NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
Единый вход в систему с помощью 802.1X
NxFilter поддерживает единый вход по 802.1X Wi-Fi аутентификации со встроенным сервером учета RADIUS. Вы можете использовать единый вход для смартфонов и других мобильных устройств в вашей сети. Поскольку вы можете импортировать пользователей и группы из Active Directory, Google G Suite LDAP, вы можете сделать так, чтобы ваши пользователи появлялись на NxFilter с их именами пользователей AD или Google.

Как это работает
Мы используем протокол учета RADIUS для получения имен пользователей при аутентификации Wi-Fi. NxFilter работает как сервер учета RADIUS и вам нужно настроить ваш Wi-Fi роутер на отправку запросов RADIUS на NxFilter. Следует отметить, что NxFilter не выполняет аутентификацию RADIUS самостоятельно. Вы выполняете аутентификацию RADIUS с помощью собственного сервером аутентификации. Если вы работаете в среде Active Directory, вашим сервером аутентификации будет Windows Сервер сетевой политики.

Вы можете проверить NxFilter в качестве сервера учета RADIUS с помощью такого инструмента, как NTRadPing.

Параметры графического интерфейса
После изменения этих опций в графическом интерфейсе необходимо перезапустить NxFilter.

- Accounting Port

Порт, на который вы получаете запросы на учет RADIUS. Мы используем UDP/1813 по умолчанию.

- Shared Secret

Общая секретная строка для вашего Wi-Fi роутера для связи с NxFilter.

- Enable Logout

Уничтожить сеанс входа пользователя в систему, если тип состояния запроса на учет - 'Stop'.

- Auto-register for New User

При наличии неизвестного имени пользователя в NxFilter вы можете автоматически создать пользователя с неизвестным именем.

- Default Group for New User

Вы можете установить группу по умолчанию для вновь созданных пользователей.

- Local Domain

Когда вы получаете имена пользователей в форме электронной почты (uname@mydomain.loal), вы можете указать домены для удаления. По умолчанию, NxFilter удаляет доменную часть из имени пользователя в форме электронной почты всегда.

- Use RADIUS

Запустить сервер учетных записей RADIUS.

Интеграция с Active Directory
Сначала импортируйте пользователей и группы из вашей Active Directory на User > Active Directory. После этого необходимо настроить интегрированный в NxFilter сервер учета RADIUS на User > RADIUS. В основном вам не нужно ничего менять, кроме Shared Secret. Наконец, вы реализуете аутентификацию 802.1X с помощью Wi-Fi роутера и Windows NPS (Network Policy Server).

Чтобы настроить Windows NPS, прочитайте раздел Настройка NPS в Управление аутентификацией RADIUS с UniFi

Это изображение захвата нашей установки NPS.

Ниже показано изображение захвата нашего маршрутизатора Unifi.

Задержка для первого контакта
Будет несколько секунд задержки для получения первого запроса учета RADIUS после того, как пользователь вошел в систему с помощью Wi-Fi аутентификации. Одна из проблем заключается в том, что ваши пользователи могут быть заблокированы NxFilter как неаутентифицированные пользователи. Решением является создание пользователя по умолчанию, связанного с IP-диапазон, охватывающий все IP-адреса в вашей сети. Ваши пользователи, прошедшие аутентификацию по Wi-Fi, будут отображаться как пользователи по умолчанию в течение нескольких секунд до того, как NxFilter получит первый запрос на учет RADIUS, а затем они будут отображаться со своими собственными именами пользователей.

Авторегистрация для новых пользователей
Возможно, у вас есть несколько гостевых пользователей, временно использующих вашу сеть через 802.1X Wi-Fi аутентификацию сторонней службы аутентификации, например Eduroam. Их нет в вашей базе данных пользователей, но они являются аутентифицированными пользователями. Вы хотите разрешить им использовать вашу сеть, но контролировать их по именам пользователей и применять к ним политику как к группе. Если у вас небольшое количество посетителей, вы можете сделать это, выдав временные имена этим гостевым пользователям. Но если их приходят и уходят сотни, не стоит делать это вручную.

Для такой ситуации у нас есть 'Auto-register for New User' опция. При включении этой опции, когда NxFilter обнаружит новое имя пользователя в запросе учета RADIUS, он создаст пользователя с этим именем. Вы также можете установить группу по умолчанию для этих новых пользователей с помощью опции 'Default Group for New User'.

Однако, прежде чем включить 'Auto-register for New User', есть одна вещь, о которой следует подумать. Эти пользователи, скорее всего, используют такие имена в форме электронной почты, как 'uname@visitor.com', чтобы отличить себя от других пользователей организации. Однако, NxFilter по умолчанию удаляет доменную часть имени пользователя формы электронной почты. Чтобы сохранить домены в именах посетителей, можно указать Local Domain. Если вы укажете Local Domain, NxFilter удаляет только указанные домены.

Вы можете добавить несколько локальных доменов, разделенных запятыми.