Versions Compared

Old Version 8

changes.mady.by.user Гордей Сурков

Saved on

compared with

New Version Current

changes.mady.by.user Andrey Kholmanskih

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Для создания правила аутентификации, необходимо нажать на кнопку "Новое правило аутентификации", для редактирования - необходимо нажать на контекстную кнопку редактирования правила, которая находится справа от имени выбираемого правила.
После, откроется форма создания нового правила:

Image RemovedImage Added

При редактировании уже имеющегося: 

Image RemovedImage Added

Правила аутентификации строятся на концепции блоков для более удобного построения правил:

...

  • Если в атрибуте User-Name присутствует МАС-адрес в любой его форме (AA:AA:AA:AA:AA:AA, aaaaaaaaaaaa, aaaa-aaaa-aaaa и т.п.), то считаем, что проводится MAB-авторизация 
  • Если в атрибуте User-Name присутствует логин (не МАС-адрес), то:
    • Если значение атрибута NAS-Port-Type соответствует "Virtual" И в обоих атрибутах Called-Station-Id, Calling-Station-Id присутствует IPv4 адрес, то данное подключение - попытка аутентификации администратора оборудования для доступа к его консоли управления. Оно в дальнейшем контролируется правилами RADIUS-авторизации в разделе DeviceAdmin.VPN доступа
    • Если значение атрибута NAS-Port-Type соответствует "Virtual" И в обоих атрибутах Called-Station-Id, Calling-Station-Id присутствует IPv4 адресприсутствует атрибут NGate-Auth-Type со значением "VPN", то данное подключение - попытка аутентификации VPN доступа
    • Если значение атрибута NAS-Port-Type соответствует "Virtual", то данное подключение - попытка аутентификации VPN доступаадминистратора оборудования для доступа к его консоли управления. Оно в дальнейшем контролируется правилами RADIUS-авторизации в разделе DeviceAdmin.
    • Если значение атрибута NAS-Port-Type НЕ соответствует "Virtual", то данное подключение - попытка аутентификации VPN доступа

...

  • По умолчанию: валидность сертификата, что подразумевает:
    • Сертификат клиента выпущен доверенным удостоверяющим центром (присутствует в цепочке доверия, в разделе "NAC - Удостоверяющий центр")
    • Сертификат клиента не истёк
    • Сертификат клиента прошел базовую верификацию подписи
    • Сертификат не отозван, если он был выпущен встроенным в WNAM 2 удостоверяющим центром
  • Дополнительные критерии проверки:
    • Сертификат не отозван, путём запроса (периодической выгрузки) списка отзывов CRL (Delta CRL), в том числе и с прокси-ресурса. Адреса расположения CRL берутся из выпускающего/корневого сертификата.
    • Сертификат не отозван, путём запроса по протоколу OCSP. Адрес расположения OCSP-сервиса берется из выпускающего/корневого сертификата.
    • В полях сертификата CN, SAN, DN присутствует либо отсутствует заданная строка
    • Сертификат выпущен с применением конкретного шаблона (задан его OID)
    • Сертификат выпущен конкретным удостоверяющим центром (совпадение или вхождение по первому полю CN для Issuer)
    • Анализируется заданное поле сертификата (CN, SAN) либо атрибут запроса EAP-Identity. По его значению ведется поиск владельца сертификата в заданной службе каталога (домене). Проверяется статус действия учётной записи пользователя домена (не заблокирована ли и т.п.). 


...