...
| Примечание |
|---|
Для каждого раздела доступна встроенная документация на русском и английском языках, в которой подробно описаны назначения, доступные действия и настройки, к ней рекомендуется обращаться при любых затруднениях. Для того чтобы открыть встроенную документацию, нужно нажать на знак |
- Для добавления оборудования в NAICE, необходимо перейти во вкладку Администрирование → Сетевые ресурсы→ Устройства:
На начальном этапе необходимо определить профиль, который будет использоваться для устройства. Рекомендуется сначала ознакомиться с предустановленными профилями: они созданы для оборудования Eltex и ряда других известных вендоров. Если среди них не найдется подходящего профиля, можно создать собственный. Однако не рекомендуется создавать слишком много профилей, так как это усложняет унификацию настройки.
- Перед добавлением устройства рекомендуется определиться, к какой группе оно будет относиться. В дальнейшем признаки группировки устройств можно будет использовать в политиках аутентификации и авторизации. Сделать разбивку возможно по локациям, типу оборудования и задать при необходимости свой групповой признак.
Для небольшого предприятия рекомендуем использовать одну локацию для упрощения настройки, если не планируются специфичные настройки для каждой из них.По умолчанию существуют две корневые группы:
All Device Types — предназначена для формирования групп по признакам типа сетевых устройств;
All Locations — предназначена для формирования групп по признакам локации сетевых устройств.
- Переходим непосредственно к добавлению устройству. Вкладка "Устройства" → "
", заполняем обязательные поля: Наименование, Профиль, IPv4 — IP адрес устройства, группы устройства и настройка аутентификации RADIUS (секретный ключ для взаимодействия с сетевым устройством по протоколу RADIUS). После заполнения нажимаем "Сохранить":
После этого устройство появится в общем списке.
...
Для части устройств в предустановленных профилях NAICE уже активирована настройка MAB (например, WLC).
Для некоторых устройств, например для коммутаторов MES, её нужно включить дополнительно.
Для этого требуется перейти: Администрирование → Сетевые ресурсы → Профили устройств:
Выбрать требуемый профиль, во вкладке MAB отметить параметр "Настроить MAB", выбрать соответствующий протокол.
...
EAP_MD5 — это метод односторонней аутентификации, где сервер проверяет клиента через хэш пароля, но клиент не проверяет подлинность сервера
Протокол выбирается в зависимости от характеристик добавляемого оборудования, для коммутаторов рекомендуется выбрать оба варианта. 
В целях безопасности рекомендуется проверять совпадение Calling-Station-Id и MAC-адреса. NAC-система будет сравнивать MAC-адрес, который прислало устройство (Calling-Station-Id), с MAC-адресом, сохраненным в учетной записи устройства в базе данных.
...
Раздел Администрирование → Управление идентификацией → Цепочки идентификаций →
Здесь потребуется задать имя цепочки и перенести источник идентификации Endpoints в используемые.
Производители устройств используют уникальные идентификаторы (OUI) в MAC-адресах. Они указываются в первых трёх октетах MAC-адреса. Для настройки с помощью OUI следует использовать профилирование устройств, более подробно об это функции рассказано в документации — v0v1.90_4.6 Настройка профилирования
...
Необходимо задать имя и выбрать родительскую группу, чтобы добавить её в корневую.
Добавление эндпоинта
...
Требуется указать MAC-адрес эндпоинта и выбрать группу в которую он будет помещён.
Настройка протокола аутентификации MAB (MAC Authentication Bypass)
...
Для этого переходим в раздел Политики → Элементы → Разрешенные протоколы и добавить новый список:
Включаем MAB-аутентификацию.
...
Для настройки необходимо перейти в раздел Политика → Наборы политик и добавить свою политику (зажать нужную левой кнопкой мыши и переместить вправо):
После переноса кликаем "Использовать" и выбираем доступные протоколы, в данном примере Test_list.
По данному условию под действие политики будут попадать все попытки подключения, для которых определен тип подключения WiredMAB. При необходимости можно настроить другое условие вхождения в политику.
Нажимаем сохранить. После этого новая политика будет добавлена в список.
...
Далее необходимо выполнить настройку созданной политики, для этого кликаем по 
Выбрать в политике аутентификации по умолчанию Default ранее созданную цепочку идентификации Endpoints.
Далее переходим к настройке политики авторизации:
Добавляем условие Endpoint identity·Endpoint Group равное Endpoints, которое позволит авторизовываться только эндпоинтам добавленным в ранее созданную группу Endpoints.
...
После выполнения настроек на оборудовании, будет получен авторизованный пользователь.
