Профили устройств задают правила определения типа устройств на основе его МАС-адреса и других параметров. Это позволяет реализовывать гибкие политики авторизации, например, назначение VLAN или ACL в зависимости от принадлежности оконечного устройства той или иной группе. В системе WNAM версии 1.6.3079 профилирование работает только для МАС-адресов. Таким образом, основываясь на МАС-адресах, возможно назначить разные VLAN компьютерам, принтерам, СКУД (системам контроля и управления доступом) и IP-камерам. В системе может быть настроено множество профилей устройств. Изначально автоматически создаются несколько встроенных профилей, которые можно редактировать самостоятельно. Это, в основном, профили с именами вендоров оборудования, наиболее часто встречающихся в таблице OUI. При необходимости можно ознакомиться с информацией о структуре МАС-адреса. Система WNAM содержит в себе актуальную базу данных вендоров и присвоенных им групп адресов.
Административный интерфейс системы доступен в разделе "Конфигурация" → "Корпоративная авторизация" → "Профили устройств" и представляет собой таблицу (список) настроенных профилей, а также дополнительные кнопки.
Кнопка "Создать новый" открывает окно создания нового профиля. Такое же окно открывается и при редактировании существующего профиля при нажатии левой кнопкой мыши на строку таблицы.
В данном окне необходимо задать название профиля и выбрать режим его работы. При этом доступны следующие варианты:
- Список МАС адресов предназначен для задания одного или нескольких МАС-адресов. Формат записи MAC-адреса - любой: XX:XX:XX:XX:XX:XX, xxxx-xx-xxxx, а также допустимы регулярные выражения с символами ^ и *. После сохранения выбранных настроек таблица будет отформатирована.
- Список вендоров предназначен для выбора необходимого вендора устройств из выпадающего списка TOP-50.
- Вендор предназначен для задания имени вендора в том виде, в каком он присутствует в таблице OUI.
- Рандомный МАС адрес предназначен для задания адреса, используемого мобильными устройствами для подключения к Wi-Fi, включая Google Random адрес.
- Любой из выбранных вложенных профилей отвечает за совпадение на основе других профилей, позволяет объединять несколько профилей в логические группы.
Подсистема профилирования WNAM при поступлении запроса по МАС-адресу перебирает все имеющиеся профили и в каждом профиле ищет совпадение. В результате поиска останется набор (возможно, пустой) совпавших профилей. Полученный набор применяется при анализе политик аутентификации. Для этого в настройках политики можно указать желаемый профиль.
Несмотря на то, что профиль указывается только при МАС-Based, т.е. MAB-авторизации по методу RADIUS PAP, механизм профилирования срабатывает и для остальных типов (EAP-*) запросов.
При срабатывании механизма профилирования в такой проверки в лог-файле появляется запись следующего типа:
22:17:34.136 TRACE [ASession.java:139] - log [1] fillFromRadiusAttributes - identity: '54:88:0E:02:84:6D', portType: WirelessMAB
22:17:34.145 DEBUG [DeviceProfileManager.java:70] - matchProfile mac=54:88:0E:02:84:6D, from_cache=no
22:17:34.165 TRACE [ASession.java:139] - log [7] matchDeviceProfiles - matched: 'Вендор: Samsung'
22:17:34.205 TRACE [ASession.java:139] - log [8] findOrCreate - a1profiles candidates: 10, a2profiles candidates: 16
Также в записи о сессии подключения будет отображен этот профиль.
Если в результате подключения будет создана запись о эндпоинте, в неё будет помещен список совпавших профилей.
Список совпавших профилей можно очистить.
Для ускорения работы система WNAM использует кэширование в матчере (поисковике) профилей (длительность хранения данных в нём по умолчанию 17 часов). Кэш можно очистить, нажав на кнопку "Сбросить кэш" в основном окне списка профилей. Чистить данные в кэше следует, если были отредактированы некоторые профили и требуется, чтобы отредактированные настройки применились к ранее профилированным устройствам заново.
Дополнительно для целей тестирования в основном интерфейсе раздела "Профили устройств" существует кнопка "Протестировать МАС". При нажатии на неё левой кнопкой мыши будет отображажено окно теста.
В данном окне по заданному МАС-адресу можно проверить, какому вендору соответствует MAC-адрес и какие из настроенных вами профилей устройств под него попадают.