Eltex Documentation
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Описание

Политики аутентификации и авторизации определяют действия, которые необходимо выполнить при получении запросов на аутентификацию пользователей от сетевых устройств по протоколу RADIUS и действия при авторизации пользователей.

Порядок обработки запросов аутентификации/авторизации от пользователей, передаваемых сетевыми устройствами

1. Первоначальная проверка данных сетевого устройства:

  • Входящий RADIUS-запроса анализируются на наличие записи о сетевом устройстве - в случае отсутствия пакет отбрасывается, никакой ответ не возвращается.
  • Проверяется корректность пароля в RADIUS-запросе - если пароль неверен возвращается ACCESS-REJECT.

2. Обработка в таблице политик. 

  • Выполняется проверка соответствие RADIUS-пакета логическим условиям, используемым в политиках.
  • Проверка выполняется последовательно сверху вниз. Отключенные политики не участвуют в проверке.
  • При обнаружении подходящей политики дальнейший их перебор прекращается и продолжается проверка в рамках этой политики. 
  • Если политики с подходящим условием не будет найдена - сетевому устройству будет отправлен ответ в рамках политики Default. По-умолчанию в данном наборе политик в политике авторизации настроен профиль авторизации DenyAccess, согласно которому сетевому устройству будет отправлен ACCESS_REJECT. Данное поведение можно изменить, отредактировав политики в Default.

3. Обработка в рамках найденной политики:

  • Проверяется используемый протокол аутентификации и сравнивается с доступными в выбранном списке протоколов. Если совпадений не обнаружено - сетевому устройству будет отправлен ACCESS-REJECT.
  • В политиках аутентификации выполняется проверка сверху вниз, пока не будет найдено совпадающее условие. Если не будет найдено ни одной политики с совпадающим условием - сетевому устройству будет отправлен ACCESS-REJECT.

  • Выполняется поиск пользователя в выбранной цепочки источников идентификации.

  • В политиках авторизации выполняется проверка сверху вниз, пока не будет найдено совпадающее условие. Если не будет найдено ни одной политики с совпадающим условием - сетевому устройству будет отправлен ACCESS-REJECT по правилу Default. Дефолтное поведение может быть перенастроено.
  • После определения политики авторизации выполняется проверка пароля пользователя. Если он не совпадает - сетевому устройству будет отправлен ACCESS-REJECT.
  • После успешной проверки логина/пароля пользователя выполнятся добавление атрибутов в ответ ACCESS-ACCEPT, если они настроены в используемом профиле устройства, или отправляется ACCESS-ACCEPT сетевому устройству, к которому подключается пользователь.

Просмотр списка набора политик

Меню "Политика" → "Наборы политик".


В таблице отображаются наборы политик, в соответствии с которыми проводится обработка запросов на аутентификацию/авторизацию.

Последняя политика с именем "Default" не может быть удалена, у нее нельзя изменить имя или условие. Она всегда будет последней в списке, ниже расположить другие политики нельзя.

Описание колонок таблицы:

  • "Статус" - статус набора политик (включено / отключено / по умолчанию).
  • "Имя" * - наименование набора политик.
  • "Описание" - произвольное описание.
  • "Условия" * - используемые логические условия. Если используется библиотечное условие - отображается его имя. Если используется не библиотечное условие - отображается его структура.
  • "Доступные протоколы" * - выбранный список доступных протоколов. Настройка списка выполняется в меню "Политика" → "Элементы" → "Результаты" → "Доступные протоколы".
  • "Действия" - действия по добавлению/удалению набора политик.
  • "Просмотр" - переход к просмотру и редактированию политик аутентификации/авторизации выбранного набора политик.

* - поля, обязательные для заполнения.

Элементы управления:

 - поиск по имени набора политик (найденные совпадения будут подсвечены желтым цветом).

 - обновить данные.

- сбросить счетчик RADIUS-пакетов, которые были обработаны по данному набору политик.

 - добавить политику (политика будет добавлена первой в списке).

- счетчик RADIUS-пакетов, которые были обработаны по данному набору политик.

 - действия:

  • добавить набор политик сверху;
  • добавить набор политик снизу;
  • удалить текущий набор политик.

 - перейти к управлению политиками аутентификации/авторизации текущего набора политик.

 - сохранить изменения.

 - отменить изменения.

Все наборы политик перебираются по порядку - сверху вниз. Потому на странице отображаются только ВСЕ наборы политик сразу.

Для изменения порядка перетащите политику за элемент шесть точек в колонке с плюсом (становится видимым при наведении в эту область).

Просмотр списка политик аутентификации и авторизации выбранном наборе политик

Для просмотра списка политик аутентификации и авторизации надо в колонке "Просмотр" нажать   справа от выбранного набора политик.

Последние правила политик аутентификации и авторизации с именем "Default" нельзя переименовать или изменить им условие. Они всегда будут последние в списке, ниже расположить другие правила нельзя.


Данная таблица разбита на блоки:

  1. В верхней части страницы блок, отвечающий за управление политикой, который отображает содержимое выбранной политики в формате аналогичном используемому в списке политик.
  2. "Политика аутентификации" - управление аутентификацией пользователей.
  3. "Политика авторизации" - управление авторизацией пользователей.

