Оглавление |
---|
Operating algorithm
Информация |
---|
Supported from versions: Devices: WLC-15/30/3200, ESR-15/15R/30/3200 WLC firmware version: 1.26.0 Devices: WEP WEP-1L/2L/30L/30L-Z/200L и WOP-2L/20L/30L/30LS AP firmware version: 2.5.0 |
RADIUS portal authorisation method is supported on the access point (next thereafter "AP").
The client connects to an open SSID. When the client first connects, there is no account for the client in the external system (RADIUS server) yet, therefore all client traffic is blocked except:
- DHCP;
- DNS;
- Requests to the portal address;
- URL/IP whitelist request.
After the client is connected, the AP tries to perform MAC Authentication Bypass (MAB) on the RADIUS server by substituting the client's MAC address into the User-Name and User-Password attributes in the Access-Request to the RADIUS server. Since the RADIUS server does not currently have an account with these parameters, the server sends an Access-Reject.
Next, the client accesses the HTTP resource. The AP intercepts the request and redirects the client to the guest portal that was set in the SSID (portal-profile) settings. The client goes to the portal using the received URL, which contains:
- switch_url – url – URL for redirecting the client after authorisation on the portal;
- ap_mac – MAC-адрес ТД, к которой подключен клиент
- client_mac – MAC-адрес клиента
- wlan – название SSID, к которому подключен клиент
- redirect – URL, который клиент запрашивал первоначально
...
- – MAC address of the AP to which the client is connected;
- client_mac – MAC address of the client;
- wlan – name of the SSID to which the client is connected;
- redirect – the URL that the client originally requested.
URL example:
Блок кода |
---|
https://eltex-co.ru/?switch_url=http://redirect.loc:10081&ap_mac=68:13:E2:35:1F:30&client_mac=38:d5:7a:e1:e0:13&wlan=Portal-SSID&redirect=http://www.msftconnecttest.com/connecttest.txt |
Далее пользователь проходит саморегистрацию на гостевом портале и через форму портала ему возвращается URL редиректа на ТД, который содержит параметры:
...
Next, the user self-registers on the guest portal and is returned a redirect URL to the AP via the portal form, which contains parameters:
- username – user name;
- password – user password;
- redirect_url – URL that the client originally requested as the portal may have spoofed the address. In our example, the client tried to connect to http://www.msftconnecttest.com, но его перенаправили на but was redirected to https://eltex-co.ru;
- error_url – URL для перенаправления клиента в случае ошибки авторизации. В нашем примере этот параметр не используется.
Информация |
---|
Названия параметров можно переопределить в конфигурации ap-profile. |
...
- for redirecting the client in case of authorisation error. This parameter is not used in our example.
Информация |
---|
Parameter names can be redefined in the ap-profile configuration. |
URL example:
Блок кода |
---|
http://redirect.loc:10081/?username=60336144&password=3hMYEPEW0tdb&buttonClicked=4&redirect_url=https://eltex-co.ru/ |
На устройстве клиента открывается URL редиректа, полученный от портала. ТД вычитывает из него username и password, подставляет их в атрибуты User-Name и User-Password в запросе Access-Request и отправляет запрос на RADIUS-сервер. После успешной авторизации клиента на RADIUS-сервере, ТД снимает ограничения на доступ и перенаправляет клиента на URL, указанный в redirect_url. После регистрации пользователя его учетная запись для MAB-авторизации создается в БД RADIUS.
В случае переподключения клиента к ТД или подключения к другой ТД (к тому же SSID) авторизация будет проходить по MAC-адресу; на запрос Access-Request MAB-авторизации вернется Access-Accept, так как на RADIUS-сервере уже есть соответствующая учетная запись клиента (MAB-авторизация запрашивается при подключение клиента к ТД, если ТД не "помнит" клиента). Перенаправление клиента на портал происходить не будет до тех пор, пока MAC-адрес клиента не будет удален из БД.
Конфигурация WLC
Пример настроек будет выполнен на factory конфигурации WLC.
Порядок настройки:
- Создаем белый список URL
- Создаем белый список IP-адресов
- Создаем portal-profile
- Создаем radius-profile
- Создаем ssid-profile
- Добавляем ssid-profile в ap-location
Белые списки предназначены для того, чтобы в случае необходимости предоставить пользователю доступ к определенным ресурсам до авторизации. Список этих ресурсов можно задать через URL, RegExp или подсеть IP. Белые списки не являются обязательными. Адрес портала добавляется в белый список автоматически, поэтому задавать его не требуется.
...
The client device opens the redirect URL received from the portal. The AP reads username and password from it, substitutes them into the User-Name and User-Password attributes in the Access-Request and sends the request to the RADIUS server. After the client is successfully authorised on the RADIUS server, the AP removes access restrictions and redirects the client to the URL specified in redirect_url. After the user is logged, his account for MAB authorisation is created in the RADIUS database.
