Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети, иначе - предоставление разрешения на выполнение действий пользователю в соответствии с назначенными ему правами. Система WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка производится. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются результаты аутентификации , и выбираются атрибуты, которые будут назначены сессии доступа пользователя , в возвращаемом сетевому оборудованию RADIUS-ответе. При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании - проверки выбирается самый первый (по порядковому номеру) из оставшихся профилей.
Warning |
---|
В конце цепочки проверки применяется неявное правило Default Reject, которое срабатывает в трех случаях:
|
Список профилей выглядит следующим образом:
|
Список профилей пользователей представлен в виде таблицы в разделе "Конфигурация" → "Профили пользователей".
В систему можно добавить сколько угодно профилей (обычно требуется порядка 10 профилей). Профили упорядочены по номерам и их можно перенумеровать, а также настроить правила генерации и использования паролей. Также на вкладке доступны кнопки, перенаправляющие на другие разделы - пользователи, группы пользователей, службы каталогов и диагностика.
Для изменения правил генерации и использования паролей необходимо нажать кнопку "Политика паролей" и произвести требуемые настройки (установить правила), после чего нажать кнопку 2Сохранить".
Для добавления нового профиля необходимо нажать кнопку "Создать новый", либо нажать левой кнопкой мыши на строку с правилом. При этом открывается окно редактирования профиля.
Можно отредактировать необходимые параметры, удалить его или сохранить изменения. Ниже представлено описание настраиваемых параметров профиля.
Включено - определяет использование правила в работе системы.
Наименование - произвольное наименование правила, отображается в разделе "Диагностика" системы (пользователь его не видит).
Приоритет - порядковый номер правила в цепочке проверок (проверка начинается с наименьшего номера).
Уровень привилегий -
Источник подключения -
Протокол -
Цель подключения -
Пользователь -
Доступ -
Команды -
Атрибуты -
Условие - проверка совпадения правила аутентификации, выполненная на предыдущем шаге. Сравниваются:
- Результат аутентификации - Allow или Deny
- Совпадения тэга, присвоенного правилом аутентификации (несколько разных правил аутентификации могут присваивать один и тот же тэг)
- Совпадения заданного правила аутентификации
Применить - определяет, прямо или косвенно, набор RADIUS-атрибутов, которые будут переданы оборудованию NAS для данной сессии подключения. Возможные варианты:
- VLAN ID
- ACL ID - номер или имя ACL, который должен быть предварительно задан на оборудовании
- RADIUS-атрибуты - набор произвольных атрибутов вида Имя=Значение, которые передаются оборудованию. Внимание! Атрибуты должны уже существовать в RADIUS-словаре системы WNAM. Если вы применяете экзотический атрибут и получаете ошибку, обратитесь в службу поддержки
- Ограничения в виде набора атрибутов тайм-аута сессии, скорости передачи трафика
Создать - определяет, что будет происходить с учетной записью абонента. Для корпоративной авторизации вам необходимо выбрать "создать учетную запись с МАС пользователя", для гостевой (портальной) она и так будет автоматически создана.
Добавить - набор действий с записью пользователя:
- Добавление категории
- Добавление VIP-статуса
Вернуть - определяет тип RADIUS-ответа: ACCEPT или REJECT.
Внимание: для 802.1х методов непременными атрибутами ACCEPT-ответа также будут MS-MPPE ключи канального шифрования.