View Source

Для работы механизма сброса и обновления пользовательских сессий, что требуется для корректной работы политик "Сакура", на необходимы дополнительные настройки WNAM 2 и NGate. Последний использует проприетарный способ, основанный на API вызове по HTTPS, защищенному TLS сертификатом с ГОСТ шифрованием, а не RADIUS CoA.

1. Генерация сертификата для взаимодействия с NGate по TLS.

Формируем запрос на сертификат в WNAM 2. Для этого заходим в раздел "NAC - Удостоверяющий центр - Запрос на подпись сертификата". Заполняем поля. Назначение ставим RADIUS, тип и длина ключа ECGOST3410-2012.

WNAM 2 > Поддержка VPN-шлюза NGate > image-2025-9-12_15-44-21.png

На основе сформированного запроса выпустите сертификат в УЦ в котором вы выпускали сертификаты для внутреннего взаимодействия NGate. Если использовался встроенный УЦ , то сертификат можно выпустить через консоль сервера NGate с помощью утилиты ng-certcfg, в меню Work with internal MC service - Node Managment Server Certificate - Sign request and Export certificate
Добавить полученный сертификат на все ноды через консоль сервера NGate с помощью утилиты ng-certcfg в меню Work with internal MC service - API service certificate - Bind Node API Service certificate
Импортировать полученный сертификат в WNAM 2. Для этого заходим NAC - Удостоверяющий центр - Импортировать сертификат

WNAM 2 > Поддержка VPN-шлюза NGate > image-2025-9-12_16-16-12.png

2. Создание API токена NGate

Для создания API токена воспользуйтесь инструкцией NGate https://cpdn.cryptopro.ru/content/ngate/admin-guide/source/03-quick-guide/task-api-tokens.html
Полученный токен вписать в поле NGATE Token сетевого устройства NGate
Выберите тип устройства: VPN, и вендора: NGATE

WNAM 2 > Поддержка VPN-шлюза NGate > image-2025-9-12_16-28-57.png

3. Настройка RADIUS в NGate

В NGate создать два RADIUS сервера, ссылающихся на одну ноду WNAM 2. Один в качестве сервера аутентификации, второй авторизации.

WNAM 2 > Поддержка VPN-шлюза NGate > image-2025-9-15_12-33-19.png

В настройках обоих RADIUS серверов задать передачу трех дополнительных атрибутов: Ngate-Session-ID, Ngate-Session-ID-Persistent и Ngate-Auth-Seq. У сервера авторизации установить галку Resources update.

WNAM 2 > Поддержка VPN-шлюза NGate > image-2025-9-16_11-2-24.png

4. Создание правила авторизации с использованием политики Сакура.

Добавляем в результирующее правило авторизации компонент Политика КИБ "Сакура". Теперь при смене "Сакура-статуса" клиентского устройства, подключенного к NGate, WNAM 2 будет отправлять команду на обновление сессии ,и NGate получит новые RADIUS атрибуты. WNAM 2 > Поддержка VPN-шлюза NGate > image-2025-9-16_11-8-55.png

Задаем политики КИБ "Сакура" в NAC - Дополнительно - Интеграция с сервером КИБ "Сакура"

WNAM 2 > Поддержка VPN-шлюза NGate > image-2025-9-16_11-17-37.png

5. Тестирование работы взаимодействия WNAM и NGate

Для проверки механизма взаимодействия WNAM и NGate выберите работающую сессию Ngate в списке сессий radius и нажмите "Сбросить сессию":