То, каким образом будет обработан RADIUS-запрос на авторизацию клиентского устройства, зависит от настроек наборов политик. Администратор может определить, что запросы с определенным набором признаков (называемых логическим условием) нужно обрабатывать по одному сценарию, а с другим набором - по другому. Например, для запросов от коммутатора на определенном этаже нужно искать пользователя в LDAP, а на другом - отклонять все попытки подключения кроме MAB. По результатам различных сценариев подключения (т.е. различных наборов политик) могут быть назначены разные доступы - разрешение, полный запрет, доступ в определенный CVLAN и/или с ограничением по ACL и т.п.

Подробнее про принцип обработки входящих RADIUS запросов и добавление набора политик можно прочитать в разделе "Политика" → "Наборы политик" встроенной документации.

Использование Не-Radius атрибутов при создании логических условий

Часто используемые Не-RADIUS атрибуты

Наиболее часто используемыми Не-RADIUS атрибутами для формирования логических условий являются:

1. NORMALISED_RADIUS:

Атрибут Flow type - тип подключения клиентского устройства. С помощью данного атрибута можно отфильтровать клиентов по тому, каким способом они подключаются к сети. Например, тип подключения Wired802_1x, то есть проводное подключение по протоколу 802.1X, наиболее распространено среди ПК, WiredMAB - для несложных сетевых устройств вроде принтеров и IP-камер, а WirelessWebAuth - для подключения беспроводных устройств гостевых пользователей через портал.

Для того, чтобы NAICE мог определять тип подключения устройства, необходимо настроить идентифицирующие его RADIUS-атрибуты в профиле устройства. Настройка определения типа подключения описана во встроенной документации в разделе "Администрирование" → "Сетевые ресурсы" → "Профили устройств".

Список допустимых значений атрибута находится в разделе "Политика" → "Элементы" → "Словари" → "NORMALISED_RADIUS" → "Normalised Radius" → "Flow Type".

2. DEVICE:

Атрибут Device Type - тип устройства-аутентификатора. Деление на типы может быть как более обобщенным (например, коммутатор), так и более конкретизированным (например, коммутатор Eltex MES23xx).

Атрибут Device Location - местонахождение аутентификатора, например - 4 этаж 2 корпуса Новосибирского филиала.

Значения атрибутов Device Type и Device Location определяются подгруппами групп устройств. Таким образом, для добавления новых типов и локаций устройств необходимо создать соответствующие группы в разделе "Администрирование" → "Сетевые ресурсы" → "Группы устройств" и привязать их к устройствам.

3. USER IDENTITY:

Атрибут Identity Group - группа пользователя, например - Бухгалтерия. Атрибут актуален при авторизации по протоколу 802.1X. Группа пользователя может быть как локальная, то есть настроенная в системе NAICE в разделе "Администрирование" → "Управление идентификацией" → "Группы пользователей сети", так и внешняя из источника вроде LDAP или MS AD.

Логическое условие с атрибутами типа Identity можно использовать только в политике авторизации! При настройке правила для вхождения в набор политик или при настройке политики аутентификации атрибуты данного типа словарей недоступны.

4. ENDPOINT IDENTITY:

Атрибут Endpoint Group - группа эндпоинта, которая была присвоена ему вручную или в результате профилирования, например - ноутбук Dell или IP-телефон Eltex.
Атрибут Logical Profile - логический профиль, который был присвоен устройству в результате профилирования, например - Принтеры.

Подробнее про работу со словарями можно прочитать во встроенной документации в разделе "Политика" → "Элементы" → "Словари".

Пример использования условий с Не-RADIUS атрибутами

Рассмотрим процесс создания логических условий на основе Не-RADIUS атрибутов для использования в политиках на конкретном примере.

Представим, что есть предприятие, которое находится в трёхэтажном здании. На 1 этаже расположено производство, на 2 этаже - рядовые сотрудники и администраторы, на 3 этаже - бухгалтерия и руководство. На каждом из этажей расположены коммутаторы, обеспечивающие доступ в сеть ПК сотрудников на всех этажах по протоколу 802.1x, а также принтеров на 2 и 3 этаже по MAB. Для каждой из групп сотрудников выделен отдельный CVLAN.

