• +7 (499) 346-76-60
Menu

Модель профилей

NETAMS > Модель профилей

Модель профилей

WNAM реализует модель профилей, которые применяются ко всем поступившим RADIUS или TACACS+ запросам на доступ в сеть. Запросы могут поступать от:

  • Беспроводного сегмента сети — точек доступа и WLAN-контроллеров. При этом в настройках подключения пользователи указывают способ обеспечения безопасности — WPA2 Enterprise или WPA3 Enterprise.
  • Проводного сегмента сети — коммутаторов ЛВС или VPN-шлюзов. При этом в настройках подключения пользователи указывают способ обеспечения безопасности — Корпоративная авторизация 802.1х.
  • Проводного сегмента сети — коммутаторов ЛВС, к которым подключены «неуправляемые» устройства — принтеры, IP-камеры, IP-телефоны. При этом авторизация и назначение целевых правил (VLAN и т.п.) производится в режиме MAC Bypass.

Во случаях в качестве средства проверки подлинности пользователь выбирает пару логин/пароль (EAP-PEAP/MSCHAPv2) либо сертификат (EAP-TLS), а устройство представляется своим MAC-адресом.

В случае, если аутентификация завершилась ошибкой, существует возможность перенаправить пользователя на веб-портал для подтверждения гостевого доступа с СМС-авторизацией, либо для выписывания себе TLS-сертификата (самообслуживания).

Профили (политики), по которым происходит обработка пользовательского запроса, разделены на две группы.

Профили аутентификации

Аутентификация — проверка подлинности предоставленных учетных данных того, кто запрашивает сетевой доступ. Профили определяют критерии, по которым она производится. Проверка идет последовательно по правилам, в порядке увеличения номера, до первого совпадения. Сравниваются различные критерии и атрибуты в поступившем запросе: откуда, когда, каким способом, по какому протоколу, что при этом передаётся. Вы можете определить требуемое вам число профилей, для каждого типа или источника запроса.

Каждый профиль содержит множество настраиваемых критериев и параметров. Вы можете указать требуемые вам, и при совпадении данных в поступившем запросе, при условии их валидности (например, сертификат не отозван, пароль успешно проверен в Active Directory) профиль возвращает соответствующий результат.

Профили авторизации

Авторизация — применение назначенных правил и политик аутентифицированному (подтвердившему подлинность учетных данных) абоненту сети. Профили определяют сетевые настройки, которые применяются. Проверка идет последовательно по правилам, в порядке увеличения номера, до первого совпадения. Сравниваются  результаты аутентификации, и выбираются атрибуты, которые будут назначены сессии доступа пользователя, в возвращаемом сетевому оборудованию RADIUS-ответе.

Каждый профиль содержит маску условий выбора, и набор применяемых атрибутов и действий, передаваемый сетевому оборудованию. Это:

  • Назначаемый VLAN ID
  • Назначаемый ACL ID
  • Перечень вендорспецифичных RADIUS-атрибутов
  • URL редиректа на портал для прохождения СМС-авторизации, или самообслуживания
  • Параметры длительности сессии, ограничения скорости и объема
  • Правила создания и привязки МАС адресов и TLS-сертификатов