...
При первом подключении клиента никто не знает о нем, нём. Клиентский трафик блокируется, кроме:
- DHCP
- DNS
- Запросы до адреса портала
- HTTP/HTTPS из белого списка
ТД пытается пройти MAB (MAC Authentication Bypass) авторизацию на NAC RADIUS сервере, подставляя MAC адрес клиента в атрибуты UserName User-Name и User-Password запроса access-request к Radius Access-Request к RADIUS серверу. Так-как внешняя системе ничего не знает о данном клиенте, она присылает Access-Reject.
Клиент обращается на HTTP ресурс, . ТД перехватывает его запрос и отправляем клиенту ссылку на гостевой портал, который был задан в настройках SSID (portal-profile). Клиент переходит на портал по полученной . Полученной ссылке, содержащая содержит в себе:
- switch_ur URL куда перенаправить клиента после авторизации на портале
- ap_mac - MAC адрес ТД к которой подключен клиента
- client_ma - MAC адрес клиента
- wlan - Имя SSID к которому подключен клиент
- redirect - URL который запрашивал клиент
...
- username - имя пользователя
- password - пароль пользователя
- redirect_url - адрес сайта, на который клиент хотел попасть изначально, портал подменил адрес, так как клиент пытался подключиться к http://www.msftconnecttest.com
Пример ссылки:
| Блок кода |
|---|
http://redirect.loc:10081/?username=60336144&password=3hMYEPEW0tdb&buttonClicked=4&redirect_url=https://eltex-co.ru/ |
Когда клиент Клиент переходит по этой ссылке. ТД вычитывает из нее username и password, подставляет их в атрибуты User-Name и User-Password запроса accessAccess-requestRequest. Отправляет запрос на RADIUS сервер. После успешной авторизации клиента на RADIUS сервер, ТД снимает ACL на доступ и редиректит на redirect_url
...