Области — правила, которые позволяют по имени домена определить: какие настройки TLS применить к сессии пользователя/устройства, в каком домене искать пользователя при аутентификации по протоколу PEAP, нужно ли использовать доменный источник аутентификации для аутентификации по сертификатам или администраторов продукта. 

Вкладка «Области»

На данной вкладке выполняется создание и изменение существующих областей, которым может принадлежать пользователь.

По умолчанию в таблице отображаются 9 столбцов:

• Имя — DNS-имя (FQDN) домена или рабочей группы, которое будет отображаться в таблице со списком всех областей. Оно выступает в качестве базового регулярного выражения поиска домена пользователя (например, все пользователи user@axel.pro попадут в созданную область axel.pro). Задается при создании области и не может быть изменено в дальнейшем;
• Область Regex — если Имя подпадает под это регулярное выражение, AxelNAC будет использовать эту конфигурацию области. Позволяет перенаправить отдельных пользователей в другую область;
• Настройки EAP — используемая конфигурация EAP;
• Домен — домен Active Directory, в который AxelNAC отправляет NTLM-запрос;
• Аутентификация RADIUS — сервер аутентификации RADIUS, на который должен быть передан запрос;
• Аккаунтинг RADIUS — сервер аккаунтинга RADIUS, на который должен быть передан запрос;
• Раскрыть портал — если активно, имена пользователей, соответствующие этой области, будут отображаться на Captive-портале без идентификатора области;
• Раскрыть администратора — если активно, имена пользователей, соответствующие этой области, будут отображаться без идентификатора области при использовании веб-интерфейса;
• Раскрыть RADIUS — если активно, имена пользователей, соответствующие этой области, будут отображаться без идентификатора области на этапе авторизации 802.1X.

Существуют три предустановленные области, к которым пользователь может принадлежать: DEFAULT, LOCAL, NULL. При аутентификации распределение по областям происходит сверху вниз, не считая предустановленные области и по следующему принципу:

1. Имя пользователя, содержащее знаки: "@", "\", ".", попадающие под регулярное выражение с именем области или дополнительное регулярное выражение область regexp, которые указаны в области, добавляется в эту область.
2. Имя пользователя, не обладающее такими характеристиками, добавляется в область DEFAULT.
3. Имя пользователя, не содержащее знаки: "@", "\", "." и обладающее характеристиками области LOCAL, добавляется в эту область.
4. Имя пользователя, не обладающее такими характеристиками, добавляется в область NULL.

Управление таблицей

Набор отображаемых столбцов в таблице может быть изменен, для этого нажмите на иконку . В выпадающем списке нажмите на название столбца, отображение которого в таблице необходимо изменить.

По умолчанию на странице отображается 25 записей, однако вы можете выбрать отображение 10, 50, 100, 200, 500 и 1000 записей на странице. Для этого нажмите на поле  в правом верхнем углу списка и выберите в выпадающем списке необходимое количество для отображения.

Вы можете отсортировать таблицу, для этого нажмите на иконку  и перетащите запись в нужное место. Если вместо этой иконки отображается иконка , место расположения этой записи изменить нельзя. По умолчанию все записи в таблице отображаются в порядке добавления. 

Для переключения между страницами используйте блок в правом верхнем углу списка.

radiusd-auth

Чтобы поочередно перезапустить службу radiusd-auth на всех узлах, нажмите на поле  и выберите из выпадающего списка .

Для проверки работоспособности новых настроек примените их только на одном узле, для этого нажмите на поле  и выберите из выпадающего списка .

Чтобы отключить аутентификацию по RADIUS, нажмите . Это приведет к тому, что работа службы на всех узлах кластера AxelNAC будет остановлена.

Чтобы на один из улов кластера не приходил трафик (например, для выявления возможных проблем) — нажмите .

Создание новой области

Для того чтобы создать новую область, нажмите Новая область в левом верхнем углу страницы. После этого откроется меню конфигурации области.

Основное

На данной вкладке можно указать основные настройки области.

В данном меню доступны следующие настройки:

1. Область — DNS-имя (FQDN) домена или рабочей группы;
2. Область Regex — если значение регулярного выражения совпадает со значением поля UserName, AxelNAC будет использовать именно эту конфигурацию области.

NTLM-аутентификация

На данной вкладке можно указать доменное имя и сервер eDirectory для NTLM-аутентификации.

В данном меню доступны следующие настройки:

1. Домен — домен Active Directory, в который AxelNAC отправляет NTLM-запрос;
2. eDirectory — сервер eDirectory, который будет использоваться для аутентификации в этой области.

Настройки EAP

На данной вкладке можно выбрать используемую конфигурацию EAP.

В данном меню доступны следующие настройки:

1. EAP — используемая конфигурация EAP.

Прокси-сервер FreeRADIUS

На данной вкладке можно настроить прокси-сервер(ы) FreeRADIUS.

