Versions Compared

Old Version 2

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version Current

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Выписывание самому себе SSL сертификатов для последующей EAP-TLS авторизации
  • Выписывание себе TOTP-токена - TODO
  • Управление списком привязанных к учетной записи приложений двухфакторной авторизации и Telegram-аккаунтов - TODO

Эта роль доступна как для обычный (локальных по отношению к системе ) учетных записей, так и для подключений с доменной (служба каталога, Active Directory) авторизацией. Вы можете либо создать учётную запись в разделе "Конфигурация - Пользователи интерфейса", либо написать соответствующее правило авторизации в разделе "Доступ в UI через Active Directory":

...

Tip

По умолчанию логин доменного пользователя можно указывать без доменной части. В таком случае вначале проверяются локальные пользователи, а затем пользователи во всех доменах, определенных в правилах "Доступ в UI через Active Directory". Мы Вы можете явным образом потребовать указание доменной части логина, в форме login@domain или DOMAIN\login или login@domain.root.dom, если установите параметр параметр ui_ad_login_require_realm=true в разделе "Конфигурация - Дополнительные настройки".

...

Из этого окна можно выгрузить сертификат в формате ZIP-архива, содержащего сертификат в различных форматах, ключ, сертификат выпускающего УЦ, корневой сертификат и т.д. Пользователь может использовать сертификаты из этого архива для настройки суппликанта его операционной системы Windows, Linux, MacOS для дальнейшего подключения к сети с использованием метода авторизации EAP-TLS.

Портал самообслуживания отображает все пользовательские сертификаты: выписанные здесь же на портале, выписанные для пользователя Администратором, выписанные через Wi-Fi Onboarding-подключение.

Пользователь может нажать на кнопку создания нового сертификата:

Image Added

Image Added

Метод создания сертификатов определяется настройками, выполненными в разделе "Конфигурация - Корпоративные настройки - Сертификаты". Подробно они описаны в разделе BYOD портал. Вы можете выбрать создание сертификатов через встроенный УЦ системы WNAM, либо из корпоративной службы сертификатов MS AD CA по протоколу SCEP. В любом случае, вы должны сделать настройку, позволяющую хранить выписанные сертификаты (вместе с ключами) в БД WNAM, для того, чтобы их можно было продемонстрировать пользователю с ролью "Самообслуживание" при его очередном входе в систему.

Note

Прежде, чем давать пользователям возможность выписать сертификаты себе через "Самообслуживание", вы должны убедиться, что сам механизм выписывания сертификатов (через локальный УЦ, через SCEP) полностью работоспособен от администратора системы, "Конфигурация - Сертификаты".