You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети, иначе - предоставление разрешения на выполнение действий  пользователю в соответствии с назначенными ему правами. Система WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются  результаты аутентификации и выбираются атрибуты, которые будут назначены сессии доступа пользователя в возвращаемом сетевому оборудованию RADIUS-ответе. При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании проверки выбирается самый первый (по порядковому номеру) из оставшихся профилей.


В конце цепочки проверки применяется неявное правило Default Reject, которое срабатывает в трех случаях:

  • ошибка (exception) на стадии обработки какого-либо из правил;
  • ни одно правило аутентификации не совпало;
  • совпало правило аутентификации Default Deny, и никаких других Deny-правил авторизации не было определено.

Список правил представлен в разделе "NAC  - Авторизации": 

В систему можно добавить сколько угодно правил. Правила также возможно поменять местами посредством перемещения позиций.

Для добавления нового правила необходимо нажать кнопку "Новое правило авторизации". При нажатии на кнопку "подробнее" в таблице открывается окно редактирования правила.

Можно отредактировать необходимые параметры, удалить его или сохранить изменения. Ниже представлено описание настраиваемых параметров профиля.

Название - произвольное наименование правила, отображается в разделе "Диагностика" системы (пользователь его не видит).

Доступ - определяет тип RADIUS-ответа: ACCEPT или REJECT.

Включено/Отключено - определяет использование правила в работе системы.

Добавить правило - определяет, прямо или косвенно, набор атрибутов, которые будут переданы оборудованию NAS для данной сессии подключения. Возможные варианты:

  • Длительность сессии;
  • Загружаемый ACL - выбранный загружаемый список доступа, из заранее созданных;
  • Имя или номер списка доступа ACL - номер или имя ACL, который должен быть предварительно задан на оборудовании;
  • Лимит числа эндпоинтов на уникальный сертификат или логин;
  • Назначаемый VLAN ID или пул номеров VLAN;
  • Персональный PSK ключ (Wi-Fi);
  • Возможность применения политики КИБ "Сакура";
  • Реавторизация по завершении сессии;
  • Тег или категория;
  • RADIUS-атрибуты - набор произвольных атрибутов вида Имя=Значение, которые передаются оборудованию. Внимание! Атрибуты должны уже существовать в RADIUS-словаре системы WNAM. Если вы применяете экзотический атрибут и получаете ошибку, обратитесь в службу поддержки;
Набор атрибутов можно выбрать в произвольном порядке, в зависимости от потребности в создаваемом правиле. Также, в правиле возможно добавить неограниченное количество дополнительных RADIUS атрибутов.
  • No labels