С использованием механизма "Категорий" вы можете реализовать сценарий политик аутентификации, если в вашей сети много серверов доступа разного типа, и они могут быть сгруппированы по какому-то признаку (важность, поддерживаемая функция, тип, вендор и т.п.).
Механизм работы с категориями основан на следующем:
- Создаются "Типы категорий" - некоторые логические сущности, своего рода "словари". Словарь может быть сделан "доступным" одному или нескольким типам объектов: серверу доступа, веб-странице конструктора, пользователю и т.п.
- В каждом типе создаются собственно категории - ключевые слова, или "свойства" "словаря".
- Для сервера доступа (либо площадки, и некоторых других объектов) из списка доступных ему типов категорий чекбоксами выбираются "активные" для данного сервера доступа категории. Этим ему выставляются некоторые свойства или тэги.
- В профилях аутентификации, в разделе "Источник" вы можете указать совпадение сервера доступа не конкретного из списка, а соответствующего заданным вам категориям.
И типы категорий, и сами категории, являются просто словами, и не несут никаких свойств, кроме собственного имени и той смысловой нагрузки, которую вы им придумаете.
Для примера, создадим следующие три типа категорий с таким содержанием ("Конфигурация - Категории"):
Затем для одного из серверов доступа настроим принадлежность его к таким типам:
Таким образом мы объявляем, что данный сервер доступа это "важный VPN-шлюз типа Cisco".
Теперь мы можем сделать профили аутентификации на основе любых комбинаций категорий:
где выбрано:
(при этой настройке правило совпадет только для серверов доступа типа "важный, и VPN шлюз", т.е. например для настроенного нами ранее устройства, а также для любых NAS, в "категориях" которого установлены эти две)
либо:
(совпадет любой сервер доступа, в "категориях" которого заданы "Hewlett-Packаrd" как вендор, и "нет" как принадлежность к VPN-типу).
Проверки по категориям серверов доступа в "Профилях аутентификации" применяются относительно того сервера доступа (NAS), откуда поступил RADIUS-запрос. Этот механизм матчинга не использует "площадки", в том числе настроенные в "Подразделениях", но использует параметры SSID (для беспроводных сетей).