...
При первом подключении клиента никто не знает о нем, ТД пытается пройти MAB (MAC Authentication Bypass) ) авторизацию на NAC сервере, подставляя MAC адрес клиента в атрибуты UserName и User-Password запроса access-request к Radius серверу. Так-как внешняя системе ничего не знает о данном клиенте, она присылает accessAccess-rejectReject.
После того как ТД получила access-reject она отправляет клиенту ссылку редиректа Клиент обращается на HTTP ресурс, ТД перехватывает его запрос и отправляем клиенту ссылку на гостевой портал, который был в ТД задан в настройках SSID (portlaportal-profile).формата: Клиент переходит на портал по полученной ссылке, содержащая в себе:
- switch_ur URL куда перенаправить клиента после авторизации на портале
- ap_mac - MAC адрес ТД к которой подключен клиента
- client_ma - MAC адрес клиента
- wlan - Имя SSID к которому подключен клиент
- redirect - URL который запрашивал клиент
Пример ссылки :
Блок кода |
---|
https:// |
...
eltex-co.ru/?switch_url=http://redirect.loc:10081&ap_mac=68:13:E2:35:1F:30&client_mac=38:d5:7a:e1:e0:13&wlan=Portal-SSID&redirect=http://www.msftconnecttest.com/connecttest.txt |
После саморегистрации пользователя на гостевом портале через форму портала, по присланному логину и паролю, клиенту возвращается ссылка редиректа на proxy сервис на ТД, содержащая в себе:
- адрес username - имя пользователя
- password - пароль пользователя
- redirect_url - адрес сайта, на который клиент хотел попасть изначально,
- логин и пароль, под которым клиент успешно авторизовался на гостевом портале.
...
- портал подменил адрес, так как клиент пытался подключиться к http://www.msftconnecttest.com
Пример ссылки
Блок кода |
---|
http://redirect.loc:10081/? |
...
username= |
...
60336144&password=3hMYEPEW0tdb&buttonClicked=4& |
...
redirect_url= |
...
https://eltex-co.ru/ |
Когда клиент переходит по этой ссылке, . ТД вычитывает из нее username и password, подставляет их в атрибуты User-Name и User-Password запроса access-request и отправляет . Отправляет запрос на RADIUS сервер. После успешной авторизации клиента на RADIUS сервер, ТД снимает ACL на доступ и редиректит на изначально запрашиваемый пользователем ресурс.на redirect_url
После отключения от SSID ТД и подключения к текущей или другой ТД (к тому же SSID), авторизация будет проходить по MAC адресу, но так как NAC система уже знает клиента на accessна Access-request Request запрос MAB авторизации вернется accessвернется Access-accept Accept (так-как этот сценарий реализован в логике
ТД "external portal" и срабатывает при подключении к SSID, если ТД не "помнит" клиента). И
редиректа Перенаправления пользователя на портал происходить не будет, до тех пор, пока endpoint MAC адрес клиента не
будет удален из базы, в ручную или автоматически (по какой-то настроенной логике)базы
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|