Элементы управления:

  • "Статус" - включить выключить соответствующую политику.
  • "Имя" * - наименование политики.
  • "Описание" - произвольное описание.
  • "Условия" используемые логические условия. Если используется библиотечное условие - отображается его имя. Если используется не библиотечное условие - отображается его структура.
  • "Доступные протоколы" * - выбранный список доступных протоколов. Настройка списка выполняется в меню "Политика" → "Элементы" → "Результаты" → "Доступные протоколы".
  • "Использовать" * - выбранная последовательность цепочек идентификации. Настройка цепочек идентификации выполняется в меню "Администрирование" → "Управление идентификацией" → "Цепочки идентификаций".
  • Профили * - выбор доступных профилей авторизации. Настройка профилей авторизации выполняется в меню "Политика" → "Элементы" → "Результаты" → "Профили авторизации".
  •  - сохранить изменения.
  •  - отменить изменения.

  • Для изменения порядка Политик Аутентификации и Авторизации перетащите политику за элемент шесть точек в колонке с плюсом (становится видимым при наведении в эту область) аналогично разделу Наборы политик.

Редактирование набора политик 

Для добавления набора политик в окне списка наборов политик можно нажать вверху слева кнопку  - новый набор будет добавлен первый в списке.

При необходимости добавить набор политик в произвольное место необходимо нажать на кнопку справа от выбранного набора политик и в выпадающем меню выбрать "Добавить сверху" или "Добавить снизу". Новый набор будет добавлен выше или ниже.

В поле "Имя" ввести наименование набора политик или оставить неизменным автоматически сформированное название.

Для редактирования условия необходимо нажать  - откроется редактор условий:

Редактирование условий выполняется аналогично описанному в v0.5_4.3.4 Управление логическими условиями

При настройке политики есть ограничение по используемым типам словарей. Можно использовать словари: Device, RADIUS, NORMALISED_RADIUS:

При редактировании условий непосредственно в политике добавляется возможность использовать настроенное условие без сохранения его в библиотеке. Для этого надо после настройке не сохраняя условие нажать кнопку "Использовать".

После этого в колонке "Доступные протоколы" выбрать необходимый список.

Нажать кнопку "Сохранить".

После создания новой политики необходимо настроить для нее политики аутентификации и авторизации, без этого все попытки подключения пользователей, попавшие под логическое условие данной политики будут отклонены!


Редактирование политик аутентификации и авторизации

Для редактирования необходимо нажать  справа от выбранного набора политик.

Требуется настроить как минимум одну политику аутентификации и одну политику авторизации для возможности успешного подключения клиента с использованием данного набора политик, иначе будет применено запрещающее правило по умолчанию.

Правило по умолчанию можно отредактировать, настроив другое поведение, однако для безопасности рекомендуется настраивать собственные правила с более узкой областью действия, а поведение по умолчанию оставить запрещающим.

Политика аутентификации

Для настройки правила политики аутентификации в блоке "Политика аутентификации" необходимо нажать кнопку . Появится новое правило:

В поле "Имя" ввести наименование правила.

Для редактирования условия необходимо нажать  - откроется редактор условий:

Редактирование условий выполняется аналогично описанному в v0.5_4.3.4 Управление логическими условиями.

При настройке политики аутентификации есть ограничение по используемым типам словарей. Можно использовать словари: Device, RADIUS, NORMALISED_RADIUS:

При редактировании условий непосредственно в политике добавляется возможность использовать настроенное условие без сохранения его в библиотеке. Для этого надо после настройке не сохраняя условие нажать кнопку "Использовать".

Выбрать в выпадающем меню "Использовать" цепочку идентификаций, настраиваемую в меню "Администрирование" → "Управление идентификацией" → "Цепочки идентификаций".

Кнопкой  справа от политики можно добавить новый выше или ниже, либо удалить текущую.

Политика авторизации

В блоке "Политики авторизации" нажать . Появится новое правило:

В поле "Имя" ввести наименование политики.

Для редактирования условия необходимо нажать  - откроется редактор условий:

Редактирование условий выполняется аналогично описанному в v0.5_4.3.4 Управление логическими условиями.

При настройке политики авторизации можно использовать все типы словарей без ограничений.

При редактировании условий непосредственно в политике добавляется возможность использовать настроенное условие без сохранения его в библиотеке. Для этого надо после настройке не сохраняя условие нажать кнопку "Использовать".

Выбрать в выпадающем меню "Профили" необходимый профиль (можно при необходимости добавить несколько профилей), настраиваемый в меню "Политика" → "Элементы" → "Результаты" → "Профили авторизации".

Кнопкой  справа от политики можно добавить новый выше или ниже, либо удалить текущую.

Кнопка "Сохранить" станет доступна только после добавления хотя бы одной, полностью настроенной, политики аутентификации и политики авторизации.

Нажать кнопку "Сохранить".

Редактирование политик

Редактирование политик выполняется путем нажатия кнопкой мыши на поле соответствующей настройки.

После этого необходимо нажать кнопку "Сохранить".

Удаление политик

Удаление выполняется нажатием на кнопку  и выбором действия "Удалить".

Появится окно подтверждения действия, в нем надо нажать "Да":

После этого политика будет удалена.

  • Нет меток