Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети, иначе - предоставление разрешения на выполнение действий  пользователю в соответствии с назначенными ему правами. Система WNAM реализует концепцию "профилей" - упорядоченных наборов правил, по которым производится такая проверка. Проверка идет последовательно по правилам, в порядке увеличения номера. Сравниваются  результаты аутентификации и выбираются атрибуты, которые будут назначены сессии доступа пользователя в возвращаемом сетевому оборудованию RADIUS-ответе. При проверке списка профилей отбрасываются заведомо не совпавшие, а по окончании проверки выбирается самый первый (по порядковому номеру) из оставшихся профилей.

В конце цепочки проверки применяется неявное правило Default Reject, которое срабатывает в трех случаях:

  • ошибка (exception) на стадии обработки какого-либо из правил;
  • ни одно правило аутентификации не совпало;
  • совпало правило аутентификации Default Deny, и никаких других Deny-правил авторизации не было определено.

Список правил представлен в разделе "Конфигурация - правила авторизации":

В систему можно добавить сколько угодно правил (обычно требуется порядка 10). Правила упорядочены по номерам, и их можно перенумеровать. Также на вкладке доступны кнопки, перенаправляющие на другие разделы - правила аутентификации, диагностика.

Для добавления нового правила необходимо нажать кнопку "Создать новый". При этом открывается окно редактирования профиля. При нажатии на строку в таблице открывается окно редактирования правила, с тем же содержанием.

Можно отредактировать необходимые параметры, удалить его или сохранить изменения. Ниже представлено описание настраиваемых параметров профиля.

Включено - определяет использование правила в работе системы.

Наименование - произвольное наименование правила, отображается в разделе "Диагностика" системы (пользователь его не видит).

Приоритет - порядковый номер правила в цепочке проверок (проверка начинается с наименьшего номера).

Условие - проверка совпадения правила аутентификации, выполненная на предыдущем шаге. Сравниваются:

  • Результат аутентификации - Allow или Deny
  • Совпадения тэга, присвоенного правилом аутентификации (несколько разных правил аутентификации могут присваивать один и тот же тэг). Внимание! Здесь указывается строка, которая воспринимается как регулярное выражение. Т.е. допустимо и тосное соответствие, но если у вас в правиле аутентификации выставлен тэг "aaa-bbb", а в правиле авторизации указано условие "aaa", тогда выражение совпадёт (как регулярное, а не полное совпадение строк).
  • Совпадения заданного правила аутентификации

Применить - определяет, прямо или косвенно, набор RADIUS-атрибутов, которые будут переданы оборудованию NAS для данной сессии подключения. Возможные варианты:

  • VLAN ID
  • ACL ID - номер или имя ACL, который должен быть предварительно задан на оборудовании
  • Downloadable ACL - выбранный загружаемый список доступа, из заранее созданных
  • RADIUS-атрибуты - набор произвольных атрибутов вида Имя=Значение, которые передаются оборудованию. Внимание! Атрибуты должны уже существовать в RADIUS-словаре системы WNAM. Если вы применяете экзотический атрибут и получаете ошибку, обратитесь в службу поддержки
  • Возможность применения политики КИБ "Сакура"
  • Ограничения в виде набора атрибутов тайм-аута сессии, скорости передачи трафика и т.п.

Эндпоинт- определяет, что будет происходить с учетной записью сетевого клиента. Здесь вы можете указать привязку сертификата к эндпоинту, чтобы предотвратить нелегитимное распространение TLS-сертификатов клиентов 

Добавить - набор действий с записью эндпоинта:

  • Добавление категории в виде имен правил и т.п.
  • Добавление VIP-статуса

Вернуть - определяет тип RADIUS-ответа: ACCEPT или REJECT.

Внимание: для 802.1х методов непременными дополнительными атрибутами ACCEPT-ответа также будут MS-MPPE ключи канального шифрования. 

  • No labels