На предприятии с большим числом сотрудников - администраторов сети может быть проблематично вести локальные записи для доступа в веб-интерфейс WNAM, используя сам WNAM (раздел "Конфигурация" → "Пользователи интерфейса"). Начиная с версии 1.6.3204 система WNAM (даже без лицензии корпоративной авторизации) поддерживает доступ в свой веб-интерфейс не только с локальной, но и с доменной учётной записью. Для настройки этой функции необходимо настроить взаимодействие WNAM с контроллером домена (как минимум с одним), используя инструкции: настройка сервиса и затем подключение к домену. Проверка пароля будет происходить по протоколу LDAP (TLS).
Затем необходимо в том же меню интеграции со службой каталогов Active Directory выбрать интересующие доменные группы:
Затем перейти в меню настройки профилей доступа к интерфейсу (раздел "Конфигурация" → "Общие настройки", либо по кнопке "Доступ в UI через Active Directory" из раздела "Конфигурация" → "Пользователи интерфейса").
В результате откроется список допустимых доменов, групп, и ролей. Можно добавить новую запись, отредактировать либо удалить существующую (по кнопкам в правой части строки таблицы). При редактировании правила следует выбрать один из настроенных доменов, одну из интересующих групп\и одну из допустимых ролей пользователя.
После редактирования правил следует сохранять внесенные изменения, нажав кнопку "сохранить". Пользователь с доменной учётной записью может входить в систему, указывая только свой логин, либо также доменную часть:
wifitest
wifitest@lab
Если указана доменная часть логина, поиск будет происходить только по правилам, в которых упомянут данный домен. Если доменная часть логина не указана, то поиск будет осуществляться по всем настроенным доменам.
Затем при получении запроса на вход в веб-интерфейс в окне логина система WNAM будет производить проверку локальных учетных записей, и если ничего не будет найдено, то произведет проверку всех настроенных правил, для чего запросит авторизацию пользователя в каждом домене, и полученный список групп пользователя сравнит с группой в правиле. При наличии совпадения пользователь будет допущен в систему с присвоенной ему соответствующей ролью.
В лог-файле /home/wnam/logs/wnam.log отобразится:
18:32:48.773 DEBUG [ActiveDirectoryProfileManager.java:546] - loginAndGetUserGroups for wifitest at lab.wnam.ru returned 2
18:32:48.774 DEBUG [WebInterfaceAccessRuleManager.java:108] - adctool domain 'lab.wnam.ru' login check success: true
18:32:48.775 DEBUG [WebInterfaceAccessRuleManager.java:81] - activeDirectoryAuth user: wifitest matched rule: 'lab.wnam.ru/Wi-Fi Test Users'
18:32:48.786 INFO [UserAuthenticationProvider.java:172] - Accept ActiveDirectory login user 'wifitest' domain: 'lab.wnam.ru', group: 'Wi-Fi Test Users', from 10.10.1.2 with role ADMIN
Текущая роль и домен такого пользователя будет отражена в событиях аудита ("Диагностика" → "Аудит действий пользователей").
Такое поведение управляется конфигурационным параметром "ui_ad_login_require_realm", который доступен в разделе "Конфигурация-Дополнительные настройки" и по умолчанию имеет значение false. Если же его выставить в true, тогда при авторизации пользователя без указания доменной части его логин либо будет проверяться только по локальному списку пользователя, а при указании логина с доменной частью - только в домене с совпадающем именем домена (и также с учетом domain alias).
Роль и домен пользователя (при настроенных соответствующих уведомлениях) отображаются в логах Syslog / SNMP подобными записями:
Notification SYSLOG type AUDIT_EVENT to: 1.1.1.1 on: {DomainName=lab.wnam.ru, EventType=LOGIN, ObjectName=lab.wnam.ru : OPERATOR, RemoteIp=127.0.0.1, RemoteUser=wifitest, Role=OPERATOR, Timestamp=09.02.2023 10:31:45, Type=AUDIT_EVENT, TypeStr=Событие аудита}