If the client reconnects to the AP or connects to another AP (to the same SSID), authorisation will be performed by MAC address; an Access-Request MAB-authorisation request will return Access-Accept, as the RADIUS server already has the corresponding client account (MAB-authorisation is requested when the client connects to the AP, if the AP does not "remember" the client). The client will not be redirected to the portal until the client's MAC address is removed from the database.
WLC configuration
An example of the configuration will be made on the WLC configuration.
Configuration order:
- Create URL whitelist.
- Create IP address whitelist.
- Сreate portal-profile.
- Сreate radius-profile.
- Create ssid-profile.
- Add ssid-profile to ap-location.
Whitelists are designed to allow a user to access certain resources before authorisation if necessary. The list of these resources can be specified via URL, RegExp or IP subnet. Whitelists are not mandatory. The portal address is added to the whitelist automatically, so there is no need to specify it.
Create a whitelist of URLs, it can contain URLs and/or RegExp. Access to the specified addresses will be allowed before authorisation.
Блок кода object-group url white_url url eltex-co.ru regexp '(.+\.)eltex-co\.com' exit
Создаем белый список IP-адресов, доступ к указанным адресам будет разрешён до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизацииCreate a whitelist of IP addresses, access to the specified addresses will be allowed before authorisation. It is possible to add to the whitelist the addresses of subnets that are required for authorisation.
Блок кода object-group network white_ip ip prefix 192.168.0.0/24 exit
Создаем Create portal-profile.
Описание параметровParameters description:
redirect-url – адрес порталаurl – portal address;
age-timeout – временной интервал, в течение которого точка доступа "помнит" клиента и не проводит MAB-авторизациюtimeout – the time interval during which the access point "remembers" the client and does not perform MAB authorisation;
verification-mode – режим работы порталаmode – portal operation mode;
white-list domain – белый список URL – URL whitelist;
white-list address – белый список IP -адресовaddresses whitelist.Блок кода wlc portal-profile portal-pr redirect-url https://eltex-co.ru age-timeout 10 verification-mode external-portal white-list domain white_url white-list address white_ip exit exit
Информация При режиме With verification-mode externalexternal-portal к указанному URL в redirect-url автоматически добавляются параметры таким образом, что результирующий URL имеет вид, parameters are automatically added to the specified URL in redirect-url so that the resulting URL has the form:
Если необходимо изменить названия параметровБлок кода https://eltex-co.ru/?switch_url=<SWITCH_URL>&ap_mac=<AP_MAC>&client_mac=<CLIENT_MAC>&wlan=<SSID>&redirect=<ORIGINAL_URL>
If the names of the parameters switch_url,
apap_mac,
clientclient_mac,
wlanwlan,
redirect можно задать строку самостоятельно через параметрredirect need to be changed, it is possible to specify the line yourself through the parameter redirect-url-custom,
напримерfor example:
Блок кода redirect-url-custom https://eltex-co.ru/?action_url=<SWITCH_URL>&ap_addr=<AP_MAC>&client_addr=<CLIENT_MAC>&ssid_name=<SSID>&red_url=<ORIGINAL_URL>&nas=<NAS_ID>
В примере в строку был добавлен <NAS_ID> и были изменены следующие названия параметровIn the example <NAS_ID> was added to the line and the following parameter names were changed:
- switch_url → action_url
- ap_mac → ap_addr
- client_mac →clientmac → client_addr
- wlan →ssidwlan → ssid_name
- redirect →redredirect → red_url
Строка редиректа может содержать плейсхолдеры:The redirect line may contain placeholders:
- <NAS_ID>
- <SWITCH_URL>
- <AP_MAC>
- <CLIENT_MAC>
- <SSID>
- <ORIGINAL_URL>
Создаем Create radius-profile.
Блок кода wlc radius-profile portal_radius auth-address 192.168.4.5 auth-password ascii-text encrypted 92BB3C7EB50C5AFE80 auth-acct-id-send acct-enable acct-address 192.168.4.5 acct-password ascii-text encrypted 92BB3C7EB50C5AFE80 acct-periodic acct-interval 300 exit exit
Scroll Pagebreak Создаем Create ssid-profile.
Блок кода wlc ssid-profile portal_test ssid portal_test radius-profile portal_radius portal-enable portal-profile portal-pr vlan-id 3 band 5g enable exit exit
Добавляем Add ssid-profile в to ap-location.
Блок кода wlc ap-location default-location description default-location mode tunnel ap-profile default-ap ssid-profile portal_test exit exit
...
Full configuration
Раскрыть | ||
---|---|---|
|
...
Connection diagram
Drawio | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Scroll Pagebreak |
---|