...

Алгоритм работы

...

На ТД поддержан способ портальной авторизации по упрощенной схеме.

При На первом подключении клиента никто не знает о нём. Весь этапе, при подключении клиента, для него пока отсутствует учетная запись во внешней системе (RADIUS сервере), поэтому весь клиентский трафик блокируется, кроме:

• DHCP
• DNS
• Запросы до адреса на адрес портала
• HTTP/HTTPS из белого списка 

После подключения клиента, ТД пытается пройти провести MAB (MAC Authentication Bypass) авторизацию на RADIUS сервере, подставляя MAC адрес клиента в атрибуты User-Name и User-Password запроса в запросе Access-Request к RADIUS серверу. Так -как внешняя системе ничего не знает о данном клиенте, она присылает как на RADIUS сервере учетная запись с такими параметрами на данный момент отсутствует, он отправляет Access-Reject.

Клиент  Далее клиент обращается на HTTP ресурс.   ТД перехватывает его запрос и  отправляем клиенту ссылку и перенаправляет клиента на гостевой портал, который был задан в настройках SSID (portal-profile).  Клиент  Клиент переходит на портал по полученной ссылке,  которая полученному URL, который содержит в себе:

• switch_url – URL  куда перенаправить URL для перенаправления клиента после  авторизации на портале
• ap_mac -– MAC адрес ТД к которой подключен клиента клиент 
• client_ma mac – MAC адрес клиента
• wlan – имя  название SSID, к которому подключен клиент
• redirect – URL, который клиент запрашивал клиентпервоначально

Пример ссылки URL :

https://eltex-co.ru/?switch_url=http://redirect.loc:10081&ap_mac=68:13:E2:35:1F:30&client_mac=38:d5:7a:e1:e0:13&wlan=Portal-SSID&redirect=http://www.msftconnecttest.com/connecttest.txt

После саморегистрации пользователя Далее пользователь проходит саморегистрацию на гостевом портале и через форму портала , клиенту ему возвращается ссылка редиректа на  ТД. Возможные на ТД, которая содержит параметры:

• username – имя пользователя;
• password – пароль пользователя;
• redirect_url – адрес  URL, на который клиент хотел попасть изначальнозапрашивал первоначально,  портал может  может подменил адрес. В нашем примере клиент  клиент пытался подключиться к http://www.msftconnecttest.com, но его перенаправили на https://eltex-co.ru;
• error_url – адрес URL, куда будет переадресован клиент URL для перенаправления клиента в случае ошибки авторизации. В нашем примере этот  этот параметр не используется.

...

http://redirect.loc:10081/?username=60336144&password=3hMYEPEW0tdb&buttonClicked=4&redirect_url=https://eltex-co.ru/

Клиент Далее клиент переходит по этой полученной ссылке. ТД вычитывает из нее username и password, подставляет их в атрибуты User-Name и User-Password запроса в запросе Access-Request . Отправляет и отправляет запрос на RADIUS сервер. После успешной авторизации клиента на RADIUS сервер,  ТД снимает ограничения на доступ и перенаправляет клиента на redirectна URL, указанный в redirect_url.

После отключения от ТД  и переподключения клиента к ТД  или подключения к текущей или другой  ТД (к тому же SSID), авторизация будет проходить по MAC адресу, на запрос Access-Request  MAB авторизации вернется Access-Accept,  так как  RADIUS  сервер  знает клиента ( MAB авторизация запрашивается при подключение клиента  к ТД,  если ТД не "помнит" клиента).  Перенаправления  Перенаправление  клиента на портал происходить не будет , до тех пор, пока MAC адрес клиента не будет удален из БД.

...

1. Создаем белый список URL, он будет содержать  URL и RegExp, доступ к этим адресам будет  разрешён

   Блок кода
   object-group url white_url url eltex-co.ru regexp '(.+\.)eltex-co\.com' exit

   
   

2. Создаем белый список IP адресов, доступ к этим адресам будет  разрешён

   Блок кода
   object-group network white_ip ip prefix 192.168.0.0/24 ip prefix 192.168.1.0/24 ip prefix 100.110.0.0/23 exit

   
   

   Информация

   При режиме external-portal строка redirect-url  формируется  как Блок кода redirect-url https://eltex-co.ru/?switch_url=<SWITCH_URL>&ap_mac=<AP_MAC>&client_mac=<CLIENT_MAC>&wlan=<SSID> Если необходимо изменить имена параметровназвания параметров: switch_url, ap_mac, client_mac, wlan, можно задать  строку самостоятельно через redirect-url-custom Блок кода redirect-url-custom https://eltex-co.ru/?action_url=<SWITCH_URL>&ap_addr=<AP_MAC>&client_addr=<CLIENT_MAC>&ssid_name=<SSID> Имена Названия параметров были изменены: switch_url → action_url ap_mac → ap_addr client_mac →client_addr wlan →ssid_name Создаем portal-profile Описание  параметров: redirect-url –  aдрес  адрес  портала; age-timeout – временной интервал, в течении течение которого точка доступа "помнит" клиента; verification-mode –  режим работы портала; white-list – белый список URL; white_ip – ip – белый список IP адресов. Блок кода wlc portal-profile portal-pr redirect-url https://eltex-co.ru age-timeout 10 verification-mode external-portal white-list domain white_url white-list address white_ip exit exit

   
   

3. Создаем radius-profile

   Блок кода
   wlc radius-profile portal_radius auth-address 192.168.4.5 auth-password ascii-text encrypted 92BB3C7EB50C5AFE80 auth-acct-id-send acct-enable acct-address 192.168.4.5 acct-password ascii-text encrypted 92BB3C7EB50C5AFE80 acct-periodic acct-interval 300 exit exit

   
   

4. Создаем ssid-profile
   

   Блок кода
   wlc ssid-profile portal_test ssid portal_test portal-enable portal-profile portal-pr vlan-id 3 band 5g enable exit exit

   
   

5. Добавляем ssid-profile в ap-location 

   Блок кода
   wlc ap-location default-location description default-location mode tunnel ap-profile default-ap ssid-profile portal_test exit exit

   
   

...