WNAM 2 использует собственный сервер протокола RADIUS. Он опирается на исходно открытую библиотеку TiinyRadius, которая была существенно расширена и дополнена. Наш RADIUS-сервер полностью многопоточный, отказоустойчивый и поддерживает протоколы семейства EAP. Мы реализовали поддержку необходимой криптографии, взяв за основу и доработав BouncyCastle. Сервер поддерживает формирование подписей Message-Authenticator, имеет встроенный словарь RADIUS-атрибутов (с поддержкой известных российских вендоров оборудования), а также возможность создавать дополнения к нему, как описано в соответствующем разделе. Также, мы реализовали клиентскую часть (отправку запросов), что необходимо для смены статуса порта по CoA сообщениям, и двухфакторной авторизации.
Мы принципиально не используем FreeRADIUS (уже более 8 лет) по ряду причин: сложность в настройке, статичность конфигурации, невозможность задать гибкие правила, проблемы с безопасностью.
Сервер WNAM 2 поддерживает следующие RFC:
- RADIUS Authentication: RFC 2865, 2866, 2876, 2869, 5997
- RADIUS Change of Authority: RFC 3576
- RADIUS EAP: RFC 2548, 3579, 3748
- RADIUS EAP TLS: RFC 5216, 9190
Помимо штатных операций, т.е. обработки запросов от сетевых устройств на аутентификацию, авторизацию и аккаунтинг сетевого доступа клиентов и администраторов, мы реализовали дополнительные возможности:
- Status-Server:
- Включение сведений о матчинге правил в процессе авторизации в выходящие атрибуты: