Задают правила определения типа устройств на основе его МАС адреса, и других параметров. Это позволяет реализовывать гибкие политики авторизации, например назначение VLAN или ACL, в зависимости от принадлежности оконечного устройства той или иной группе.
В настоящий момент (версия 1.6.3079) профилирование работает только для МАС-адресов. Таким образом, основываясь на МАС-адресе, возможно назначить разные VLANы компьютерам, принтерам, СКУД и IP-камерам.
В системе может быть настроено множество профилей устройств. Изначально автоматически создаются несколько встроенных профилей, которые вы можете редактировать самостоятельно. Это, в основном, профили по именам вендоров оборудования, наиболее часто встречающихся в таблице OUI.
Вам будет интересно ознакомиться со статьёй о структуре МАС-адреса. WNAM содержит в себе актуальную базу данных вендоров, и присвоенных им групп адресов.
Административный интерфейс системы, "Конфигурация - Корпоративная авторизация - Профили устройств" содержит таблицу (список) настроенных профилей, а также дополнительные кнопки.
Кнопка "Создать новый" открывает окно создания нового профиля. Аналогичное окно возникает и при редактировании существующего профиля, кликом в строку таблицы:
Здесь вы задаете название профиля, и выбираете режим его работы. Вам доступны следующие варианты:
- Список МАС адресов
Здесь вы задаете один или несколько МАС адресов. Формат записи - любой: XX:XX:XX:XX:XX:XX, xxxx-xx-xxxx, также допустимы регулярные выражения с символами ^ и *. После сохранения таблица будет отформатирована. - Список вендоров
Из выпадающего списка TOP-50 вендоров устройств выбирается требуемый - Вендор
Вы можете задать имя вендора в таком виде, в каком он присутствует в таблице OUI - Рандомный МАС адрес
Адрес, используемый мобильными устройствами для подключения к Wi-Fi, включая Google Random адрес - Любой из выбранных вложенных профилей
Совпадение на основе других профилей, позволяет объединять несколько профилей в логические группы
Подсистема профилирования WNAM будет, при поступлении запроса по МАС адресу, перебирать все имеющиеся профили, и в каждом пробовать искать совпадение. В результате останется набор (возможно, пустой), совпавших профилей.
Этот набор, в свою очередь, применяется при анализе политик аутентификации. Для этого в настройках политики возможно указать желаемый профиль:
Несмотря на то, что профиль указывается только при МАС-Based, т.е. MAB-авторизации по методу RADIUS PAP, механизм профилирования срабатывает и для остальных типов (EAP-*) запросов.
При срабатывании такой проверки в лог-файле появляется запись:
22:17:34.136 TRACE [ASession.java:139] - log [1] fillFromRadiusAttributes - identity: '54:88:0E:02:84:6D', portType: WirelessMAB
22:17:34.145 DEBUG [DeviceProfileManager.java:70] - matchProfile mac=54:88:0E:02:84:6D, from_cache=no
22:17:34.165 TRACE [ASession.java:139] - log [7] matchDeviceProfiles - matched: 'Вендор: Samsung'
22:17:34.205 TRACE [ASession.java:139] - log [8] findOrCreate - a1profiles candidates: 10, a2profiles candidates: 16
Также в записи о сессии подключения видно этот профиль:
Если в результате подключения будет создаваться запись о эндпоинте, в неё помещается список совпавших профилей:
(этот список также можно очистить).
Для ускорения работы WNAM использует кэширование в матчере профилей (длительность хранения данных в нём по умолчанию 17 часов). Кэш можно очистить, нажав на кнопку "Сбросить кэш" в основном окне списка профилей. Это полезно делать, если вы отредактировали некоторые профили и желаете, чтобы они применялись к ранее профилированным устройствам заново.
Дополнительно для целей тестирования существует кнопка "Протестировать МАС" в том же окне. Нажатие на неё отображает окно теста:
Здесь по заданному МАС адресу мы можете проверить, какому вендору он соответствует, и какие из настроенных вами профилей устройств под него попадают.