Известно, что периодически в руководстве требуется гостевой доступ в Интернет (без доступа к локальным ресурсам) для ноутбука.

Необходимо обеспечить правильным доступом к сети всех сотрудников и устройства.

Для пользователей 1 этажа ограничить аутентификацию по протоколу MAB, доступ только по 802.1x.

Возможный вариант настройки политик:

Настроить 3 набора политик, по одному на каждый коммутатор этажа. Входное логическое условие для набора политик - по местонахождению коммутатора (атрибут Device Location).
Для первого набора политик:
- политика аутентификации: настроить определение типа подключения (атрибут Flow Type) и подключать только Wired802.1X клиентов из внутреннего источника пользователей.
- политика авторизации: для пользователей группы "Производство" (атрибут Identity Group) разрешить авторизацию и настроить доступ в соответствующий CVLAN.
Для второго набора политик:
- политика аутентификации: настроить 2 правила - для Wired802.1X подключения искать пользователей среди внутренней БД, а для WiredMAB - среди эндпоинтов.
- политика авторизации: настроить 3 правила - для пользователей группы "Администраторы" и "Другие сотрудники" по группе пользователей, для принтеров - по профилю эндпоинтов (атрибут Logical Profile).
Для третьего набора политик:
- настроить политики аутентификации и авторизации аналогично второму набору политик.
- добавить правило в политику авторизации для пользователей группы "Гости", по которому разрешить WiredMAB подключение для ноутбука с выдачей ACL.

Рассмотрим как данная настройка выглядит в NAICE.

Предварительные настройки

Для работоспособности всей схемы требуется осуществить ряд предварительных настроек.

Более подробную информацию о их настройке можно найти во встроенной документации.

"Администрирование" → "Управление идентификацией" → "Группы пользователей сети".

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-28_11-10-40.png

Внести пользователей в соответсвующие группы.

2. "Администрирование" → "Сетевые ресурсы".

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-29_11-28-33.png

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > 100.110.2.190_administration_network-resources_profiles_edit_5 (3).png

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-29_13-38-33.png

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-28_11-14-50.png

3. "Политика" → "Элементы" → "Результаты"→ "Профили авторизации" .

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-29_13-40-19.png

Для каждой из групп сотрудников был выделен соответствующий CVLAN внутри профилей.
Внутри профиля 3 этаж (гости) - ноутбук была настроена выдача ACL.

Внутренние настройки профилей будут приведены ниже.

Настройка наборов политик

Настройка первого набора политик (SW1)

1. Добавление входного логического условия:

Только запросы приходящие с коммутатора, стоящего на 1 этаже, должны иметь возможность попасть под данный набор политик.

Условие: местонахождение коммутатора должно соответствовать 1 этажу. Атрибут словаря DEVICE Device Location = 1 этаж.
Доступные протоколы: набор протоколов only 802.1x, который включает в себя только протоколы аутентификации 802.1x. Под входное условие попадут только те устройства, у которых включена авторизация по 802.1x.

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-29_13-45-58.png

2. Добавление правила в политику аутентификации:

Только устройства с типом подключения Wired802.1X должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди внутренней БД.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type = Wired802.1X

Для атрибута Flow Type существует возможность использовать библиотечные условия Wired_802.1X, Wired_MAB и т.п. без необходимости выбора атрибута в условии в ручную .

Использовать: цепочка идентификации Internal DB

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-28_11-17-17.png

В правилах политики аутентификации выполняется проверка сверху вниз, пока не будет найдено совпадающее условие. Если не будет найдено ни одного правила с совпадающим условием, то будет применено правило Default - по умолчанию сетевому устройству будет отправлен ACCESS-REJECT.

3. Добавление правила в политику авторизации:

Для прохождения авторизации пользователь должен принадлежать группе Производство. В случае выполнение данного условия устройству будет выдан доступ в 400 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Производство
Профиль: профиль 1 этаж (производство)

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-27_13-37-54.png

В политиках авторизации выполняется проверка правил сверху вниз, пока не будет найдено совпадающее условие. По-умолчанию настроен профиль авторизации DenyAccess, согласно которому в случае, если не будет найдено ни одного правила с совпадающим условием - сетевому устройству будет отправлен ACCESS-REJECT по правилу Default.

