WNAM 2 использует собственный сервер протокола RADIUS. Он опирается на исходно открытую библиотеку TiinyRadius, которая была существенно расширена и дополнена. Наш RADIUS-сервер полностью многопоточный, отказоустойчивый и поддерживает протоколы семейства EAP. Мы реализовали поддержку необходимой криптографии, взяв за основу и доработав BouncyCastle. Сервер поддерживает формирование подписей Message-Authenticator, имеет встроенный словарь RADIUS-атрибутов (с поддержкой известных российских вендоров оборудования), а также возможность создавать дополнения к нему, как описано в соответствующем разделе. Также, мы реализовали клиентскую часть (отправку запросов), что необходимо для смены статуса порта по CoA сообщениям, и двухфакторной авторизации.
Мы принципиально не используем FreeRADIUS (уже более 8 лет) по ряду причин: сложность в настройке, статичность конфигурации и требование рестарта сервиса, невозможность задать гибкие правила, проблемы с безопасностью.
Сервер WNAM 2 поддерживает следующие RFC:
- RADIUS Authentication: RFC 2865, 2866, 2876, 2869, 5997
- RADIUS Change of Authority: RFC 3576
- RADIUS EAP: RFC 2548, 3579, 3580, 3748
- RADIUS EAP TLS: RFC 5216, 9190
Сервер запускается и работает автоматически как прикладное ПО wnam2-radius на вашем сервере. Какой-либо его его настройки в ОС не требуется, кроме разрешения входящего трафика по портам udp:1812, udp:1813 на межсетевом экране.
В разделе веб-интерфейса "Главная - Настройки - Параметры" определены несколько параметров (тонких настроек), влияющих на работу RADIUS-сервера, а именно:
Помимо штатных операций, т.е. обработки запросов от сетевых устройств на аутентификацию, авторизацию и аккаунтинг сетевого доступа клиентов и администраторов, мы реализовали дополнительные возможности:
- Status-Server:
- Включение сведений о матчинге правил в процессе авторизации в выходящие атрибуты: