Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Для успешной настройки и последующей эксплуатации модуля корпоративной авторизации WNAM требуется понимание и знание применяемых терминов и технологий. С целью повышения осведомленности о технологиях системы WNAM был разработан словарьрекомендуется ознакомиться с настоящими терминами и определениями.

Warning

Нижеследующий текст не претендует на исчерпывающее руководство является исчерпывающим руководством по технологиям PKI, 802.1x и т.п, и не содержит математических принципов, применяющихся в алгоритмах шифрования на открытых ключах и цифровых подписях. Информация и определения даны в упрощенной форме. Если требуется В случае необходимости более детального изучения, следует обратиться к специализированной литературе.

Сертификат

Абонент, пользователь, пользователь Wi-Fi

Физическое лицо, человек, подключившийся к беспроводной сети и пользующийся доступом в сеть Интернет. Система WNAM позволяет проводить идентификацию пользователей путём привязки аппаратного адреса (МАС-адреса)  мобильного устройства (смартфон, телефон, планшет, мобильный компьютер) к номеру телефона с идентификацией номера путём отправки/получения СМС-сообщения. Система WNAM ведет регистрацию пользователей с указанием МАС-адреса, идентификаторов, телефона, даты и времени первой и последней сессии, параметров блокировок Цифровая сущность, содержащая в себе: атрибуты принадлежности (название, компания, город и т.п.), даты начала и завершения валидности, публичный ключ, название и идентификатор сущности, подписавшей сертификат (другой сертификат). Служит для подтверждения "идентичности" предъявителя сертификата. При корректной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до сертификата, который числится в "заведомо доверенных" на устройстве.

Удостоверяющий центр

Организация либо управляемое ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов и публикующая списки отзыва и т.п.

PEM

Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является текстовым и закодирован в BASE64. Сертификат, ключ и т.п. содержится в начале и конце файла в строках вида ----- BEGIN CERTIFICATE ------ и т.п.

DER

Авторизация

Процесс определения результирующих прав подключающегося устройства, то есть назначенных определенных политик, например, ограничение скорости или номера VLAN. 

Аккаунтинг

При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство (VPN шлюз, коммутатор ЛВС, контроллер БЛВС) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Аккаунтинг не передает информацию по ресурсам, к которым подключается абонент (это функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.).

Аутентификация

Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи (логина и пароля), сертификата, анализа других параметров (например, место и дата/время подключения, тип устройства). В результате проверяющий компонент принимает решение о допуске/запрете подключения к сети.

Брендирование

Это возможность удалить (требует дополнительной платной лицензии) отображение логотипа системы WNAM и ссылки "Система авторизации доступа WNAM" с соответствующим всплывающим окном на страницах авторизации (идентификации) и приветствия (перенаправления) пользовательского интерфейса. При этом владелец лицензии WNAM вправе размещать свой (или другой) логотип, а также название в любом месте страницы идентификации и приветствия. Данная функция на работу интерфейса администратора и интерфейса владельца площадки не влияет. Ниже представлены примеры настроек брендирования.

Настройки по умолчанию (лицензии на брендирование отсутствует).

Image Added Image Added 

Собственная настройка (при наличии лицензии на брендирование). 

Image Added Image AddedФормат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является бинарным и технически эквивалентен PEM.

Открытый и закрытый ключи

Автоматически сформированные очень большие числа, запакованные специальным образом (в контейнер), позволяющие осуществить операции по цифровой подписи и шифрованию данных (см. здесь). Публичный ключ содержится в сертификате и доступен всем желающим. Приватный ключ находится в защищенном хранилище мобильного устройства и никогда не передается по сети в открытом виде.

PFX

Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Файл допустимо пересылать по сети для последующей установки в клиентское устройство.

CSR

Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью.

PKI

Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе для авторизации на основе сертификатов.

LDAP

Служба каталога, справочник, а также сам протокол, по которому передаются запросы и возвращаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена Windows.

Active Directory

Служба каталога в исполнении Microsoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, позволяет распространять групповые политики и т.п.

FreeIPA

Служба каталога в открытой реализации. Входит в состав большинства (в том числе российских) дистрибутивов Linux.  

802.1x

Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP для последующей их передачи серверу авторизации.

MAB или MAC Bypass

Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется, когда оконечное устройство не поддерживает протокол 802.1х.

Аутентификация

Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи (логина и пароля), сертификата, анализа других параметров (например, место и дата/время подключения, тип устройства). В результате проверяющий компонент принимает решение о допуске/запрете подключения к сети.

Авторизация

Процесс определения результирующих прав подключающегося устройства, то есть назначенных определенных политик, например, ограничение скорости или номера VLAN. 

Аккаунтинг

При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство (VPN шлюз, коммутатор ЛВС, контроллер БЛВС) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Аккаунтинг не передает информацию по ресурсам, к которым подключается абонент (это функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.).

Пользователь веб-интерфейса

Администратор системы управления WNAM, оператор (дежурный персонал) системы управления, владелец площадки (собственник бизнеса, где размещены точки доступа Wi-Fi), который может получить ограниченный доступ к статистике, собираемой системой WNAM.