Настройка второго набора политик (SW2)

1. Добавление входного логического условия:

Только запросы приходящие с коммутатора, стоящего на 2 этаже, должны иметь возможность попасть под данный набор политик.

Условие: местонахождение коммутатора должно соответствовать 2 этажу. Атрибут словаря DEVICE Device Location = 2 этаж.
Доступные протоколы: набор протоколов all, который включает в себя все протоколы (802.1x и MAB). Под входное условие попадут устройства, у которых включен любой из перечня допустимых протоколов.

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-28_16-17-17.png

2. Добавление правил в политику аутентификации:

Первое правило:

Только устройства с типом подключения Wired802.1X должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди внутренней БД.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type - Wired802.1X
Использовать: цепочка идентификации Internal DB

Второе правило:

Только устройства с типом подключения WiredMAB должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди эндпоинтов.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type - WiredMAB
Использовать: цепочка идентификации Endpoints

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-28_11-17-37.png

3. Добавление правил в политику авторизации:

Первое правило:

Для прохождения авторизации пользователь должен принадлежать группе Администраторы. В случае выполнение данного условия устройству будет выдан доступ в 100 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Администраторы
Профиль: профиль 2 этаж (администраторы)

Второе правило:

Для прохождения авторизации пользователь должен принадлежать группе Другие сотрудники . В случае выполнение данного условия устройству будет выдан доступ в 500 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Другие сотрудники
Профиль: профиль 2 этаж (другие сотрудники)

Третье правило:

Для прохождения авторизации устройство должно принадлежать группе принтеры.

Условие: атрибут словаря IDENTITY Logical Profile - принтеры
Профиль: PermitAccess

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-28_11-18-8.png

Настройка третьего набора политик (SW3)

1. Добавление входного логического условия:

Только запросы приходящие с коммутатора, стоящего на 3 этаже, должны иметь возможность попасть под данный набор политик.

Условие: местонахождение коммутатора должно соответствовать 3 этажу. Атрибут словаря DEVICE Device Location = 3 этаж.
Доступные протоколы: набор протоколов all.

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-28_16-17-35.png

2. Добавление правил в политику аутентификации:

Первое правило:

Только устройства с типом подключения Wired802.1X должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди внутренней БД.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type - Wired802.1X
Использовать: цепочка идентификации Internal DB

Второе правило:

Только устройства с типом подключения WiredMAB должны иметь возможность пройти аутентификацию, искать пользователей необходимо среди эндпоинтов.

Условие: атрибут словаря NORMALISED_RADIUS Flow Type - WiredMAB
Использовать: цепочка идентификации Endpoints

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-28_11-19-30.png

3. Добавление правил в политику авторизации:

Первое правило:

Для прохождения авторизации пользователь должен принадлежать группе Бухгалтерия. В случае выполнение данного условия устройству будет выдан доступ в 200 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Бухгалтерия
Профиль: профиль 2 этаж (бухгалтерия)

Второе правило:

Для прохождения авторизации пользователь должен принадлежать группе Руководство . В случае выполнение данного условия устройству будет выдан доступ в 300 VLAN.

Условие: атрибут словаря IDENTITY Identity Group = Руководство
Профиль: профиль 3 этаж (руководство)

Третье правило:

Для прохождения авторизации устройство должно принадлежать группе принтеры.

Условие: атрибут словаря IDENTITY Logical Profile - принтеры
Профиль: PermitAccess

Четвертое правило:

Для прохождения авторизации пользователь должен принадлежать группе Гости . В случае выполнение данного условия устройству будет выдан ACL.

Условие: атрибут словаря IDENTITY Identity Group = Гости
Профиль: профиль 3 этаж (гости) - ноутбук

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-29_13-47-16.png

Полный список наборов политик для предприятия:

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-30_10-24-29.png

Если набор политик с подходящим условием не будет найден - сетевому устройству будет отправлен ответ в рамках политики Default с набором доступных протоколов Default protocols.

Eltex Documentation > v0.7_4.5 Пример использования распространенных атрибутов при создании логических условий > image2024-8-29_11-42-12.png _