...
При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство (VPN шлюз, коммутатор ЛВС, контроллер БЛВС) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Аккаунтинг не передает информацию по ресурсам, к которым подключается абонент (это функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.).
| Термин | Определение |
|---|---|
| Сертификат | Цифровая сущность, содержащая в себе: атрибуты принадлежности (название, компания, город и т.п.), даты начала и завершения валидности, публичный ключ, название и идентификатор сущности, подписавшей сертификат (другой сертификат). Служит для подтверждения "идентичности" предъявителя сертификата. При корректной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до сертификата, который числится в "заведомо доверенных" на устройстве. |
| Удостоверяющий центр | Организация либо управляемое ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов и публикующая списки отзыва и т.п. |
| PEM | Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является текстовым и закодирован в BASE64. Сертификат, ключ и т.п. содержится в начале и конце файла в строках вида ----- BEGIN CERTIFICATE ------ и т.п. |
| DER | Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является бинарным и технически эквивалентен PEM. |
| Открытый и закрытый ключи | Автоматически сформированные очень большие числа, запакованные специальным образом (в контейнер), позволяющие осуществить операции по цифровой подписи и шифрованию данных (см. здесь). Публичный ключ содержится в сертификате и доступен всем желающим. Приватный ключ находится в защищенном хранилище мобильного устройства и никогда не передается по сети в открытом виде. |
| PFX | Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Файл допустимо пересылать по сети для последующей установки в клиентское устройство. |
| CSR | Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью. |
| PKI | Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе для авторизации на основе сертификатов. |
| LDAP | Служба каталога, справочник, а также сам протокол, по которому передаются запросы и возвращаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена Windows. |
| Active Directory | Служба каталога в исполнении Microsoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, позволяет распространять групповые политики и т.п. |
| FreeIPA | Служба каталога в открытой реализации. Входит в состав большинства (в том числе российских) дистрибутивов Linux. |
| Протокол 802.1x | Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP для последующей их передачи серверу авторизации. |
| MAB или MAC Bypass | Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется, когда оконечное устройство не поддерживает протокол 802.1х. |
| Аутентификация | Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи (логина и пароля), сертификата, анализа других параметров (например, место и дата/время подключения, тип устройства). В результате проверяющий компонент принимает решение о допуске/запрете подключения к сети. |
| Авторизация | Процесс определения результирующих прав подключающегося устройства, то есть назначенных определенных политик, например, ограничение скорости или номера VLAN. |
| Аккаунтинг | При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство (VPN шлюз, коммутатор ЛВС, контроллер БЛВС) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Аккаунтинг не передает информацию по ресурсам, к которым подключается абонент (это функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.). |