Сравнение версий

Старая версия 1

changes.mady.by.user Сагательян Регина Михайловна

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Сагательян Регина Михайловна

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

Добавление оборудования Eltex в NAICE 

Добавление оборудования в NAICE

Примечание

Для каждого раздела доступна встроенная документация на русском и английском языках, в которой подробно описаны назначения, доступные действия и настройки, к ней рекомендуется обращаться при любых затруднениях.

Для того чтобы открыть встроенную документацию, нужно нажать на знак  вверху в правом верхнем углу веб-интерфейса. 

  1. Для добавления оборудования в NAICE, необходимо перейти во вкладку Администрирование → Сетевые ресурсы→ Устройства:



  2. На начальном этапе необходимо определить профиль, который будет использоваться для устройства. Рекомендуется сначала ознакомиться с предустановленными профилями: они созданы для оборудования Eltex и ряда других известных вендоров. Если среди них не найдется подходящего профиля, можно создать собственный. Однако не рекомендуется создавать слишком много профилей, так как это усложняет унификацию настройки.


  3. Перед добавлением устройства рекомендуется определиться, к какой группе оно будет относиться. В дальнейшем признаки группировки устройств можно будет использовать в политиках аутентификации и авторизации. Сделать разбивку возможно по локациям, типу оборудования и задать при необходимости свой групповой признак. 

    Для небольшого предприятия рекомендуем использовать одну локацию для упрощения настройки,  если не планируются специфичные настройки для каждой из них. 

    По умолчанию существуют две корневые группы:

    • All Device Types — предназначена для формирования групп по признакам типа сетевых устройств;

    • All Locations — предназначена для формирования групп по признакам локации сетевых устройств.

    Добавление групп в данной статье рассматриваться не будет.
  4. Переходим непосредственно к добавлению устройству. Вкладка "Устройства" → "", заполняем обязательные поля: Наименование, Профиль, IPv4 — IP адрес устройства, группы устройства и настройка аутентификации RADIUS (секретный ключ для взаимодействия с сетевым устройством по протоколу RADIUS). После заполнения нажимаем "Сохранить":



    После этого устройство появится в общем списке. 

Настройка MAB-аутентификации и авторизации

MAB — это  аутентификация, которая основана на MAC-адресе устройства, то есть MAC-адрес устройства используется в качестве имени пользователя и пароля.

Может использоваться в следующих сценариях:

1. Для предоставления контролируемого сетевого доступа устройствам, которые не могут пройти стандартную аутентификацию по логину и паролю или с помощью сертификатов (802.1X). 
2. Для упрощения развертывания, когда индивидуальная настройка методов аутентификации (например, 802.1X или сертификатов) на каждом конечном устройстве требует больших трудозатрат.

...

Данная запись обеспечивает успешное прохождение этапа аутентификации за счет подстановки MAC-адреса в качестве пароля.

Добавление цепочки идентификации для подключения эндпоинтов при выполнении MAB-аутентификации

Так как дефолтная цепочка идентификаций для эндпоинтов отсутствует, необходимо добавлять её вручную. 

...

Производители устройств используют уникальные идентификаторы (OUI) в MAC-адресах. Они указываются в первых трёх октетах MAC-адреса. Для настройки с помощью OUI следует использовать профилирование устройств, более подробно об это функции рассказано в документации — v0.9_4.6 Настройка профилирования

Добавление групп эндпоинтов

Для добавления группы эндпоинтов переходим в раздел Администрирование → Управление идентификацией → Группы эндпоинтов→ image-2025-5-4_14-22-27.png

Необходимо задать имя и выбрать родительскую группу, чтобы добавить её в корневую.

image-2025-8-6_10-28-36.png

Добавление эндпоинта

Добавление эндпоинтов возможно автоматически или вручную. Автоматически изучение эндпоинтов происходит в ходе любой попытки аутентификации по протоколу RADIUS. Значение MAC-адреса извлекается из RADIUS-атрибута Calling-station-id. Не выполняется изучение случайно сгенерированных (MAC randomization feature) MAC-адресов. Если не настроено профилирование, то все автоматически изученные MAC-адреса попадают в группу Unknown.

Используется для гостевого доступа или в тех случаях, если устройства часто меняют своё местоположение.

Добавление эндпойнтов вручную может использоваться в малых и средних сетях, где добавление устройств вручную не является время/трудозатратным процессом. 

...

Требуется указать MAC-адрес эндпоинта и выбрать группу в которую он будет помещён. 

Настройка протокола аутентификации MAB (MAC Authentication Bypass)

Для использования MAB-аутентификации необходимо явное разрешение:

...

Включаем MAB-аутентификацию.

Добавление и настройка политик

Политики аутентификации и авторизации определяют действия, которые необходимо выполнить при получении запросов на аутентификацию пользователей от сетевых устройств по протоколу RADIUS и действия при авторизации пользователей.

...