View Source

Аутентификация — проверка подлинности предоставленных учетных данных того, кто запрашивает сетевой доступ. WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым такая проверка производится. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются различные критерии и атрибуты в поступившем запросе: откуда, когда, каким способом, что при этом передаётся. Вы можете определить требуемое вам число профилей, для каждого типа или источника запроса.

При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании - выбирается самый первый (по порядковому номеру) из оставшихся.

В результате выбора профиля определяется результат: Allow или Deny, а также сессии абонентского подключения присваивается тэг (если задан). Последнее используется при выборе правила авторизации на следующем шаге проверок.

Список профилей выглядит следующим образом:

Wireless Network Access Manager > Правила аутентификации > auth_list_sm.png

Вы можете добавить в систему сколько угодно профилей, но вряд ли вам понадобится более десятка. Профили упорядочены по номерам, их можно перенумеровать, а также сбросить счетчики проверок/совпадений.

Нажатие на кнопку "Создать новый", либо клик в строку с правилом, открывает окно редактирования профиля:

Wireless Network Access Manager > Правила аутентификации > auth_rule2_sm.png

Вы можете отредактировать необходимые параметры, клонировать правило, удалить его или сохранить изменения. Рассмотрим все настраиваемые параметры по порядку:

Включено - определяет, будет ли это правило использоваться в работе системы

Наименование - произвольное название правила, будет видно в разделе "Диагностика" системы. Пользователь его не видит.

Приоритет - порядковый номер правила в цепочке проверок; они идут от меньшего номера к большему

Время - диапазон времени суток, в которые происходит проверка срабатывания правила (в настоящий момент не реализовано)

Источник - проверка совпадения производится путем анализа того, откуда пришел запрос (RADIUS-пакет), с какого сервера доступа. Вы можете выбрать:

"Любой" - без проверки, совпадают все
"Клиент" - выбирается один из бизнес-клиентов, заданных в разделе "Конфигурация-Клиенты", и совпадают все сервера доступа, настроенные там у клиента (включая вложенных клиентов). Этим способом удобно группировать ваши сервера доступа NAS (контроллеры, коммутаторы) по территориальному признаку
"Сервер доступа" - выбирается один из настроенных вами серверов доступа (коммутатор, контроллер)

SSID - проверка совпадения параметра имени беспроводной сети (проводится только для Wi-Fi подключений). Имя сети берется из RADIUS-запроса, параметр Calling-Station-Id формата "AP_MAC:SSID". Возможные варианты:

"Любой" - подходит любая сеть
"Имя сети" - подходит заданная сеть по точному совпадению имени (чувствительно к регистру)
"WLAN ID" проверка совпадения по значению атрибута "Airespace-Wlan-ID", который численно равен порядковому номеру профиля сети WLAN (только для контроллеров Cisco)

Метод - проверка ведется по методу проверки аутентификации, в зависимости от того, что приходит в RADIUS-запросе. Возможные варианты

PAP - простая проверка, характерная для запросов портальной (гостевой) авторизации, и MAC Address Bypass (MAB), т.е. авторизации по МАС адресу.
Вы можете задать проверку статуса МАС адреса подключающегося устройства. Он берется из параметра Calling-Station-Id, либо User-Name.
МАС адрес может быть для системы WNAM:
- "Известен и валиден" - устройство с этим адресом ранее каким-то способом уже авторизовано, и эта авторизация не истекла и не сброшена
- "Не известен" - в базе данных WNAM (в разделе "Пользователи") такого адреса нет
- "Просрочен/не валиден" - устройство с этим адресом уже присутствует в базе WNAM, но его авторизация истекла или сброшена
  Также дополнительным критерием вы можете задать совпадение МАС-адреса по регулярному выражению, например строкой "^(00:50:56)." можно задать совпадение только адресов виртуальных машин VMware.
Следующие два метода, EAP-PEAP и EAP-TLS, определяют подключения корпоративной авторизации 802.1х. В обоих случаях можно задать фильтр по полю EAP Identity (обычно это логин пользователя, либо имя в сертификате). Формат фильтра - регулярное выражение.
Для EAP-TLS метода можно настроить проверку совпадения:
- подстроки или регулярного выражения в поле CN сертификата клиента
- подстроки или регулярного выражения в поле SAN сертификата клиента
Для EAP-PEAP метода можно настроить проверку совпадения:
- членства пользователя в заданной группе в Active Directory. Имя группы выбирается из списка, который заполняется значениями, полученными в ходе настройки взаимодействия с Active Directory. Запрос в AD проводится по LDAP, используя логин из EAP Identity заголовка запроса
- подстроки или регулярного выражения в имени группы, или в присвоенной пользователю категории
- наличию записи о пользователя (с заданным логином и паролем) в WNAM, в таблице "Пользователи". при этом запрос в Active Directory не производится

Внимание! Критерии в правиле проверяются в соответствии с логикой "И" относительно настроек "Время", "Источник", "SSID" и "Метод".

Настройки критериев "Источник", "SSID" и "Метод" основаны на радио-кнопке, т.е. проверяется только выбранный вариант.

Если внутри варианта содержится несколько чекбоксов, и они включены, между ними срабатывает логика "ИЛИ".

Использование схемы корпоративной авторизации меняет логику работы RADIUS-сервера в части обработки трафика гостевых Wi-Fi подключений. Для того, чтобы ваш сервер WNAM мог одновременно обслуживать и гостевых Wi-Fi, и 802.1x клиентов, необходимо создать несколько дополнительных профилей аутентификации и авторизации.

В результате проверки правила, если все его критерии совпали с запросом, формируется:

итоговое действие - Deny или Allow
возможность присвоить произвольное слово (тэг) результату

Они передаются дальше на вход алгоритму выбора правила авторизации.