You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

Начиная с версии 1.6.4224 WNAM поддерживает новую пользовательскую роль - "Самообслуживание". С её помощью возможно предоставить доступ непривилегированному пользователю в административный веб-интерфейс системы для следующих целей:

  • Выписывание самому себе SSL сертификатов для последующей EAP-TLS авторизации
  • Выписывание себе TOTP-токена - TODO
  • Управление списком привязанных к учетной записи приложений двухфакторной авторизации и Telegram-аккаунтов - TODO

Эта роль доступна как для обычный (локальных по отношению к системе ) учетных записей, так и для подключений с доменной (служба каталога, Active Directory) авторизацией. Вы можете либо создать учётную запись в разделе "Конфигурация - Пользователи интерфейса", либо написать соответствующее правило авторизации в разделе "Доступ в UI через Active Directory":

Внимание! Авторизация посредством Active Directory требует работоспособного коннектора типа LDAPS. Смотрите разделы Способ интеграции системы WNAM с доменом (flask-сервис, samba, ldap-tls) и Доступ через ActiveDirectory

По умолчанию логин доменного пользователя можно указывать без доменной части. В таком случае вначале проверяются локальные пользователи, а затем пользователи во всех доменах, определенных в правилах "Доступ в UI через Active Directory". Мы можете явным образом потребовать указание доменной части логина, в форме login@domain или DOMAIN\login или login@domain.root.dom, если установите параметр ui_ad_login_require_realm=true в разделе "Конфигурация - Дополнительные настройки".

При входе в веб-интерфейс системы посредством такой учётной записи откроется специализированный ограниченный интерфейс, в котором отображаются все SSL-сертификаты, привязанные к данной учётной записи:

Клик в строку с сертификатом вызывает окно просмотра его свойств:

Из этого окна можно выгрузить сертификат в формате ZIP-архива, содержащего сертификат в различных форматах, ключ, сертификат выпускающего УЦ, корневой сертификат и т.д. Пользователь может использовать сертификаты из этого архива для настройки суппликанта его операционной системы Windows, Linux, MacOS для дальнейшего подключения к сети с использованием метода авторизации EAP-TLS.

Портал самообслуживания отображает все пользовательские сертификаты: выписанные здесь же на портале, выписанные для пользователя Администратором, выписанные через Wi-Fi Onboarding-подключение.

Метод создания сертификатов определяется настройками, выполненными в разделе Конфигурация-Корпоративные настройки - Сертификаты. Подробно они описаны в разделе BYOD портал. Вы можете выбрать создание сертификатов через встроенный УЦ системы WNAM, либо из корпоративной службы сертификатов MS AD CA по протоколу SCEP. В любом случае, вы должны сделать настройку, позволяющую хранить выписанные сертификаты (вместе с ключами) в БД WNAM, для того, чтобы их можно было продемонстрировать пользователю с ролью "Самообслуживание" при его очередном входе в систему.


  • No labels