Вариант обработки RADIUS-запроса на авторизацию клиентского устройства зависит от настроек наборов политик. Администратор может определить, что запросы с определенным набором признаков (называемых логическим условием) нужно обрабатывать по одному сценарию, а с другим набором - по другому. Например, для запросов от коммутатора на определенном этаже нужно искать пользователя в LDAP, а на другом - отклонять все попытки подключения кроме MAB. По результатам различных сценариев подключения (т. е. различных наборов политик) могут быть назначены разные доступы: разрешение, полный запрет, доступ в определенный CVLAN и/или с ограничением по ACL и т. п.
Подробнее про принцип обработки входящих RADIUS запросов и добавление набора политик можно прочитать в разделе Политика → Наборы политик встроенной документации.
Наиболее часто используемыми Не-RADIUS атрибутами для формирования логических условий являются:
1. NORMALISED_RADIUS:
Атрибут Flow type - тип подключения клиентского устройства. С помощью данного атрибута можно отфильтровать клиентов по тому, каким способом они подключаются к сети. Например, тип подключения Wired802_1x, то есть проводное подключение по протоколу 802.1X, наиболее распространено среди ПК, WiredMAB - для несложных сетевых устройств вроде принтеров и IP-камер, а WirelessMAB - для подключения беспроводных устройств гостевых пользователей через портал.
Для того, чтобы NAICE мог определять тип подключения устройства, необходимо настроить идентифицирующие его RADIUS-атрибуты в профиле устройства. Настройка определения типа подключения описана во встроенной документации в разделе Администрирование → Сетевые ресурсы → Профили устройств. |
Список допустимых значений атрибута находится в разделе Политики доступа → Элементы → Словари → NORMALISED_RADIUS → Normalised Radius → Flow Type.
Called-Station-ID = "00:1A:2B:3C:4D:5E:OfficeWiFi"
Это значение в NAICE может быть обработано для получения идентификатора беспроводной сети. Нормализованным атрибутом и его значением в таком случае будет:
Normalised Radius·SSID = "OfficeWiFi"
Подробнее про данный атрибут можно прочитать в v1.0_4.4.2 Обработка атрибутов Called-Station-ID и Calling-Station-ID.
2. DEVICE:
Атрибут Device Location - местонахождение аутентификатора (например, 4 этаж 2 корпуса Новосибирского филиала).
Значения атрибутов Device Type и Device Location определяются подгруппами групп устройств. Таким образом, для добавления новых типов и локаций устройств необходимо создать соответствующие группы в разделе Администрирование → Сетевые ресурсы → Группы устройств и привязать их к устройствам. |
3. USER IDENTITY:
Атрибут Identity Group - группа пользователя, например, Бухгалтерия. Атрибут актуален при авторизации по протоколу 802.1X. Группа пользователя может быть как локальная, то есть настроенная в системе NAICE в разделе Администрирование → Управление идентификацией → Группы пользователей сети, так и внешняя из источника, вроде LDAP или MS AD.
Логическое условие с атрибутами типа Identity можно использовать только в политике авторизации. При настройке правила для вхождения в набор политик или при настройке политики аутентификации атрибуты данного типа словарей недоступны. |
4. ENDPOINT IDENTITY:
Полный перечень словарей и их атрибутов можно посмотреть в разделе Политика → Элементы → Словари. Подробнее про работу со словарями можно прочитать во встроенной документации.