View Source

Помимо обеспечения гостевой авторизации, система WNAM версии 1.6.2855 и старше поддерживает корпоративную авторизацию. Это означает, что система WNAM обеспечивает проверку подлинности, назначение политик, ведение системного журнала событий и отчетов подключений абонентов в корпоративной среде. При этом поддерживаются как беспроводные, так и проводные подключения, а также VPN-подключения.

Корпоративная авторизация предусматривает усиленную проверку подлинности учётных данных на основе TLS-сертификатов, либо индивидуальных учетных данных (пары "логин-пароль"). Применяющиеся при этом TLS -соединения между абонентом и сервером авторизации системы WNAM создают такое подключение максимально безопасным, а построенную на их основе сеть - наиболее защищенной в соответствии с текущими действующими стандартами.

Система WNAM предоставляет:

собственную реализацию RADIUS-сервера для поддержки протокола расширенной проверки подлинности EAP и, таким образом, протокола 802.1x;
методы авторизации PAP, EAP-TLS, EAP-PEAP/MSCHAPv2;
встроенный центр сертификатов, а также возможность работы с внешними сертификатами, выпущенными вашим PKI (инфраструктурой управления открытыми ключами);
авторизацию по локально созданным пользователям с парами "логин-пароль";
авторизацию по учетным данным из вашего домена Microsoft Active Directory или FreeIPA (для ОС Windows и Linux соответственно) с проверкой членства в группах, а также совпадения LDAP-атрибутов пользователя;
гибкие политики аутентификации на основе источника, метода и т.п.;
гибкие политики авторизации с назначением пользователю VLAN, ACL, dACL, ограничений скорости и других RADIUS-атрибутов;
редактор RADIUS-атрибутов;
аккаунтинг (объем переданных и полученных данных) авторизованных сессий пользователей;
собственную реализацию TACACS+ сервера с базой пользователей, групп, политик и т.п.

Для включения функции корпоративной авторизации необходимы следующая дополнительная лицензия:

WNAM-1.6-CA

Дополнительная лицензия на поддержку корпоративных методов авторизации и встроенный центр управления сертификатами

1 штука

И набор пакетов к лицензии:

WNAM-1.6-X100	Дополнительная лицензия на пакет 100 эндпоинтов корпоративной авторизации	По числу эндпоинтов, т.е. индивидуальных МАС-адресов. Примерно соответствует сумме задействованных сертификатов, учетных записей (локально, или в AD) и "не умных" устройств (МАС bypass).
WNAM-1.6-X1K	Дополнительная лицензия на пакет 1000 эндпоинтов корпоративной авторизации
WNAM-1.6-X10K	Дополнительная лицензия на пакет 10000 эндпоинтов корпоративной авторизации
WNAM-1.6-TACPLUS-10	Дополнительная лицензия на поддержку авторизации доступа к оборудованию по протоколу TACACS+, 10 устройств	По числу обслуживаемых сетевых устройств (коммутаторы, маршрутизаторы, контроллеры), в том числе осуществляющие авторизацию административного доступа по RADIUS.
WNAM-1.6-TACPLUS-100	Дополнительная лицензия на поддержку авторизации доступа к оборудованию по протоколу TACACS+, 1000 устройств
WNAM-1.6-TACPLUS-1K	Дополнительная лицензия на поддержку авторизации доступа к оборудованию по протоколу TACACS+, 1000 устройств

Поскольку корпоративная авторизация - всего лишь дополнительный компонент, и лицензии для программного продукта WNAM на его покупку распространяются вне преференции, вытекающие из наличия ПО WNAM в Едином реестр российских программ для электронных вычислительных машин и баз данных Минцифры.

Для тестирования и ввода в эксплуатацию корпоративной авторизации WNAM следует выполнить следующие действия:

1. Настроить сервер WNAM версии 1.6 согласно инструкции, либо воспользоваться автоматическим инсталлятором.

2. Включить поддержку протокола TLSv1 в Java Runtime.

3. Подготовить сеть к работе:

а. подготовить беспроводную сеть в составе контроллера, точки доступа, абонента, протестировать её работу в открытой (open) конфигурации без авторизации;

и/или

b. подготовить проводной сегмент сети в составе коммутатора ЛВС, поддерживающего функцию 802.1x-авторизации и протестировать подключение проводного клиента в открытом режиме (без авторизации).

4. Настроить доступ и/или учетные данные/сертификаты

а. подготовить доступы в ваш домен Active Directory либо FreeIPA;

и/или

b. создать локальные учётные записи пользователей типа RADIUS;

и/или

с. выписать необходимые серверные сертификаты и сертификаты клиента в вашем центре сертификации.

5. Настроить WNAM в соответствии с инструкцией, представленной на следующих страницах данной документации.

6. Провести проверку 802.1х подключений.

При отсутствии начальных профилей аутентификации, авторизации и TACACS+ в системе при первом запуске WNAM будут созданы набор профилей (примеров) по умолчанию.