Аутентификация — проверка подлинности предоставленных учетных данных того, кто запрашивает сетевой доступ. Система WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются различные критерии и атрибуты в поступившем запросе: откуда, когда, каким способом, что при этом передаётся. Можно определить требуемое число профилей, для каждого метода авторизации, источника запроса и других критериев. При проверке списка профилей отсеиваются заведомо не совпавшие, а по окончании проверки выбирается самый первый (по порядковому номеру) из оставшихся.
В конце цепочки проверки подразумевается неявное правило Default Deny, которое срабатывает в двух случаях:
|
В результате выбора профиля определяется результат: Allow или Deny, а также сессии абонентского подключения присваивается тэг (если он задан). Последнее используется при выборе правила авторизации на следующем шаге проверок. Список профилей представлен в разделе
Вы можете добавить в систему сколько угодно профилей, но вряд ли вам понадобится более десятка. Профили упорядочены по номерам, их можно перенумеровать, а также сбросить счетчики проверок/совпадений.
Нажатие на кнопку "Создать новый", либо клик в строку с правилом, открывает окно редактирования профиля:
Вы можете отредактировать необходимые параметры, клонировать правило, удалить его или сохранить изменения. Рассмотрим все настраиваемые параметры по порядку:
Включено - определяет, будет ли это правило использоваться в работе системы
Наименование - произвольное название правила, будет видно в разделе "Диагностика" системы. Пользователь его не видит.
Приоритет - порядковый номер правила в цепочке проверок; они идут от меньшего номера к большему
Время - диапазон времени суток, в которые происходит проверка срабатывания правила (в настоящий момент не реализовано)
Источник - проверка совпадения производится путем анализа того, откуда пришел запрос (RADIUS-пакет), с какого сервера доступа. Вы можете выбрать:
SSID - проверка совпадения параметра имени беспроводной сети (проводится только для Wi-Fi подключений). Имя сети берется из RADIUS-запроса, параметр Calling-Station-Id формата "AP_MAC:SSID". Возможные варианты:
Метод - проверка ведется по методу проверки аутентификации, в зависимости от того, что приходит в RADIUS-запросе. Возможные варианты
Критерии в правиле проверяются в соответствии с логикой "И" относительно настроек "Время", "Источник", "SSID" и "Метод". Настройки критериев "Источник", "SSID" и "Метод" основаны на радио-кнопке, то есть проверяется только выбранный вариант. Если внутри варианта содержится несколько чекбоксов, и они включены, между ними срабатывает логика "ИЛИ". |
Использование схемы корпоративной авторизации меняет логику работы RADIUS-сервера в части обработки трафика гостевых Wi-Fi подключений. Для того, чтобы ваш сервер WNAM мог одновременно обслуживать и гостевых Wi-Fi, и 802.1x клиентов, необходимо создать дополнительные профили (№1, №2) аутентификации и авторизации, как описано в примерах. |
В результате проверки правила, если все его критерии совпали с запросом, формируется:
Если выбраны первые два варианта (Deny или Allow), они передаются дальше на вход алгоритму выбора правила авторизации. При этом происходит аналогичный перебор всех правил, сравнение условий (результат, тэг, номер правила и т.п.), и выбирается первый наиболее совпавший.
Если выбран третий вариант FastAllow:
то проверки цепочки правил авторизации не последует. Вместо этого RADIUS-сервер WNAM сразу вернет ответ Access-Accept, и опционально произведет назначение номера VLAN (используя стандартные атрибуты, или атрибут вендора HP). Данный сценарий реализован для того, чтобы в определенных случаях (назначение VLAN в зависимости от AD-группы или профилирования) не приходилось создавать правило авторизации на каждое правило аутентификации.