Площадка

Территориальное место предоставления услуги беспроводного доступа, например одно кафе, один бизнес-центр, один корпус торгового центра. Характеризуется параметром IP-сети, из которой получают адреса абоненты, и/или иным идентификатором (обычно его передаёт хотспот), например, номеру VLAN, номер и название SSID. Статистика по использованию ресурсов сети (трафик, сессии), тонкие настройки параметров авторизации/перенаправления/ограничений производится в системе WNAM с привязкой к площадке и с точностью до площадки.

Поток трафика

Информация об индивидуальной TCP/IP-сессии обмена трафиком, проводимой подключившимся абонентом в рамках сессии, и внешним ресурсом в сети Интернет. Определяется IP-адресами и TCP либо UDP-портами отправляющей или принимающей стороны, счетчиками пакетов и байт. Требует работы специализированных средств сбора такой информации на канале передачи данных, например, NetFlow.

Работа с рекламой

Возможность редактировать шаблоны страниц СМС-авторизации и пост-авторизации (перенаправления) в онлайн-редакторе с размещением в них рекламной информации и счетчиков показов и кликов. Возможность просматривать соответствующие отчёты по показам и кликам с точностью до площадки. 

Рекламные кампании и интерфейс рекламодателя

Появившаяся в версии 1.2 системы WNAM дополнительно лицензируемая возможность создавать пользователей типа "рекламный агент" и "рекламодатель" с отдельным личным кабинетом для них, возможность создавать рекламные блоки, рекламные компании (время, место и число показов), просматривать индивидуальную и общую статистику по проводимым рекламным кампаниям.

Сервер доступа

Физическое устройство, осуществляющее контроль и предоставление доступа в Интернет абонентам Wi-Fi сети. В общем случае, это маршрутизатор, выполняющий функцию hotspot (портал перехвата), или логическая настройка hotspot | captive portal на контроллере беспроводных точек Wi-Fi. На одном маршрутизаторе или контроллере можно создать несколько записей о серверах доступа, если это целесообразно для целей сегментации сети или предоставления разных имён сети Wi-Fi (SSID). Сервером доступа также является хотспот, организованный на Linux-маршрутизаторе при помощи ipset/iptables. 

Сервер WNAM

Физический сервер или виртуальная машина, на которой установлена операционная система Linux, служебные программы (freeradius, tomcat, mongodb) и программное обеспечение WNAM.

Эндпоинт

Оконечное сетевое устройство, осуществляющее подключение к проводной или беспроводной сети, с использованием МАС адреса или персонифицированного идентификатора, характеризующееся уникальным МАС адресом. Исключая подключающиеся к открытой гостевой беспроводной сети устройства.

...

Сертификат

Цифровая сущность, содержащая в себе

...

атрибуты принадлежности (название, компания, город и т.п.), даты начала и завершения валидности, публичный ключ, название и идентификатор сущности, подписавшей сертификат (другой сертификат). Служит для подтверждения "идентичности" предъявителя сертификата. При корректной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до сертификата, который числится в "заведомо доверенных" на устройстве.

Сессия

Сведения о факте подключения пользователя к сети с указанием ссылки на профиль абонента, а также на текущие параметры сессии: временный IP-адрес, выданный абонентскому устройству, счётчики принятых и отправленных байт, сведения о площадке, где произошло подключение, точке доступа Wi-Fi, RADIUS-идентификаторе сессии и т.п.

Стандарт 802.1x

Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP для последующей их передачи серверу авторизации.

Удостоверяющий центр

Организация либо управляемое ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов и публикующая списки отзыва и т.п.

...

Хотспот

...

Встроенное в устройство (сервер доступа) специальное программное обеспечение, позволяющее перехватывать (перенаправлять) HTTP- или HTTPS-сессию браузера абонента на внешний веб-сервер. В случае использования системы WNAM таким веб-сервером является часть системы WNAM, где производится идентификация абонента и демонстрация ему заданных страниц. После проведения авторизации хотспот по команде от WNAM,временно разрешает абоненту доступ в сеть Интернет.

Active Directory

Служба каталога в исполнении Microsoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, позволяет распространять групповые политики и т.п

...

.

CSR

Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью.

...

DER

Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является бинарным и технически эквивалентен PEM.

FreeIPA

Служба каталога в открытой реализации. Входит в состав большинства (в том числе российских) дистрибутивов Linux.  

LDAP

Служба каталога, справочник, а также сам протокол, по которому передаются запросы и возвращаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM использует LDAP для запроса контроллера домена Windows

...

.

MAB или MAC Bypass

Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется, когда оконечное устройство не поддерживает протокол 802.1х.

...

PEM

Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является текстовым и закодирован в BASE64. Сертификат, ключ и т.п. содержится в начале и конце файла в строках вида ----- BEGIN CERTIFICATE ------ и т.п.

PFX

Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Файл допустимо пересылать по сети для последующей установки в клиентское устройство.

PKI

Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе для авторизации на основе сертификатов.