В данном меню доступны следующие настройки:

1. Опции области — поле для ввода опций области, которые нужно добавить в конфигурацию FreeRADIUS;
2. RADIUS AUTH — сервер аутентификации RADIUS, на который следует направить запрос;
3. Тип — тип пула домашнего сервера для аутентификации. Можно выбрать один из следующих:
   • Keyed Balance;
   • Fail Over;
   • Load Balance;
   • Client Balance;
   • Client Port Balance.
4. Авторизоваться из AxelNAC — включение этой опции определяет, передавать ли запрос в AxelNAC для получения динамического ответа или использовать атрибуты ответа удаленного прокси-сервера;
5. RADIUS ACCT — сервер аккаунтинга RADIUS, на который должен быть передан запрос;
6. Тип — тип пула домашнего сервера для аккаунтинга. Можно выбрать один из следующих:
   • Keyed Balance;
   • Fail Over;
   • Load Balance;
   • Client Balance;
   • Client Port Balance.

Прокси-сервер FreeRADIUS Eduroam

На данной вкладке можно настроить прокси-сервер(ы) FreeRADIUS Eduroam.

В данном меню доступны следующие настройки:

1. Опции области Eduroam — поле для ввода опций области, которые нужно добавить в конфигурацию FreeRADIUS Eduroam;
2. Eduroam RADIUS AUTH — сервер аутентификации RADIUS Eduroam, на который должен быть передан запрос;
3. Тип — тип пула домашнего сервера для аутентификации. Можно выбрать один из следующих:
   • Keyed Balance;
   • Fail Over;
   • Load Balance;
   • Client Balance;
   • Client Port Balance.
4. Авторизоваться из AxelNAC — включение этой опции определяет, передавать ли запрос в AxelNAC для получения динамического ответа или использовать атрибуты ответа удаленного прокси-сервера;
5. Eduroam RADIUS ACCT — сервер аккаунтинга RADIUS Eduroam, на который должен быть передан запрос;
6. Тип — тип пула домашнего сервера для аккаунтинга. Можно выбрать один из следующих:
   • Keyed Balance;
   • Fail Over;
   • Load Balance;
   • Client Balance;
   • Client Port Balance.

Раскрытие

На данной вкладке можно скрывать имя области из имени пользователя.

В данном меню доступны следующие настройки:

1. Раскрыть в Captive-портале — данный параметр определяет, должны ли имена пользователей, соответствующие этой области, отображаться в Captive-портале без идентификатора области.
2. Раскрыть в веб-интерфейсе — данный параметр определяет, должны ли имена пользователей, соответствующие этой области, отображаться без идентификатора области при использовании веб-интерфейса.
3. Раскрыть в авторизации RADIUS — данный параметр определяет, должны ли имена пользователей, соответствующие этой области, отображаться без идентификатора области на этапе авторизации 802.1X.
4. Пользовательские атрибуты — данный параметр определяет, разрешать ли использование пользовательских атрибутов для аутентификации пользователей 802.1X (атрибуты определяются в источнике).
5. Источник LDAP — сервер LDAP для запроса пользовательских атрибутов.
6. Источник LDAP для TTLS PAP — сервер LDAP, используемый для авторизации и аутентификации по протоколу EAP/TTLS/PAP.
7. Источник Azure AD для TTLS PAP — источник Azure AD для аутентификации по протоколу EAP/TTLS/PAP.

Для того чтобы создать новую область, заполните параметры конфигурации и нажмите Создать. Чтобы сбросить введенные параметры на стандартные значения, нажмите Сбросить. Для возвращения на предыдущую страницу без сохранения выполненных на странице действий, нажмите Отменить.

Поиск области

Для того чтобы найти определенную область, можно выполнить поиск по критериям: идентификатор или рабочая группа. Введите интересующий критерий в поле поиска и нажмите Поиск. Нажмите Очистить, чтобы сбросить критерии поиска.

Также можно выполнять поиск по нескольким критериям. Для этого нажмите на иконку лупы  справа от кнопки Поиск.

В меню расширенного поиска вы можете выбрать операторы И и ИЛИ и указать несколько критериев для поиска. Поиск можно вести по критерию Имя (поиск по имени области).

Также вам доступны следующие операторы:

• равно;
• не равно;
• начинается с;
• заканчивается на;
• содержит.

Для того чтобы изменить порядок выражений, нажмите и удерживайте иконку  и перетащите выражение. Для того чтобы удалить выражение, нажмите на иконку .

Вы можете сохранить и экспортировать существующий запрос, чтобы воспользоваться им позднее или импортировать уже существующий запрос. Все эти действия можно выбрать из выпадающего списка после нажатия на иконку .

Редактирование области

Для того, чтобы отредактировать область, нажмите на строку в таблице с названием нужной области. На этой странице можно изменить все параметры области, кроме ее идентификатора.

Клонирование области

Для того чтобы создать копию определенной области, нажмите Клонировать. После этого вам будет предложено отредактировать скопированную область.

Также в режиме редактирования области вы можете в конце страницы нажать кнопку Клонировать.

Удаление области

Для того чтобы удалить область, нажмите Удалить. После этого подтвердите удаление.

Также в режиме редактирования области вы можете в конце страницы нажать кнопку Удалить. После этого подтвердите удаление.

Групповые действия

Для того чтобы выполнить действия с несколькими областями, отметьте необходимые области. Чтобы выполнить действия со всеми областями в списке, нажмите на селектор  в шапке таблицы.

На данный момент единственное доступное групповое действие в системе — Экспорт в CSV. При его выборе, файл в формате .csv, содержащий записи таблицы, попадает в менеджер загрузки вашего браузера.