Сравнение версий

Старая версия 3

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

по сравнению с

Новая версия 4

changes.mady.by.user Сервисный центр Wi-Fi

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.


Оглавление

Интеграция со сторонними NAC системами

Cisco ISE - Гостевой портал + ТД Realtek 2.5.5 build 14 (задача по тестированию #301370)

...

Описание реализации на ТД: Портальная авторизация Cisco-like
Задача по реализации функционала: #277209

Настройка на стороне ТД

...

Настройка на стороне ТД


Команды для настройки внешней портальной авторизации (ссылка на инструкция: https://docs.eltex-co.ru/pages/viewpage.action?pageId=444825607#id-РуководствопоэксплуатацииWEP-30L,WEP-30L-Z-НастройкаVAPсвнешнейпортальнойавторизацией)

...

Таблица 9 — Настройка URL шаблона для внешней портальной авторизации

Параметр

Описание

<NAS_ID>NAS ID, заданный на VAP или в system. Если не задан ни один из этих параметров, то в качестве NAS ID в RADIUS- и HTTP(S)-пакетах будет использоваться MAC-адрес ТД
<SWITCH_URL>доменное имя, которое показывается клиенту при перенаправлении
<AP_MAC>MAC-адрес точки доступа 
<CLIENT_MAC>MAC-адрес клиента
<SSID>SSID
<ORIGINAL_URL>

URL, который изначально запрашивал клиент


Блок кода
languagebash
themeRDark
titleЧасть конфига ТД относящаяся к настройке портала
            radius:
               auth-port: 1812
               auth-address: 100.110.0.161
               auth-password: testing123
               auth-acct-id-send: true
               tls-enable: false
               acct-enable: true
               acct-port: 1813
               acct-address: 100.110.0.161
               acct-password: testing123
               acct-periodic: false
               acct-interval: 600
               acct-wait-ip: false
               domain: root
               nas-id:
            captive-portal:
               enabled: true
               verification-mode: external-portal
               age-timeout: 1
               default-white-list:
               scenarios:
                  scenario-redirect:
                     name: scenario-redirect
                     access-type: forbid
                     index: 1
                     redirect-url: https://100.110.0.161:8443/portal/PortalSetup.action?portal=f09aaac2-f101-45ed-832f-fda201ab7639?action_url=<SWITCH_URL>&redirect=<ORIGINAL_URL>&ap_mac=<AP_MAC>
                     virtual-portal-name: default
                     auth-scenario: scenario-access
                  scenario-access:
                     name: scenario-access
                     access-type: allow
                     index: 2
                     deauth-scenario: scenario-redirect

...

Взаимодействие ТД с порталом Cisco ISE:

...

  1. При первом подключении клиента (ISE ничего о нем не знает, ТД тоже), ТД пытается пройти MAB авторизацию на NAC сервере, подставляя MAC адрес клиента в атрибуты User-Name и User-Password запроса access-request к Radius серверу. Так-как ISE ничего не знает о данном клиенте, он присылает access-reject
  2. После того как ТД получила access-reject она отправляет клиенту ссылку редиректа на гостевой портал ISE (который был в ТД прописан при настройки SSID) формата: https://100.110.0.161:8443/portal/PortalSetup.action?portal=f09aaac2-f101-45ed-832f-fda201ab7639?action_url=http%3A%2F%2Fredirect%2Eloc%3A10081%2F&redirect=http%3A%2F%2Fconnectivitycheck%2Egstatic%2Ecom%2Fgenerate%5F204&ap_mac=68%3A13%3AE2%3AC2%3A19%3A70 при этом навешивая ACL, с доступом только до гостевого портала.
  3. После саморегистрации пользователя на гостевом портале и успешного логина через форму портала, по присланному логину и паролю, информация об устройстве как устройство MAB заносится в базу Endpoins, в которой содержится в том числе мак клиента. А клиенту возвращается ссылка редиректа на proxy сервис ТД, содержащая в себе адрес сайта, на который клиент хотел попасть изначально, логин и пароль, под которым клиент успешно залогинился на гостевом портале. Ссылка вида: http://redirect.loc:10081/?token=CYO1UK0IE1KI8BIWVNBJYR8WTNGAK1TP&buttonClicked=4&err_flag=0&err_msg=&info_flag=0&info_msg=&redirect_url=http%3A%2F%2Fconnectivitycheck.gstatic.com%2Fgenerate_204&username=Gena&password=Password414
  4. Когда клиент переходит по этой ссылке ТД вычитывает из нее логин и пароль и подставляет в атрибуты User-Name и User-Password запроса access-request , radius успешно авторизует клиента и ТД снимает ACL на доступ клиента и редиректит на изначально запрашиваемый пользователем портал.
  5. После отключения от SSID и подключения заново или подключения к другой ТД (к тому же SSID), авторизация будет проходить по mac адресу (так-как этот сценарий реализован в логике ТД "external portal" и срабатывает при подключении к SSID, если ТД не "помнит" клиента). И редиректа пользователя на портал происходить не будет, до тех пор, пока endpoint клиента не будет удален из базы, в ручную или автоматически (по какой-то настроенной логике)

