| Оглавление |
|---|
В версии 1.26.0 реализован функционал MAC-авторизации пользователей.
| Информация |
|---|
Поддержано начиная с версий: Устройства: WLC/ESR-15/30/3200 Версия ПО WLC: 1.26.0 Устройства: WEP-1L, WEP/WOP-2L, WEP-200L, WEP/WOP-30L, WEP-30L-Z, WOP-20L Версия ПО ТД: 2.5.2 Устройства: WEP-3ax Версия ПО ТД: 1.8.0 (для работы с WLC нужно использовать актуальную версию ПО) |
Настройка осуществляется в рамках настройки SSID-профиля. Существует 2 режима работы mac-auth:
- По локальным спискам;
- По записям в RADIUS server.
| Блок кода |
|---|
wlc(config-wlc-ssid-profile)# mac-auth mode local Set MAC authentication local mode radius Set MAC authentication radius mode |
Настройка mac-auth по локальным спискам
Для авторизации по локальным спискам требуется:
Создать object-group mac и указать в данной группе MAC-адреса клиентов
Блок кода wlc# configure wlc(config)# object-group mac test_mac_auth wlc(config-object-group-mac)# mac address 11:11:11:11:11:11 wlc(config-object-group-mac)# mac address 22:22:22:22:22:22 wlc(config-object-group-mac)# exit
Перейти в настройки SSID-профилей (WLC → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth, приведён пример для ssid-profile default-ssid.
Блок кода wlc(config)# wlc wlc(config-wlc)# ssid-profile default-ssid wlc(config-wlc-ssid-profile)# mac-auth mode local policy permit test_mac_auth wlc(config-wlc-ssid-profile)# end
Применить изменения
Блок кода wlc# commit wlc# confirm
| Примечание |
|---|
В данном примере будет разрешено подключение к default-ssid для устройств, чей MAC-адрес указан в профиле MAC-адресов test_mac_auth. Помимо этого возможно настроить следующие варианты: mac-auth mode local policy permit any - разрешить доступ всем |
Настройка mac-auth по спискам на локальном RADIUS сервере
Для авторизации по записям на RADIUS сервере требуется:
Добавить адрес пользователя на RADIUS server в домен, который будет использоваться для авторизации. В данном примере запись создаётся в domain default.
Блок кода wlc# configure wlc(config)# radius-server local wlc(config-radius)# domain default wlc(config-radius-domain)# user 11-11-11-11-11-11 wlc(config-radius-user)# password ascii-text NOPASSWORD wlc(config-radius-user)# ex wlc(config-radius-domain)# ex wlc(config-radius)# ex
Предупреждение В поле user нужно вводить МАС-адрес в формате AA-BB-CC-DD-EE-FF
В поле password нужно вводить NOPASSWORD
Перейти в настройки SSID-профилей (WLC → SSID-PROFILE <NAME>) и добавить правило, необходимое для работы mac-auth, приведён пример для ssid-profile default-ssid.
Настройка проксирования на внешний RADIUS
Блок кода wlc(config)# wlc wlc(config-wlc)# ssid-profile default-ssid wlc(config-wlc-ssid-profile)# mac-auth mode radius policy permit
Применить изменения
Блок кода wlc# commit wlc# confirm
| Примечание |
|---|
Логика работы по записям на RADIUS сервере отличается от логики работы по локальным спискам. |
Если список пользователей находится на внешнем сервере, необходимо настроить проксирование по статье Настройка проксирования на внешний RADIUS (прошу проверить корректность ссылки)