RADIUS (Remote Authentication in Dial-In User Service) - клиент-серверный протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, для передачи сведений между сетевыми устройствами и центральной системой контроля.
802.1x (dot1x) - стандарт IEEE 802.1x, определяющий протокол, который выполняет контроль и аутентификацию подключаемых к сетевому оборудованию устройств.
MAB (MAC Authentication Bypass) - аутентификация, которая основана на MAC-адресе устройства. В качестве логина и пароля передается MAC-адрес подключаемого устройства. Используется для авторизации устройств, не поддерживающих 802.1x, таких как принтеры, сканеры и т.п.
NAC система, сервер аутентификации/авторизации, сервер проверки подлинности - система, обеспечивающая контроль доступа к сети на основании политик, настраиваемых администратором. Политики позволяют настроить аутентификацию и авторизацию на основании ролей, местоположения, RADIUS-признаков сетевых устройств, а так же групп пользователей. Может использовать в качестве источников данных аутентификации внутреннею базу данных пользователей, подключение к сторонним приложениям, таким как LDAP, MS AD. Взаимодействие с сетевыми устройствами выполняется по протоколу RADIUS.
LDAP (Lightweight Directory Access Protocol) - прикладной протокол доступа к службе каталогов X.500.
Служба каталогов - средство иерархического представления ресурсов и данных об этих ресурсах.
X.500 - серия стандартов ITU-I для службы распределённого каталога сети.
Active Directory (AD) - служба каталогов, разработанная корпорацией Microsoft для ОС Windows Server. LDAP совместимая реализация, имеющая возможность интеграции с другими службами авторизации и расширенный функционал.
Пользователь, клиент - физическое лицо, которое использует оконечное оборудование (персональный компьютер, ноутбук, смартфон и т.п.) для подключения к сети.
Клиентское устройство, супликант (supplicant) - оконечное сетевое оборудование, которое непосредственно используется пользователями для подключения к сети и поддерживает протокол 802.1x.
Сетевое устройство (authenticator, NAS - Network Attached Storage) - сетевое устройство, обеспечивающее подключение клиентских устройств к сети и реализующее их аутентификацию с использованием протокола 802.1x, MAB или портальной авторизации.
Аутентификация - процесс определения идентичности подключающегося клиентского устройства, пользователя путем проверки его учетной записи (логина/пароля), сертификата, анализа других параметров (место и время подключения, MAC-адрес устройства, а так же результаты профилирования), что позволяет разрешен или запрещен доступ в сеть данному устройству.
Авторизация - процесс определения прав подключающегося клиентского устройства, пользователя - т.е. назначение определенных политик, например VLAN или ACL.
Источники аутентификации (источник учетных данных пользователей) - сервис, содержащий список пользователей сети, их паролей и принадлежность к определенным группам. Может быть как реализацией записей внутри базы данных, с которой взаимодействует NAC-система, так и сторонние сервисы, такие как LDAP, MS AD и т.п.
Цепочка идентификаций - упорядоченный список источников учетных данных для проверки пользователей при аутентификации и авторизации.
Логическое условие - структура, управляемая администратором NAC системы, обеспечивающая проверку соответствия заданных условий, определяемых на основе анализа полученного RADIUS-запроса, определенным данным. Результатом проверки является определение, соответствует RADIUS-запрос заданным критериям или нет.
Политика - заданный администратором NAC системы набор логических условий в рамках одной сущности, позволяющий обрабатывать попавших под действие политики RADIUS-запросов определенным образом.
Список политик - список, сформированный администратором, позволяющим определить порядок обработки RADIUS-запросов и определить различный способы их обработки.