View Source

Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети. WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым такая проверка производится. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются результаты аутентификации, и выбираются атрибуты, которые будут назначены сессии доступа пользователя, в возвращаемом сетевому оборудованию RADIUS-ответе. При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании - выбирается самый первый (по порядковому номеру) из оставшихся.

В конце цепочки проверки подразумевается неявное правило Default Reject, которое срабатывает в трех случаях:

ошибка (exception) на стадии обработки какого-либо из правил
никакое правило аутентификации не совпало
совпало правило аутентификации Default Deny, и никаких других Deny-правил авторизации не было определено

Список профилей представлен следующим образом:

Wireless Network Access Manager > Профили пользователей > autz_list_sm.png

Вы можете добавить в систему сколько угодно профилей, но вряд ли вам понадобится более десятка. Профили упорядочены по номерам, их можно перенумеровать, а также сбросить счетчики проверок/совпадений.

Нажатие на кнопку "Создать новый", либо клик в строку с правилом, открывает окно редактирования профиля:

Wireless Network Access Manager > Профили пользователей > autz_rule2_sm.png

Вы можете отредактировать необходимые параметры, клонировать правило, удалить его или сохранить изменения. Рассмотрим все настраиваемые параметры по порядку:

Включено - определяет, будет ли это правило использоваться в работе системы

Наименование - произвольное название правила, будет видно в разделе "Диагностика" системы. Пользователь его не видит.

Приоритет - порядковый номер правила в цепочке проверок; они идут от меньшего номера к большему

Условие - проверка совпадения правила аутентификации, выполненная на предыдущем шаге. Сравниваются:

Результат аутентификации - Allow или Deny
Совпадения тэга, присвоенного правилом аутентификации (несколько разных правил аутентификации могут присваивать один и тот же тэг)
Совпадения заданного правила аутентификации

Применить - определяет, прямо или косвенно, набор RADIUS-атрибутов, которые будут переданы оборудованию NAS для данной сессии подключения. Возможные варианты:

VLAN ID
ACL ID - номер или имя ACL, который должен быть предварительно задан на оборудовании
RADIUS-атрибуты - набор произвольных атрибутов вида Имя=Значение, которые передаются оборудованию. Внимание! Атрибуты должны уже существовать в RADIUS-словаре системы WNAM. Если вы применяете экзотический атрибут и получаете ошибку, обратитесь в службу поддержки
Ограничения в виде набора атрибутов тайм-аута сессии, скорости передачи трафика

Создать - определяет, что будет происходить с учетной записью абонента. Для корпоративной авторизации вам необходимо выбрать "создать учетную запись с МАС пользователя", для гостевой (портальной) она и так будет автоматически создана.

Добавить - набор действий с записью пользователя:

Добавление категории
Добавление VIP-статуса

Вернуть - определяет тип RADIUS-ответа: ACCEPT или REJECT.

Внимание: для 802.1х методов непременными атрибутами ACCEPT-ответа также будут MS-MPPE ключи канального шифрования.