Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети, иначе - предоставление разрешения на выполнение действий пользователю в соответствии с назначенными ему правами. Система WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются результаты аутентификации и выбираются атрибуты, которые будут назначены сессии доступа пользователя в возвращаемом сетевому оборудованию RADIUS-ответе. При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании проверки выбирается самый первый (по порядковому номеру) из оставшихся профилей.
В конце цепочки проверки применяется неявное правило Default Reject, которое срабатывает в трех случаях:
|
Список правил представлен в разделе "Конфигурация - правила авторизации":
В систему можно добавить сколько угодно правил (обычно требуется порядка 10). Правила упорядочены по номерам, и их можно перенумеровать. Также на вкладке доступны кнопки, перенаправляющие на другие разделы - правила аутентификации, диагностика.
Для добавления нового правила необходимо нажать кнопку "Создать новый". При этом открывается окно редактирования профиля. При нажатии на строку в таблице открывается окно редактирования правила, с тем же содержанием.
Можно отредактировать необходимые параметры, удалить его или сохранить изменения. Ниже представлено описание настраиваемых параметров профиля.
Включено - определяет использование правила в работе системы.
Наименование - произвольное наименование правила, отображается в разделе "Диагностика" системы (пользователь его не видит).
Приоритет - порядковый номер правила в цепочке проверок (проверка начинается с наименьшего номера).
Условие - проверка совпадения правила аутентификации, выполненная на предыдущем шаге. Сравниваются:
Применить - определяет, прямо или косвенно, набор RADIUS-атрибутов, которые будут переданы оборудованию NAS для данной сессии подключения. Возможные варианты:
Эндпоинт- определяет, что будет происходить с учетной записью сетевого клиента. Здесь вы можете указать привязку сертификата к эндпоинту, чтобы предотвратить нелегитимное распространение TLS-сертификатов клиентов
Добавить - набор действий с записью эндпоинта:
Вернуть - определяет тип RADIUS-ответа: ACCEPT или REJECT.
Внимание: для 802.1х методов непременными дополнительными атрибутами ACCEPT-ответа также будут MS-MPPE ключи канального шифрования.