей, групп, политик и т.п.

Для включения функции корпоративной авторизации вам необходимы следующие дополнительные лицензии:

WNAM-1.6-CAДополнительная лицензия на поддержку корпоративных методов авторизации, и встроенный центр управления сертификатами1 штука

и к ней набор пакетов

WNAM-1.6-X100Дополнительная лицензия на пакет 100 эндпоинтов корпоративной авторизации

по числу эндпоинтов, т.е. индивидуальных МАС адресов.

Примерно соответствует сумме задействованных сертификатов,

учетных записей (локально, или в AD) и "не умных" устройств (МАС bypass)

WNAM-1.6-X1KДополнительная лицензия на пакет 1000 эндпоинтов корпоративной авторизации
WNAM-1.6-X10KДополнительная лицензия на пакет 10000 эндпоинтов корпоративной авторизации

WNAM-1.6-TACPLUS-10

Дополнительная лицензия на поддержку авторизации доступа к оборудованию по протоколу TACACS+, 10 устройств

по числу обслуживаемых сетевых устройств (коммутаторы, маршрутизаторы, контроллеры),

в том числе осуществляющие авторизацию административного доступа по RADIUS

WNAM-1.6-TACPLUS-100

Дополнительная лицензия на поддержку авторизации доступа к оборудованию по протоколу TACACS+, 1000 устройств

WNAM-1.6-TACPLUS-1K

Дополнительная лицензия на поддержку авторизации доступа к оборудованию по протоколу TACACS+, 1000 устройств

Поскольку корпоративная авторизация - всего лишь дополнительный компонент и лицензии для давно существующего программного продукта WNAM, на его покупку распространяются все преференции, вытекающие из наличия ПО WNAM в Едином реестр российских программ для электронных вычислительных машин и баз данных Минцифры.


Для тестирования и ввода в эксплуатацию корпоративной авторизации WNAM вам следует:

1. Настроить сервер WNAM версии 1.6 согласно обычной инструкции, либо воспользоваться автоматическим инсталлятором

2. Включить поддержку протокола TLSv1 в Java Runtime 

3а. Подготовить беспроводную сеть в составе контроллера, точки доступа, абонента, протестировать её работу в открытой (open) конфигурации без авторизации

   и/или

3б. Подготовить проводной сегмент сети в составе коммутатора ЛВС, поддерживающего функцию 802.1x-авторизации, и протестировать подключение проводного клиента в открытом режиме (без авторизации)

4а. Подготовить доступы в ваш домен Active Directory либо FreeIPA 

   и/или

4б. Создать локальные учётные записи пользователей типа RADIUS 

   и/или

4в. Выписать необходимые серверные сертификаты и сертификаты клиента в вашем центре сертификации

5. Настроить WNAM в соответствии с инструкцией на следующих страницах этой документации

Внимание

При отсутствии начальных профилей аутентификации, авторизации и TACACS+ в системе при первом запуске WNAM будут созданы набор профилей (примеров) по умолчанию

6. Провести проверку 802.1х подключений

  • No labels