Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети, иначе - предоставление разрешения на выполнение действий пользователю в соответствии с назначенными ему правами. Система WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются результаты аутентификации и выбираются атрибуты, которые будут назначены сессии доступа пользователя в возвращаемом сетевому оборудованию RADIUS-ответе. При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании проверки выбирается самый первый (по порядковому номеру) из оставшихся профилей.
В конце цепочки проверки применяется неявное правило Default Reject, которое срабатывает в трех случаях:
|
Список профилей пользователей представлен в виде таблицы в разделе "Конфигурация" → "Профили пользователей".
В систему можно добавить сколько угодно профилей (обычно требуется порядка 10 профилей). Профили упорядочены по номерам и их можно перенумеровать, а также настроить правила генерации и использования паролей. Также на вкладке доступны кнопки, перенаправляющие на другие разделы - пользователи, группы пользователей, службы каталогов и диагностика.
Для изменения правил генерации и использования паролей необходимо нажать кнопку "Политика паролей" и произвести требуемые настройки (установить правила), после чего нажать кнопку 2Сохранить".
Для добавления нового профиля необходимо нажать кнопку "Создать новый", либо нажать левой кнопкой мыши на строку с правилом. При этом открывается окно редактирования профиля.
Можно отредактировать необходимые параметры, удалить его или сохранить изменения. Ниже представлено описание настраиваемых параметров профиля.
Включено - определяет использование правила в работе системы.
Наименование - произвольное наименование правила, отображается в разделе "Диагностика" системы (пользователь его не видит).
Приоритет - порядковый номер правила в цепочке проверок (проверка начинается с наименьшего номера).
Уровень привилегий -
Источник подключения -
Протокол -
Цель подключения -
Пользователь -
Доступ -
Команды -
Атрибуты -
Условие - проверка совпадения правила аутентификации, выполненная на предыдущем шаге. Сравниваются:
Применить - определяет, прямо или косвенно, набор RADIUS-атрибутов, которые будут переданы оборудованию NAS для данной сессии подключения. Возможные варианты:
Создать - определяет, что будет происходить с учетной записью абонента. Для корпоративной авторизации вам необходимо выбрать "создать учетную запись с МАС пользователя", для гостевой (портальной) она и так будет автоматически создана.
Добавить - набор действий с записью пользователя:
Вернуть - определяет тип RADIUS-ответа: ACCEPT или REJECT.
Внимание: для 802.1х методов непременными атрибутами ACCEPT-ответа также будут MS-MPPE ключи канального шифрования.