「NAC」- 策略管控(用户授权)

  CREATED BY JENKINSBOT

问题描述

前面的 Authentication(认证)用于确认尝试接入网络的用户身份是否合法。然而,即使 NAC-TRM 通过认证接入网络,也并不意味着可以访问网络内的所有资源,而是需要基于用户身份对其加以区分,分别赋予其不同的网络访问权限。

解决方案

而 Authorization(授权)则用于指定身份合法的用户所能拥有的网络访问权限,即用户能够访问哪些资源。

以 RADIUS-SRV 授权为例,常见的授权信息有:
1)VLAN:为了将受限的网络资源与未认证用户隔离,通常将受限的网络资源和未认证的用户划分到不同的VLAN。用户认证成功后,认证服务器将指定VLAN授权给用户。
2)ACL:用户认证成功后,认证服务器将指定ACL授权给用户,则设备会根据该ACL对用户报文进行控制。
3)UCL Group:UCL(User Control List,用户控制列表)Group 是网络成员的集合。UCL Group里面的成员,可以是 PC、Phone 等网络终端设备。借助UCL Group,管理员可以将具有相同网络访问策略的一类用户划分为同个组,然后为其部署一组网络访问策略,满足该类别所有用户的网络访问需求。相对于为每个用户部署网络访问策略,基于UCL Group的网络控制方案能够极大的减少管理员的工作量。

补充说明:
1)虽然认证服务器下发授权信息,但是认证服务器下发的是授权规则的索引(比如 ACL 的 ID 值),而具体的授权策略需要预先在 NAC-DEV 中预先配置;

认证事件授权

用户在认证过程中遇到不同事件时(如认证前、认证失败、认证服务器失效等),需要拥有一定的权限。

根据认证事件授权的方式(一般是非认证成功状态的授权),又被称为逃生,对于不同的认证方式,有不同的逃生方案,有些逃生方案是共有的,有些逃生方案只有特定的认证方式才支持。详细内容请查阅相应产品文档中“NAC逃生”相关内容。

授权参数:
1)VLAN:授予用户相应VLAN内的资源访问权限。
2)用户组(UCL Group):根据用户组对具有相同特征的用户进行权限下发。
3)业务方案(service-scheme):可在业务方案内绑定UCL Group、VLAN、QoS-profile等参数。