...

Рис.2 Процесс авторизации зарегистрированного клиента(MAB)

Результаты тестирования:

...

Проверил возможность MAB (mac) авторизации пользователей на портале. Работает .
Cisco ISE распознает подставляемые в атрибутах User-Name (запроса access-request ) mac-адрес и по нему находит "конечную точку" в базе Endpoins (конечно после того, как пользователь зарегился и успешно аутентифицировался через портал). Проверку User-Password отключил, так-как ТД передает 'nopassword", а Cisco ISE ожидает мак-адрес. Если для кого-то из клиентов это будет критично, необходимо на ТД необходимо будет реализовать передачу в атрибуте User-Password mac-адрес клиента в таком же виде как и в атрибуте User-Name (без разделителей)

...

В задаче #308897 идет проработка требований для реализации сценариев Норникеля, для реализации которых так-же потребуется доработка передачи, приема и обработка атрибутов radius и CoA.

Настройка Cisco ISE:

...

Создаем Network Device Profile. В нашем случае Eltex
 

...

Radius Live Logs: авторизации клиента по EAP-TLS 

Якорь
Настройка на стороне ТД
Настройка на стороне ТД

Дампы EAPOL обмена и Radius обмена
dump-ise-eapol_TLS.pcap         dump-ise-radius_TLS.pcap

...

Так-же EAP-Chaining будет работать и в случае EAP-FAST, но это подразумевает использование Cisco AnyConnect, в качестве суппликанта.

Настройка ТД WOP-30LS 

...

Настройка

...

WOP-30LS

...

Настройка WOP-30LS  c тестовой прошивкой 2.5.5 build 14 (задача #317673), в которой реализована передача Radius атрибута Service-Type, происходит как для обычной Enterprise авторизации Настройка VAP с Enterprise-авторизацией

Настройка AD для выдачи пользовательского и машинного сертификата

...

Настройка AD для выдачи пользовательского и машинного сертификата

  1. Перейти в Certificate Authority > Certificate Templates > Manage
  2. Для машинного сертификата копировать 'Workstation Authentication' шаблон и задать ему имя ('machine auth' в этом примере)
  3. В настройках шаблона на вкладке Security,  разрешить Allow Read, Enroll and Autoenroll для 'Domain Computers'
  4. Для сертификата пользователя скопировать  'User' шаблон и изменить его имя ('user auth' в нашем примере)
  5. В настройках шаблона на вкладке Security, разрешить Allow Read, Enroll and Autoenroll для 'Domain Users'

...

Как только все настройки будут выполнены,можно либо перезагрузить компьютер пользователя, либо принудительно обновить объект групповой политики, запустив gpupdate /force в командной строке, чтобы получить сертификаты. Можно просмотреть сертификаты в консоли MMC (certlm.msc). На скринах ниже представлены как пользовательский, так и машинный сертификаты.


Настройка Cisco ISE

Якорь
Настройка Cisco ISE
Настройка Cisco ISE

В данном разделе описываются только настройки индивидуальные для авторизации EAP-TEAP, остальные настройки (привязка ТД, генерация и привязка сертификатов AD-CS) идентичны настройкам Гостевого портала и EAP-TLS 

...

Диаграмма взаимодействия пользователя WiFi, AP, BRAS_WLC, портала и Radius сервера WNAM

...


Файл дампа RADIUS обмена radius_wnam.pcap

...