...
В разделе "Конфигурация" → "Сервера доступа" создайте запись о сервере доступа типа Cisco WLC (сервер доступа – контроллер), укажите адрес, имя и местоположение (логин и пароль не используются).
Во вкладке RADIUS в параметрах "Атрибуты предварительной авторизации" укажите:
...
Также необходимо указать секретный RADIUS-ключ (который указали на контроллере в настройках ААА-сервера) и включить МАС-авторизацию.
| Предупреждение |
|---|
Если сеть, в которой находится контроллер, ещё не была глобально разрешена для работы системы WNAM в настройках "Конфигурация" → "Дополнительные настройки" (ключ "radiusd_networks"), необходимо добавить сеть. |
...
Затем необходимо настроить запись о площадке оказания услуги (раздел "Конфигурация" → "Площадки"). Также можно указать название сети (SSID) и в качестве "Дополнительный ID" указать название "Сервера доступа" (NAS).
На вкладке "Авторизация" выберите метод "Ввод кода с ваучера" и "Запомнить авторизацию" на 3 минуты (что для теста авторизации вполне достаточно).
Также для теста авторизации можно выбрать метод "Отправка СМС абоненту", провайдера СМС "Тестовый провайдер (без отправки)" и тогда идентификация на портале (в рамках теста авторизации) будет проходить по присланному коду, после ввода фейкового номера телефона (на нашем тестовом стенде данный функционал не доступен, поэтому используем ваучеры).
На вкладке "Приветствие" выберите, куда будет направляться клиент после финального редиректа. В нашем случае на сайт https://eltex.ru/
Создание ваучеров для авторизации
Конфигурация → Гостевая авторизация → Ваучеры → Создать группу ваучеров
В дальнейшем коды данных ваучеров будут использоваться для авторизации клиентов на гостевом портале.
...
| Примечание |
|---|
Тэг должен быть уникальным и совпадать с соответствующим правилом авторизации (если сработало правило аутентификации, далее по данному тегу запускается соответствующее правило авторизации). |
Создание правила аутентификации для доступа клиента в Internet
Данное правило проверяет наличие MAC-адреса в хранилище гостевых эндпоинтов. MAC-адрес попадает туда после того, как клиент идентифицировал себе на гостевом портале. Поэтому в настройках "Эндпоит" выберите пункт "Известен и валиден", а в "Результат" — "Allow (и проверять правила авторизации)".
Создание правил авторизации
...
| Примечание |
|---|
Правило привязывается по совпадению тега (должен быть такой же, как в соответствующем правиле аутентификации). |
Второе правило авторизации для предоставления доступа в Internet
Результатом должно стать: отправка пакета Radius 'Access-Accept' контроллеру (NAS), без дополнительных атрибутов (ссылки редиректа и ACL). Пример настройки представлен на скрине ниже.
Тестирование работоспособности
Якорь Тестирование работоспособности Тестирование работоспособности
| Тестирование работоспособности | |
| Тестирование работоспособности |
После подключения к сети (если клиент не идентифицировался ранее на портале или его сессия не истекла), то клиент будет перенаправлен на гостевой портал.
...
Диагностика → Корпоративные подключения
Первоначальная авторизация с ограничением по ACL и редиректом на портал
Авторизация без ограничений после идентификации клиента на портале
Авторизация без ограничений, после отключения от ТД и подключения снова или подключения к другой ТД (если сессия клиента не истекла)
Параметры записи о пользователе
Вкладка "Пользователи"
Вкладка "Сессии"
Логи системы (shell)
Radiuslog
...