Сравнение версий

Старая версия 8

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия 9

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Далее приведен пример настройки Eltex WLC-30 (v.1.30.6) с точкой WEP-30L (2.8.0). Предполагается, что на контроллере уже настроен IP-адрес, обеспечена сетевая связность с сервером WNAM. Руководство по обновлению ПО Eltex WLC-30 можно найти по ссылке. Полностью ознакомиться с документацией по настройке контроллера можно на официальном сайте компании https://eltex.ru. За основу будет взята заводская конфигурация, пример настройки которой доступен по ссылке. Подробней с алгоритмом сброса к заводской конфигурации можно ознакомиться в инструкции Quickstart.

Предупреждение
titleРазличие конфигурации устройств

Физическая конфигурация интерфейсов устройств WLC-15, WLC-30 и WLC-3200 различается между собой. Попытка применения настроек для одной модели устройства на другую может вызвать ошибку инициализации интерфейсов.

...

Ниже рассмотрен пример настройки RADIUS-сервера и проксирования RADIUS-запросов ТД на внешний RADIUS-сервер (подробнее в инструкции Настройка проксирования на внешний RADIUS).

Блок кода
languageplain
radius-server local
  nas AP_subnet                    # Подсеть ТД, на которую будет выполняться проксирование CoA-запросов
    key ascii-text testing123
    network 192.168.1.0/24
  exit
  virtual-server default
    mode proxy
    upstream-pool wnam
    das-server enable
    nas-ip-address 100.127.2.200   # Адрес WLC, который будет заменять в поле NAS-IP-Address адрес ТД при выполнении проксирования RADIUS-запросов
    enable
  exit
  upstream-server wnam
    host 93.180.6.157             # Адрес WNAM, на который выполняется проксирование RADIUS-запросов от ТД
    server-type all
    key ascii-text eltex123
  exit
  upstream-pool wnam
    server-type all
    upstream-server wnam
  exit
  enable
exit

...

В конфигурацию WLC необходимо внести настройки (общий принцип работы описан в статье Авторизация через RADIUS).
На WLC настройте профиль SSID, включите портальную авторизацию, создайте профиль для портала, на ТД в настройках RADIUS-профиля укажите настройку, чтобы MAC-адрес пользователя подставлялся в пароль.

...

Примечание

В данной тестовой настройке сертификаты не использовались. Подробнее про использование сертификатов в статье по ссылке.

Раскрыть
titleИспользование сертификатов для сокрытия передаваемых учетных данных (username, password), между клиентом и ТД

Для повышения безопасности передачи данных между клиентом и ТД необходимо обеспечить шифрование трафика с использованием SSL.

Для этого требуется:

  • SSL-сертификат (формат PEM);

  • Приватный ключ (формат PEM).

Предупреждение

На ТД возможно использовать RSA-сертификаты. ECDSA-сертификаты не поддержаны.

Для защиты приватного ключа в схеме с портальной авторизацией рекомендуется использовать пароль.

Стандартный процесс выпуска сертификатов не предусматривает автоматическое шифрование приватного ключа. Однако это можно выполнить вручную с помощью утилиты OpenSSL.

Команда для шифрования ключа:

Блок кода
languagebash
openssl rsa -aes256 -in private_key.pem -out private_key_encrypted.pem

Параметры:

  • -aes256 – алгоритм шифрования (можно заменить на -aes128 или -aes192);

  • -in private_key.pem – исходный незашифрованный ключ;

  • -out private_key_encrypted.pem – зашифрованный ключ.

После выполнения команды OpenSSL запросит пароль, который будет использоваться для защиты ключа.

Этот подход обеспечит дополнительный уровень защиты приватного ключа от несанкционированного доступа.

Подсказка

Данная процедура проводится вне процесса выпуска сертификата и является дополнительной мерой безопасности.

После шифрования ключа его необходимо добавить к сертификату, например через текстовый редактор. Файл сертификата с зашифрованным ключом должен иметь вид:

Блок кода
languagepy
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----

Загрузите файл сертификата с зашифрованным ключом на контроллер WLC в директорию crypto:cert/

Настройте проверку сертификата и включите режим HTTPs:

Блок кода
languagepy
wlc
  ap-profile default-ap
    captive-portal
      ap-ip-alias certificate_alias
      crypto cert certificate_encrypted.pem
      crypto private-key-password ascii-text password
      proxy-https
    exit

Перед применением конфигурации произойдёт проверка псевдонима сертификата и пароля зашифрованного ключа.

Допустимо использовать сертификат без зашифрованного ключа. В таком случае приватный ключ добавляется к сертификату. Настройка crypto private-key-password не требуется.

Формат файла для сертификата без зашифрованного ключа:

Блок кода
languagepy
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Конфигурация:

Блок кода
languagepy
wlc
  ap-profile default-ap
    captive-portal
      ap-ip-alias certificate_alias
      crypto cert certificate.pem
      proxy-https
    exit

...

В заводской конфигурации WLC-30 предусмотрено автоматическое подключение точек доступа к контроллеру. Для этого требуется подключить точку доступа в порт gi1/0/2, и контроллер WLC сам выполнит обновление, если версия ПО на точке доступа не соответствует версии, которая размещена на контроллере, выполнит конфигурирование в соответствии с настройками: выбранными профилями конфигурации и SSID. Инструкцию по загрузке актуальной версии ПО точек доступа на контроллер можно найти по ссылке. 

Scroll Pagebreak

Настройка WNAM

...

Авторизация без ограничений после идентификации клиента на портале

 

Авторизация без ограничений

...

после отключения от ТД и подключения снова или подключения к другой ТД (если сессия клиента не истекла)

Параметры записи о пользователе

...