| Оглавление |
|---|
Описание
...
В контроллере WLC есть возможность проксирования RADIUS запросов ТД на внешний RADIUS-сервер для Enterprise-авторизации.
В данной статье описаны:
- настройка проксирования RADIUS-запросов;
- пояснение логики работы авторизации;
- возможные сценарии ошибок авторизации на внешнем RADIUS-сервере.
Проксирование RADIUS запросов решает одну из главных проблем в Enterprise авторизации. Для успешной авторизации, помимо наличия учетных записей для пользователей, необходимо добавлять подсеть или адрес ТД, которая будет обслуживаться RADIUS-сервером. При настроенном проксировании можно настроить параметр подмены NAS-IP, который будет устанавливаться на все пересылаемые RADIUS запросы от ТД. В таком случае на внешнем RADIUS-сервере остается добавить только одну запись об обслуживаемых клиентах, которым будет являться WLC с настроенным проксированием.
Перед началом рекомендуется ознакомиться с базовой настройкой подключения ТД к контроллеру WLC, которая описана в статье: Настрoйка WLC.
Лицензирование
...
Для настройки проксирования RADIUS запросов необходима лицензия WLC-AP для WLC.
Детально о том, как установить и применить лицензию описано в статье – Активация функционала по лицензии.
Проверить наличие лицензии можно с помощью команды show licence:
| Блок кода | ||
|---|---|---|
| ||
wlc-30# show licence
Feature Source State Value Valid from Expiries
-------------------------------- -------- ----------- -------------------------------- -------------------- --------------------
WLC Boot Active true -- --
WLC Boot Candidate true -- --
WLC-AP File Active 100 -- --
WLC-AP File Candidate 100 -- --
WLC-WIDS-WIPS File Active true -- --
WLC-WIDS-WIPS File Candidate true -- -- |
Логика работы Enterprise авторизации
...
Успешная авторизация клиента
Рассмотрим поэтапную работу при Enterprise авторизации. Ниже на диаграмме представлен пример успешной авторизации пользователя с проксированием на внешний RADIUS-сервер.
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
При подключении к SSID клиент вводит учетные данные в виде Логина (username) и Пароля (password), которые приходят на ТД. ТД отправляет запрос (Access-Request), в котором один из главных параметров NAS-IP имеет ip-адрес ТД, на RADIUS-сервер WLC. WLC, с настроенным проксированием на внешний RADIUS-сервер, получив от ТД запрос (Access-Request), подменяет NAS-IP на ip-адрес, который указан в настройках конфигурации проксирования. Затем WLC пересылает запрос ТД на внешний RADIUS-сервер с измененным NAS-IP. Внешний RADIUS-сервер проверяет, существует ли запись NAS-IP WLC, в базе данных. Если запись найдена внешний RADIUS-сервер отправляет ответ (Access-Accept) WLC. WLC, в свою очередь, получив ответ от внешнего RADIUS-сервера пересылает ответ ТД.
Затем ТД отправляет запрос (Accouting-Request) на WLC. WLC снова подменяет NAS-IP и пересылает запрос на внешний RADIUS-сервер. На данном этапе внешний RADIUS-сервер проверяет наличие учетной записи. В случае наличия учетной записи в базе данных, внешний RADIUS-сервер отправляет ответ (Accouting-Response) WLC. WLC пересылает ТД, а ТД отправляет клиенту разрешение на подключение.
Запрет доступа по причине неправильного NAS-IP
Рассмотрим один из вариантов запрета доступа, где причиной является отсутствие записи о NAS-IP в базе данных внешнего RADIUS-сервера.
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
В данном примере внешний RADIUS-сервер на входящий запрос (Access-Request), ответ (Access-Reject). Может быть две причины такого ответа.
При настройке проксирования RADIUS запросов на WLC указывается параметр подмены NAS-IP, в случае, если он не указан, запросы будут пересылаться на внешний RADIUS-сервер без подмены NAS-IP. В результате внешний RADIUS-сервер получит запрос с NAS-IP ТД. В таком случае на внешнем RADIUS-сервере необходимо добавлять подсеть каждой ТД, где настроена Enterprise авторизация. Если же параметр подмены NAS-IP в конфигурации проксирования RADIUS на WLC настроен, но внешний RADIUS-сервер присылает ответ о запрете доступа (Access-Reject), необходим проверить наличие подсети или адреса WLC в базе данных внешнего RADIUS-сервера.
Запрет доступа по причине неправильных вводимых учетных данных
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Данный пример описывает проблему ответа о запрете доступа (Accouting-Reject), на запрос (Accouting-Request).
Причиной такого ответа является отсутствие учетной записи в базе данных внешнего RADIUS-сервера, под которыми авторизуется клиент. В таком случае необходимо проверить наличие учетной записи в базе данных внешнего RADIUS-сервера, а также корректность вводимых данных клиента, так как может быть допущена опечатка.
Конфигурация WLC
...
Настраиваем локальный RADIUS-сервер
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc(config-radius)# nas ap wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 192.168.1.0/24 wlc(config-radius-nas)# exit |
...
...
| Подсказка | ||
|---|---|---|
| ||
При схеме подключения ТД через L3 сеть с Data Sofrgre-туннелем необходимо настроить NAS local для построения Softgre-туннеля при обращении на локальный RADIUS-сервер. |
...
...
| Блок кода | ||||
|---|---|---|---|---|
| ||||
wlc(config-radius)# nas local wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# network 127.0.0.1/32 wlc(config-radius-nas)# exit |
...
Настройки виртуального сервера содержат номера портов для аутентификации и аккаунтинга, настройки проксирования на внешний RADIUS server. Использование стандартных портов (1812 для аутентификации и 1813 для аккаунтинга) не требует настройки. Для проксирования RADIUS-запросов на внешний сервер необходимо включить proxy-mode:
...