View Source

Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети, иначе - предоставление разрешения на выполнение действий пользователю в соответствии с назначенными ему правами. Система WNAM 2 реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются результаты аутентификации и выбираются атрибуты, которые будут назначены сессии доступа пользователя в возвращаемом сетевому оборудованию RADIUS-ответе. При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании проверки выбирается самый первый (по порядковому номеру) из оставшихся профилей.

В конце цепочки проверки применяется неявное правило Default Reject, которое срабатывает в трех случаях:

ошибка (exception) на стадии обработки какого-либо из правил;
ни одно правило аутентификации не совпало;
совпало правило аутентификации Default Deny, и никаких других Deny-правил авторизации не было определено.

Список правил представлен в разделе "NAC - Авторизации":

WNAM 2 > Авторизация > image-2024-10-18_16-8-28.png

В систему можно добавить сколько угодно правил. Правила также возможно поменять местами посредством перемещения позиций.

Для добавления нового правила необходимо нажать кнопку "Новое правило авторизации". При нажатии на кнопку "подробнее" в таблице открывается окно редактирования правила.

WNAM 2 > Авторизация > image-2024-10-18_16-13-50.png

WNAM 2 > Авторизация > image-2024-10-18_16-14-22.png

Можно отредактировать необходимые параметры, удалить его или сохранить изменения. Ниже представлено описание настраиваемых параметров профиля.

Название - произвольное наименование правила, отображается в разделе "Диагностика" системы (пользователь его не видит).

Доступ - определяет тип RADIUS-ответа: ACCEPT или REJECT.

Включено/Отключено - определяет использование правила в работе системы.

Добавить правило - определяет, прямо или косвенно, набор атрибутов, которые будут переданы оборудованию NAS для данной сессии подключения. Возможные варианты:

Длительность сессии;
Загружаемый ACL - выбранный загружаемый список доступа, из заранее созданных;
Имя или номер списка доступа ACL - номер или имя ACL, который должен быть предварительно задан на оборудовании;
Лимит числа эндпоинтов на уникальный сертификат или логин;
Назначаемый VLAN ID или пул номеров VLAN;
Персональный PSK ключ (Wi-Fi);
Возможность применения политики КИБ "Сакура";
Реавторизация по завершении сессии;
Тег или категория;
RADIUS-атрибуты - набор произвольных атрибутов вида Имя=Значение, которые передаются оборудованию. Внимание! Атрибуты должны уже существовать в RADIUS-словаре системы WNAM. Если вы применяете экзотический атрибут и получаете ошибку, обратитесь в службу поддержки;

Набор атрибутов можно выбрать в произвольном порядке, в зависимости от потребности в создаваемом правиле. Также, в правиле возможно добавить неограниченное количество дополнительных RADIUS атрибутов.