Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети, иначе - предоставление разрешения на выполнение действий пользователю в соответствии с назначенными ему правами. Система WNAM 2 реализует концепцию "правил авторизации" - наборов исходящих атрибутов и действий, выдаваемых в завершение процесса аутентификации. Применяется то правило авторизации, которое указано в конце настроек совпавшего (best match) правила аутентификации.
| Warning |
|---|
В конце цепочки правил аутентификации применяется неявное правило Default Reject, которое срабатывает в трех случаях:
|
Список правил представлен в разделе "NAC - Авторизации":
В систему можно добавить сколько угодно правил. Правила также возможно поменять местами посредством перемещения позиций. В настоящий момент заданный порядок следования правил не используется: каждое правило аутентификации обязано ссылаться на конкретное правило авторизации.
Для добавления нового правила необходимо нажать кнопку "Новое правило авторизации". При нажатии на кнопку "подробнее" в таблице открывается окно редактирования правила.
Можно отредактировать необходимые параметры, удалить их, или сохранить изменения. Ниже представлено описание настраиваемых параметров правила.
Название - произвольное наименование правила, отображается в разделе "Диагностика" системы (пользователь его не видит).
Доступ - определяет тип RADIUS-ответа: ACCEPT или REJECT.
Включено/Отключено - определяет использование правила в работе системы.
Добавить компонент - определяет, прямо или косвенно, набор атрибутов, которые будут переданы оборудованию NAS для данной сессии подключения. Возможные варианты:
- Длительность сессии;
- Загружаемый ACL - выбранный загружаемый список доступа, из заранее созданных;
- Имя или номер списка доступа ACL - номер или имя ACL, который должен быть предварительно задан на оборудовании;
- Лимит числа эндпоинтов на уникальный сертификат или логин;
- Назначаемый VLAN ID или пул номеров VLAN;
- Персональный PSK ключ (Wi-Fi);
- Возможность применения политики КИБ "Сакура";
- Реавторизация по завершении сессии;
- Тег или категория;
- RADIUS-атрибуты - набор произвольных атрибутов вида Имя=Значение, которые передаются оборудованию. Внимание! Атрибуты должны уже существовать в RADIUS-словаре системы WNAM 2. Если вы применяете экзотический атрибут и получаете ошибку, обратитесь в службу поддержки;
| Note |
|---|
| Набор атрибутов можно выбрать в произвольном порядке, в зависимости от потребности в создаваемом правиле. Также, в правиле возможно добавить неограниченное количество дополнительных RADIUS атрибутов. |
Заданные по умолчанию в правиле авторизации значения атрибутов (например, номер VLAN) можно переопределить в ссылающемся на него конкретном правиле аутентификации:
