...

Алгоритм работы

...

Клиент подключается к открытому SSID. При первом подключении клиента , для него пока отсутствует учетная запись во внешней системе (в RADIUS-сервере), поэтому весь клиентский трафик блокируется, кроме:

...

После подключения клиента , ТД пытается провести MAB-авторизацию (MAC Authentication Bypass) авторизацию на RADIUS-сервере, подставляя MAC-адрес клиента в атрибуты User-Name и User-Password в запросе Access-Request к RADIUS-серверу. Так как на RADIUS-сервере учетная запись с такими параметрами на данный момент отсутствует, он сервер отправляет Access-Reject.

Далее клиент обращается на HTTP-ресурс. ТД перехватывает его запрос и перенаправляет клиента на гостевой портал, который был задан в настройках SSID (portal-profile).   Клиент переходит на портал по полученному URL, который содержит в себе:

• switch_url – URL для перенаправления клиента после  после авторизации на портале
• ap_mac - – MAC-адрес ТД, к которой подключен клиент 
• client_mac – MAC-адрес клиента
• wlan – название SSID, к которому подключен клиент
• redirect – URL, который клиент запрашивал первоначально

...

• username – имя пользователя;
• password – пароль пользователя;
• redirect_url – URL, который клиент запрашивал первоначально,   портал может подменил адрес. В нашем примере клиент пытался подключиться к http://www.msftconnecttest.com, но его перенаправили на https://eltex-co.ru;
• error_url – URL для перенаправления клиента в случае ошибки авторизации. В нашем примере этот параметр не используется.

Пример  Пример URL:

http://redirect.loc:10081/?username=60336144&password=3hMYEPEW0tdb&buttonClicked=4&redirect_url=https://eltex-co.ru/

На устройстве клиента открывается URL редиректа, полученный от портала. ТД вычитывает из него username и password, подставляет их в атрибуты User-Name и User-Password в запросе Access-Request и отправляет запрос на RADIUS-сервер. После успешной авторизации клиента на RADIUS-сервере,   ТД ТД снимает ограничения на доступ и перенаправляет клиента на URL, указанный в redirect_url.   После регистрации пользователя , его учетная запись для MAB-авторизации создается в БД RADIUS.

В случае переподключения клиента к ТД  ТД или подключения к другой  другой ТД (к тому же SSID) , авторизация будет проходить по MAC-адресу, ; на запрос Access-Request  Request MAB-авторизации вернется Access-Accept,   так как  как на RADIUS  RADIUS-сервере уже есть соответствующая учетная запись клиента  клиента (MAB-авторизация запрашивается при подключение клиента  клиента к ТД,   если ТД не "помнит" клиента).   Перенаправление  Перенаправление клиента на портал происходить не будет до тех пор, пока MAC-адрес клиента не будет удален из БД.

...

Пример настроек будет выполнен на factory конфигурации  конфигурации WLC.

Порядок настройки:

1. Создаем белый список URL
2. Создаем белый список IP-адресов
3. Создаем portal-profile
4. Создаем radius-profile
5. Создаем ssid-profile
6. Добавляем ssid-profile в ap-location 

...

1. Создаем белый список URL, он может содержать  содержать URL и/или RegExp. Доступ к указанным адресам будет  будет разрешён до авторизации.

   Блок кода
   object-group url white_url url eltex-co.ru regexp '(.+\.)eltex-co\.com' exit

   
   

2. Создаем белый список IP-адресов, доступ к указанным адресам будет  будет разрешён до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.

   Блок кода
   object-group network white_ip ip prefix 192.168.0.0/24 exit

   
   

3. Создаем portal-profile.
   Описание  параметров:
   redirect-url –  адрес  адрес портала;
   age-timeout – временной интервал, в течение которого точка доступа "помнит" клиента и не проводит MAB-авторизацию;
   verification-mode –  режим работы портала;
   white-list domain  – белый список URL;
   white-list address – белый список IP-адресов.

   Блок кода
   wlc portal-profile portal-pr redirect-url https://eltex-co.ru age-timeout 10 verification-mode external-portal white-list domain white_url white-list address white_ip exit exit

   
   

   Информация

   При режиме verification-mode external-portal к указанному URL в redirect-url автоматически добавляются параметры таким образом, что результирующий URL имеет вид: Блок кода https://eltex-co.ru/?switch_url=<SWITCH_URL>&ap_mac=<AP_MAC>&client_mac=<CLIENT_MAC>&wlan=<SSID> Если необходимо изменить названия параметров: параметров switch_url, ap_mac, client_mac, wlan, можно задать строку самостоятельно через параметр redirect-url-custom, например: Блок кода redirect-url-custom https://eltex-co.ru/?action_url=<SWITCH_URL>&ap_addr=<AP_MAC>&client_addr=<CLIENT_MAC>&ssid_name=<SSID> В примере были изменены следующие названия параметров: switch_url → action_url ap_mac → ap_addr client_mac →client_addr wlan →ssid_name

   
   

4. Создаем radius-profile.

   Блок кода
   wlc radius-profile portal_radius auth-address 192.168.4.5 auth-password ascii-text encrypted 92BB3C7EB50C5AFE80 auth-acct-id-send acct-enable acct-address 192.168.4.5 acct-password ascii-text encrypted 92BB3C7EB50C5AFE80 acct-periodic acct-interval 300 exit exit

   
   

5. Создаем ssid-profile.

   Блок кода
   wlc ssid-profile portal_test ssid portal_test radius-profile portal_radius portal-enable portal-profile portal-pr vlan-id 3 band 5g enable exit exit

   
   

6. Добавляем ssid-profile в ap-location location. 

   Блок кода
   wlc ap-location default-location description default-location mode tunnel ap-profile default-ap ssid-profile portal_test exit exit

   
   

...