Взаимодействие с доменами
Для проверки валидности учетных данных пользователя при RADIUS (EAP-PEAP/MSCHAPv2) или TACACS+ авторизации WNAM использует взаимодействие с контроллером домена Active Directory или каталогом FreeIPA. Как и другие NAC-системы, сервер WNAM вводится в домен в качестве рабочей станции, что дает ему возможность проводить:
- LDAP-запросы с целью получения списка групп домена, и списка групп и атрибутов заданного пользователя
- LDAP-запросы с целью проверки логина-пароля доменного пользователя (PAP и TACACS+ авторизация, а также логин в веб-интерфейс WNAM)
- NTLM-запросы с целю проверки валидности учетных данных пользователей (EAP-PEAP/MSCHAPv2 авторизация)
Все LDAP запросы ведутся по шифрованному каналу (LDAPS)
В такой схеме WNAM может взаимодействовать с несколькими доменами (контроллерами) одновременно. Целевой контроллер (куда производится запрос) выбирается политикой аутентификации на основании либо совпадения критериев «площадка-сервер доступа», либо явным указанием домена (realm) в логине подключающегося пользователя сети.
Более того, мультидоменная связь со службами каталога полностью поддерживается в кластерной (отказоустойчивой) конфигурации WNAM в её централизованном или распределенном сценариях развертывания. Она работает и в сценариях с зависимыми доменами (основной и подчиненный) в составе одного леса.
