...
В статье будет рассмотрена настройка проксирования RADIUS запросов от ТД через контроллер WLC в NAC систему. ТД является устройством идентификации (NAS - клиент), RADIUS запросы будут исходить от ТД. Контроллер WLC выполняет роль посредника в общении ТД и NAC системы.
...
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Диаграмма взаимодействия
ТД самостоятельное устройство идентификации, возможно несколько схем взаимодействия ТД и RADIUS-серверомсервера:
- Взаимодействие ТД с локальным RADIUS-сервером, настроенным на контроллере WLC;
Список пользователей Wi-Fi хранится в конфигурации контроллера. На контроллере запущен RADIUS-сервер, который выполняет проверку пользователей самостоятельно. Подробное описание в статье Настройка локального RADIUS-сервера - Взаимодействие ТД с внешним RADIUS-сервером.
Список пользователей хранится на внешнем сервере. На контроллере запущен RADIUS-сервер, который выполняет проксирование RADIUS запросов на вышестоящий сервере.
...
- -
...
- сервер, который выполняет проксирование RADIUS запросов на вышестоящий сервере.
В на беспроводном контроллере WLC. В таком архитектурном решении локальный RADIUS-сервера не обслуживает запросы, а пересылает (проксирует) приходящие RADIUS-запросы от ТД на внешний сервер и доставляет ответы от внешнего сервера обратно к ТД.В данной статье описана настройка контроллера для проксирования RADIUS-запросов при работе с внешним RADIUS-сервером, т.е. вторая схема.
Проксирование RADIUS запросов позволяет использовать общее хранилище учетных данных пользователи Wi-Fi. Для успешной авторизации, на внешнем RADIUS-сервере необходимо наличие учетных записей для пользователей и IP-адрес адреса контроллера WLC в NAS, который выступает в качестве клиента на внешнем вышестоящем RADIUS-сервере. При проксировании предоставлена возможность можно настроить подмену NAS-IP, который будет устанавливаться в пересылаемые RADIUS запросы от ТД. В таком случае на внешнем RADIUS-сервере нужно добавить один NAS-объект, которым являться WLC.
Перед началом рекомендуется Рекомендуется ознакомиться с базовой настройкой подключения ТД к контроллеру WLC, которая описана в статье: Настрoйка WLC.
...
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
При подключении к SSID клиент вводит учетные данные в виде логина (username) и пароля (password), которые приходят на ТД. ТД отправляет запрос (Access-Request) на RADIUS-сервер WLC, в атрибуте NAS-IP будет задан IP-адрес ТД. На WLC настроено проксированием на внешний RADIUS-сервер. Получив от ТД запрос (Access-Request), WLC подменит NAS-IP на IP-адрес, который указан в конфигурации и отправит запрос на внешний RADIUS-сервер. Внешний RADIUS-сервер может проверить наличие записи NAS-IP WLC, в свой конфигурации. Если запись найдена, проверка учетной записи завершится успешно, внешний RADIUS-сервер отправляет ответ (Access-Accept) в сторону WLC. WLC, в свою очередь, получив ответ от внешнего RADIUS-сервера пересылает ответ ТД.
...
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
В данном примере внешний RADIUS-сервер на входящий запрос (Access-Request), ответ (Access-Reject). Может быть две причины такого ответа.
...
| draw.io Diagram | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Данный пример описывает проблему ответа о запрете доступа (Access-Reject), на запрос (Access-Request).
...