Versions Compared

Old Version 4

changes.mady.by.user Никита Леонов

Saved on

compared with

New Version 5

changes.mady.by.user Никита Леонов

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Профили определяются в разделе "Главная" → "Device admin" → "Правила TACACS+" (или "Правила RADIUS", в зависимости от необходимости). При старте система проверяет наличие правил в системе.

Image RemovedImage Added

В интерфейсе раздела "Правила TACACS+" и "Правил RADIUS" расположен ряд кнопок, позволяющих создать новый профильновое правило, импортировать/экспортировать правила, а также расположено поле для поиска фильтра по группам правил. У каждого правила есть свое положение в списке. При анализе подключения (место подключения, логин) система WNAM 2 перебирает все номераправила, отметая заведомо не совпадающие. В конечном итоге остается один совпавший профиль одно совпавшее правило(при прочих равных параметрах остается тот, у кого меньше номеркоторый находится выше в списке). Если ни один одно из профилей правил не подошелподошло, доступ запрещается. 

Для того, чтобы отредактировать существующий профиль существующее правило необходимо нажать левой кнопкой мыши на соответствующую запись в таблице профилей и изменить настройки в открывшемся окне. Для создания или редактирования правила необходимо нажать кнопку "Новое правило" или выбрать кнопку редактирования правила в контекстном меню. При этом будет открыто окно, в котором необходимо задать, либо изменить требуемые параметры.

Image Added

Image AddedImage Removed

Image RemovedImage Added

Image RemovedImage Added

Каждый из профилей правил имеет следующие настройки:

  • наименования правила;
  • признак включенности;
  • включенность данного правила в группу правил;
  • приоритет (порядковый номер в таблице);
  • уровень привилегий пользователя, который передается оборудованию (NAS);
  • чекбокс "не передавать" означает, что при старте сессии в сторону оборудования не будет передан атрибут типа "shell:priv-lvl=...", что может быть важно для настройки работы с, например, Cisco WLC;
  • источник подключения - фильтр на источник подключения (IP-адрес подключающегося клиента - администратора);
  • Подключение подключение к сетевому устройству - фильтр на цель подключения (к какому сетевому какому сетевому устройству обращается администратор: к любому, заданному, находящемуся в иерархической группе подразделения);
  • правило совпадения обращающейся учетной записи (логина):
    • администратор веб-интерфейса WNAM 2 с опциональной проверкой совпадения подстроки в логине;
    • локальный пользователь TAСACS+ с фильтром по списку пользователей или групп (мульти-выбор);
    • доменный пользователь (при настроенной интеграции с Active Directory) с проверкой пароля и членства в группе (выбор, подстрока) по LDAP;
  • список выбор набора допустимых команд;
  • дополнительные команды, которые будут применяться исключительно для данного правила;
  • список передаваемых наборов атрибутов;
  • добавление дополнительных атрибутов, которые будут передаваться исключительно при этом правиле.

Список допустимых команд и список передаваемых атрибутов объединяются с аналогичными списками совпавшего локального пользователя TAСACS+ (у других типов учетных записей эти списки отсутствуют).

...