View Source

Начиная с версии 1.6.4224 WNAM поддерживает новую пользовательскую роль - "Самообслуживание". С её помощью возможно предоставить доступ непривилегированному пользователю в административный веб-интерфейс системы для следующих целей:

Выписывание самому себе SSL сертификатов для последующей EAP-TLS авторизации
Выписывание себе TOTP-токена - TODO
Управление списком привязанных к учетной записи приложений двухфакторной авторизации и Telegram-аккаунтов - TODO

Эта роль доступна как для обычный (локальных по отношению к системе ) учетных записей, так и для подключений с доменной (служба каталога, Active Directory) авторизацией. Вы можете либо создать учётную запись в разделе "Конфигурация - Пользователи интерфейса", либо написать соответствующее правило авторизации в разделе "Доступ в UI через Active Directory":

Wireless Network Access Manager > Самообслуживание > selfservice_local.png

Wireless Network Access Manager > Самообслуживание > selfservice_ad.png

Внимание! Авторизация посредством Active Directory требует работоспособного коннектора типа LDAPS. Смотрите разделы Способ интеграции системы WNAM с доменом (flask-сервис, samba, ldap-tls) и Доступ через ActiveDirectory

По умолчанию логин доменного пользователя можно указывать без доменной части. В таком случае вначале проверяются локальные пользователи, а затем пользователи во всех доменах, определенных в правилах "Доступ в UI через Active Directory". Вы можете явным образом потребовать указание доменной части логина, в форме login@domain или DOMAIN\login или login@domain.root.dom, если установите параметр ui_ad_login_require_realm=true в разделе "Конфигурация - Дополнительные настройки".

При входе в веб-интерфейс системы посредством такой учётной записи откроется специализированный ограниченный интерфейс, в котором отображаются все SSL-сертификаты, привязанные к данной учётной записи:

Wireless Network Access Manager > Самообслуживание > ss_abramov_list.png

Клик в строку с сертификатом вызывает окно просмотра его свойств:

Wireless Network Access Manager > Самообслуживание > ss_abramov_show.png

Из этого окна можно выгрузить сертификат в формате ZIP-архива, содержащего сертификат в различных форматах, ключ, сертификат выпускающего УЦ, корневой сертификат и т.д. Пользователь может использовать сертификаты из этого архива для настройки суппликанта его операционной системы Windows, Linux, MacOS для дальнейшего подключения к сети с использованием метода авторизации EAP-TLS.

Портал самообслуживания отображает все пользовательские сертификаты: выписанные здесь же на портале, выписанные для пользователя Администратором, выписанные через Wi-Fi Onboarding-подключение.

Пользователь может нажать на кнопку создания нового сертификата:

Wireless Network Access Manager > Самообслуживание > ss_new1.png

Wireless Network Access Manager > Самообслуживание > ss_new2.png

Метод создания сертификатов определяется настройками, выполненными в разделе "Конфигурация - Корпоративные настройки - Сертификаты". Подробно они описаны в разделе BYOD портал. Вы можете выбрать создание сертификатов через встроенный УЦ системы WNAM, либо из корпоративной службы сертификатов MS AD CA по протоколу SCEP. В любом случае, вы должны сделать настройку, позволяющую хранить выписанные сертификаты (вместе с ключами) в БД WNAM, для того, чтобы их можно было продемонстрировать пользователю с ролью "Самообслуживание" при его очередном входе в систему.

Прежде, чем давать пользователям возможность выписать сертификаты себе через "Самообслуживание", вы должны убедиться, что сам механизм выписывания сертификатов (через локальный УЦ, через SCEP) полностью работоспособен от администратора системы, "Конфигурация - Сертификаты".