You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Начиная с версии 1.6.4224 WNAM поддерживает новую пользовательскую роль - "Самообслуживание". С её помощью возможно предоставить доступ непривилегированному пользователю в административный веб-интерфейс системы для следующих целей:

  • Выписывание самому себе SSL сертификатов для последующей EAP-TLS авторизации
  • Выписывание себе TOTP-токена
  • Управление списком привязанных к учетной записи приложений двухфакторной авторизации и Telegram-аккаунтов

Эта роль доступна как для обычный (локальных по отношению к системе ) учетных записей, так и для подключений с доменной (служба каталога, Active Directory) авторизацией. Вы можете либо создать учётную запись в разделе "Конфигурация - Пользователи интерфейса", либо написать соответствующее правило авторизации в разделе "Доступ в UI через Active Directory":

Внимание! Авторизация посредством Active Directory требует работоспособного коннектора типа LDAPS. Смотрите разделы Способ интеграции системы WNAM с доменом (flask-сервис, samba, ldap-tls) и Доступ через ActiveDirectory

По умолчанию логин доменного пользователя можно указывать без доменной части. В таком случае вначале проверяются локальные пользователи, а затем пользователи во всех доменах, определенных в правилах "Доступ в UI через Active Directory". Мы можете явным образом потребовать указание доменной части логина, в форме login@domain или DOMAIN\login или login@domain.root.dom, если установите параметр ui_ad_login_require_realm=true в разделе "Конфигурация - Дополнительные настройки".


При входе в веб-интерфейс системы посредством такой учётной записи откроется специализированный ограниченный интерфейс, в котором отображаются все SSL-сертификаты, привязанные к данной учётной записи:

Клик в строку с сертификатом вызывает окно просмотра его свойств:

Из этого окна можно выгрузить сертификат в формате ZIP-архива, содержащего сертификат в различных форматах, ключ, сертификат выпускающего УЦ, корневой сертификат и т.д. Пользователь может использовать сертификаты из этого архива для настройки суппликанта его операционной системы Windows, Linux, MacOS для дальнейшего подключения к сети с использованием метода авторизации EAP-TLS.



  • No labels