Для поддержки сброса и обновления сессий (требуется для корректной работы политики "Сакура") на сервере требуются дополнительные настройки WNAM и NGate.
1. Генерация сертификата для взаимодействия с NGate по tls.
- Формируем запрос на сертификат в WNAM. Для этого заходим NAC - Удостоверяющий центр - Запрос на подпись сертификата. Заполняем поля. Назначение ставим RADIUS, тип и длина ключа ECGOST3410-2012
- На основе сформированного запроса выпустите сертификат в УЦ в котором вы выпускали сертификаты для внутреннего взаимодействия NGate. Если использовался встроенный УЦ , то сертификат можно выпустить через консоль сервера NGate с помощью утилиты ng-certcfg в меню Work with internal MC service - Node Managment Server Certificate - Sign request and Export certificate
- Добавить полученный сертификат на все ноды через консоль сервера NGate с помощью утилиты ng-certcfg в меню Work with internal MC service - API service certificate - Bind Node API Service certificate
- Импортировать полученный сертификат в WNAM. Для этого заходим NAC - Удостоверяющий центр - Импортировать сертификат
2. Создание API токена NGate
3. Настройка RADIUS в NGate
В Ngate создать два RADIUS сервера ссылающихся на WNAM. Один в качестве сервера аутентификации, второй авторизации.
В настройках обеих radius серверов задать передачу трех дополнительных атрибутов Ngate-Session-ID, Ngate-Session-ID-Persistent и Ngate-Auth-Seq. У сервера авторизации установить галку Resources update
4. Создание правила авторизации с использованием политики Сакура.
Добавляем в результирующее правило авторизации компонент Политика КИБ "Сакура". Теперь при смене "Сакура статуса" устройства подключенного к NGate WNAM будет отправлять команду на обновление сессии и NGate получит новые RADIUS атрибуты.
Задаем политики КИБ "Сакура" в NAC - Дополнительно - Интеграция с сервером КИБ "Сакура"
5. Тестирование работы взаимодействия WNAM и NGate
Для проверки механизма взаимодействия WNAM и NGate выберите работающую сессию Ngate в списке сессий radius и нажмите
