如何通过角色分配设定用户上网权限
无线终端通过了用户接入认证以后,需要给用户分配正确的角色来实现授权管理。角色是权限的集合和载体,每一个接入无线网络的用户,NAC都将根据用户的属性分配唯一角色。精细化角色授权管理可以根据用户属性、用户的认证方式、用户地理位置、用户的接入终端类型等的不同来分配不同的角色。
1、根据不同的账号认证特性来授予角色不同的权限
a) 对不同本地账号有不同的用户名、用户组,根据用户组的不同来确定各自的角色权限,如企业不同的员工组有不同的角色权限:研发群组有访问研发内部网络的权限、财务群组有访问企业财务系统的权限,对于企业管理者则可设置更高的访问权限。
b)Radius认证可以根据Radius服务器的地址属性Class和TunnelPrivate Group ID来授予不同的角色不同的权限。
c) 证书认证可以以不同的证书属性作为条件,来区分不同的角色,进行授予不同的权限。
d) 对于LDAP认证可以根据用户的组织单元、安全组和用户名来分配不同的角色权限,从而做到更加精细的角色授权。
2、根据临时访客不同的认证方式进行分配不同的角色
对于短信认证、微信认证、二维码审核、免用户认证、临时访客账号这些不同的认证方式,都可以分配不同的权限的。对于一些需要增加微信公众号粉丝的客户,可以设置微信认证用户的上网权限比其他临时访客认证的上网权限要高,以推动用户自主使用微信认证上网。
这里值得一提的是,对于访客认证,我们可以设置一个临时访客组(根据用户信息进行设置),在一些连锁店可以给该店会员与非会员设置不同的上网权限。
3、根据AP的物理位置不同,来对不同的AP的用户分配不同的角色
对于多AP部署的场景,可以针对AP的物理位置不同,来确定该AP下用户的角色授权,不同的AP所属的用户有不同的上网权限。如可根据企业的办公地理位置的不同来区分,研发大楼AP、综合办大楼AP、展厅AP来给不同的用户分配不同的角色授权。
4、根据不同的终端类型、MAC地址来分配不同的角色
可以针对不同的终端类型来分配不同的角色授权,如在商超场景,对笔记本电脑进行上网限制,避免占用大量的带宽,影响移动终端的使用;在企业办公场所,对员工的移动终端进行上网限制,避免员工在上班时间利用移动终端进行网络聊天等。
也可以根据终端的MAC地址的不同,来绑定用户的的角色权限。