Для успешной настройки и последующей эксплуатации системы управления сетевым доступом WNAM 2 требуется понимание и знание применяемых в отрасли терминов и технологий. С целью повышения качества вашей работы с WNAM 2 рекомендуется ознакомиться с настоящими терминами и определениями.
Абонент, пользователь, пользователь Wi-Fi, клиент
Физическое лицо, человек, подключившийся к проводной или беспроводной сети. Система WNAM 2 позволяет проводить аутентификацию и авторизацию доступа пользователей путём привязки аппаратного адреса (МАС-адреса) мобильного устройства (смартфон, телефон, планшет, мобильный компьютер) к логину, сертификату, номеру телефона с идентификацией номера путём отправки/получения СМС-сообщения, либо иному идентификатору.
Авторизация
Процесс определения результирующих прав подключающегося устройства, то есть назначенных определенных политик, например, ограничение скорости или номера VLAN.
Аккаунтинг
При успешной аутентификации и авторизации абонентское устройство получает доступ в сеть, а подключающее устройство (VPN шлюз, коммутатор ЛВС, контроллер БЛВС) формирует сведения об объеме передаваемых абонентом данных, включая дополнительные параметры (профилирование, IP-адрес и т.п.). Сессия аккаунтинга длится до того момента, пока абонент находится в сети, а подключающее устройство присылает периодические обновления (interim). Аккаунтинг не передает информацию по ресурсам, к которым подключается абонент (это функция других устройств (DPI, прокси, источники Netflow, NAT-Syslog и т.п.).
Аутентификация
Процесс определения идентичности подключающегося устройства (субъекта), путем проверки его учетной записи (логина и пароля), сертификата, анализа других параметров (например, место и дата/время подключения, тип устройства). В результате проверяющий компонент принимает решение о допуске/запрете подключения к сети.
Открытый и закрытый ключи
Автоматически сформированные очень большие числа, запакованные специальным образом (в контейнер), позволяющие осуществить операции по цифровой подписи и шифрованию данных (см. здесь). Публичный ключ содержится в сертификате и доступен всем желающим. Приватный ключ находится в защищенном хранилище мобильного устройства и никогда не передается по сети в открытом виде.
Администратор
Любой пользователь веб-интерфейса системы WNAM 2, имеющий те или иные привилегии в системе согласно её ролевой модели (например, администратор WNAM 2).
Местоположение
Территориальное место предоставления услуги сетевого доступа, например один этаж здания, один бизнес-центр, один офис. Характеризуется параметром IP-сети, из которой получают адреса клиенты, и/или иным идентификатором (обычно его передаёт хотспот), например, номер VLAN, номер и название SSID. Статистика по использованию ресурсов сети (трафик, сессии), тонкие настройки параметров авторизации/перенаправления/ограничений, производится в системе WNAM 2 с привязкой к местоположению.
Поток трафика
Информация об индивидуальной TCP/IP-сессии обмена трафиком, проводимой подключившимся абонентом в рамках сессии, и внешним ресурсом в сети. Определяется IP-адресами и TCP либо UDP-портами отправляющей или принимающей стороны, счетчиками пакетов и байт. Требует работы специализированных средств сбора такой информации на канале передачи данных, например, NetFlow.
Сетевое устройство
Физическое устройство, осуществляющее контроль и предоставление доступа в проводную или беспроводную сеть её конечным пользователям. Англоязычный эквивалент: Network Access Server (NAS). В общем случае, это маршрутизатор, или контроллер беспроводных точек Wi-Fi, или коммутатор ЛВС, или VPN-шлюз.
Сервер WNAM 2
Физический сервер или виртуальная машина, на которой установлена операционная система Linux, служебные программы (freeradius, tomcat, postgreSQL) и программное обеспечение WNAM 2.
Эндпоинт
Оконечное сетевое устройство, осуществляющее подключение к проводной или беспроводной сети, с использованием МАС адреса или персонифицированного идентификатора, характеризующееся уникальным МАС адресом. Исключая подключающиеся к открытой гостевой беспроводной сети устройства.
Сертификат
Цифровая сущность, содержащая в себе атрибуты принадлежности (название, компания, город и т.п.), даты начала и завершения валидности, публичный ключ, название и идентификатор сущности, подписавшей сертификат (другой сертификат). Служит для подтверждения "идентичности" предъявителя сертификата. При корректной настройке прослеживается цепочка "доверия" сертификатов друг другу, вплоть до сертификата, который числится в "заведомо доверенных" на устройстве.
Сессия
Сведения о факте подключения пользователя к сети с указанием ссылки на профиль абонента, а также на текущие параметры сессии: временный IP-адрес, выданный абонентскому устройству, счётчики принятых и отправленных байт, сведения о площадке, где произошло подключение, точке доступа Wi-Fi, RADIUS-идентификаторе сессии и т.п.
Стандарт 802.1x
Стандарт, описывающий процесс инкапсуляции учетных данных подключающегося устройства в протокол EAP для последующей их передачи серверу авторизации.
Удостоверяющий центр
Организация либо управляемое ею программное средство, выписывающее сертификаты оборудованию или конечным пользователям (абонентам) сети. Также имеет инструменты проверки валидности (действительности) сертификатов и публикующая списки отзыва и т.п.
Хотспот
Встроенное в устройство (сервер доступа) специальное программное обеспечение, позволяющее перехватывать (перенаправлять) HTTP- или HTTPS-сессию браузера абонента на внешний веб-сервер. В случае использования системы WNAM 2 таким веб-сервером является часть системы WNAM 2, где производится идентификация абонента и демонстрация ему заданных страниц. После проведения авторизации хотспот по команде от WNAM 2, временно разрешает абоненту доступ в сеть Интернет.
Active Directory
Служба каталога в исполнении Microsoft. Помимо запросов каталога реализует защищенные методы проверки аутентичности учетной записи пользователя, компьютера, позволяет распространять групповые политики и т.п.
CSR
Запрос на подпись сертификата, контейнер, содержащий по сути "недоделанный сертификат". Внешний Удостоверяющий центр выпускает на его основе полноценный сертификат за своей подписью.
DER
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является бинарным и технически эквивалентен PEM.
FreeIPA
Служба каталога в открытой реализации. Входит в состав большинства (в том числе российских) дистрибутивов Linux.
LDAP
Служба каталога, справочник, а также сам протокол, по которому передаются запросы и возвращаются ответы об атрибутах учетной записи (принадлежность к группе, специфические атрибуты и т.п.). WNAM 2 использует LDAP для запроса контроллера домена Windows.
MAB или MAC Bypass
Процесс, при котором аутентификация устройства производится в упрощенном порядке, по его МАС-адресу. Применяется, когда оконечное устройство не поддерживает протокол 802.1х.
PEM
Формат файла, в котором содержится сертификат, ключ или другой объект, созданный удостоверяющим центром. Файл является текстовым и закодирован в BASE64. Сертификат, ключ и т.п. содержится в начале и конце файла в строках вида ----- BEGIN CERTIFICATE ------ и т.п.
PFX
Бинарный формат файла (контейнер), в котором содержится сертификат и приватный ключ субъекта (абонента сети). Дополнительно защищен паролем. Файл допустимо пересылать по сети для последующей установки в клиентское устройство.
PKI
Инфраструктура открытых ключей, набор инструментов для функционирования, в том числе для авторизации на основе сертификатов.