| Оглавление |
|---|
Алгоритм работы
| Информация |
|---|
Поддержано начиная с версий: Устройства: WLC-15/30/3200, ESR-15/15R/30/3200 Версия ПО WLC: 1.26.0 Устройства: WEP-1L, WEP/WOP-2L, WEP-200L, WEP/WOP-30L, WEP-/30L-Z, WOP-20L/200L и WOP-2L/20L/30L/30LS Версия ПО ТД: 2.5.20 |
На ТД поддержан способ портальной авторизации по упрощенной схемечерез RADIUS.
На первом этапе, при Клиент подключается к открытому SSID. При первом подключении клиента , для него пока отсутствует учетная запись во внешней системе (в RADIUS-сервере), поэтому весь клиентский трафик блокируется, кроме:
- DHCP
- DNS
- Запросы Запросов на адрес портала
- HTTPЗапросов URL/HTTPS IP из белого списка списка
После подключения клиента , ТД пытается провести MAB-авторизацию (MAC Authentication Bypass) авторизацию на RADIUS-сервере, подставляя MAC-адрес клиента в атрибуты User-Name и User-Password в запросе Access-Request к RADIUS-серверу. Так как на RADIUS-сервере учетная запись с такими параметрами на данный момент отсутствует, он сервер отправляет Access-Reject.
Далее клиент обращается на HTTP-ресурс. ТД перехватывает его запрос и перенаправляет клиента на гостевой портал, который был задан в настройках SSID (portal-profile). Клиент переходит на портал по полученному URL, который содержит в себе:
- switch_url – URL для перенаправления клиента после после авторизации на портале
- ap_mac - – MAC-адрес ТД, к которой подключен клиент
- client_mac – MAC-адрес клиента
- wlan – название SSID, к которому подключен клиент
- redirect – URL, который клиент запрашивал первоначально
...
Далее пользователь проходит саморегистрацию на гостевом портале и через форму портала ему возвращается ссылка URL редиректа на ТД, которая который содержит параметры:
- username – имя username – имя пользователя;
- password – пароль password – пароль пользователя;
- redirect_url – URLurl – URL, который клиент запрашивал первоначально, портал может т.к. портал, возможно, подменил адрес. В нашем примере клиент пытался подключиться к http://www.msftconnecttest.com, но его перенаправили на https://eltex-co.ru;
- error_url – URL для перенаправления клиента в случае ошибки авторизации. В нашем примере этот параметр не используется.
| Информация |
|---|
Названия параметров можно переопределить в конфигурации ap-profile. |
Пример ссылкиПример URL:
| Блок кода |
|---|
http://redirect.loc:10081/?username=60336144&password=3hMYEPEW0tdb&buttonClicked=4&redirect_url=https://eltex-co.ru/ |
Далее клиент переходит по полученной ссылкеНа устройстве клиента открывается URL редиректа, полученный от портала. ТД вычитывает из нее него username и password, подставляет их в атрибуты User-Name и User-Password в запросе Access-Request и отправляет запрос на RADIUS-сервер. После успешной авторизации клиента на RADIUS сервер-сервере, ТД ТД снимает ограничения на доступ и перенаправляет клиента на URL, указанный в redirect_url. После После регистрации пользователя его учетная запись для MAB-авторизации создается в БД RADIUS.
В случае переподключения клиента к ТД ТД или подключения к другой другой ТД (к тому же SSID) , авторизация будет проходить по MAC-адресу, ; на запрос Access-Request Request MAB-авторизации вернется Access-Accept, так как RADIUS сервер знает так как на RADIUS-сервере уже есть соответствующая учетная запись клиента (MAB-авторизация запрашивается при подключение клиента подключении клиента к ТД, если ТД не "помнит" клиента). Перенаправление Перенаправление клиента на портал происходить не будет до тех пор, пока MAC-адрес клиента не будет удален из БД.
Конфигурация WLC
Пример настроек будет выполнен на factory конфигурации конфигурации WLC.
Порядок настройки:
- Создаем белый список URL
- Создаем белый список IP-адресов
- Создаем portal-profile
- Создаем radius-profile
- Создаем ssid-profile
- Добавляем ssid-profile в ap-location
Белые списки предназначены для того, чтобы в случае необходимости предоставить пользователю доступ к определенным ресурсам до авторизации. Список этих ресурсов можно задать через URL, RegExp или подсеть IP. Белые списки не являются обязательными. Адрес портала добавляется в белый список автоматически, поэтому задавать его не требуется.
Создаем белый список URL, он будет содержать URL и RegExp, доступ к этим адресам будет разрешёнможет содержать URL и/или RegExp. Доступ к указанным адресам будет разрешён до авторизации.
Блок кода object-group url white_url url eltex-co.ru regexp '(.+\.)eltex-co\.com' exit
Создаем белый список IP-адресов, доступ к этим указанным адресам будет разрешёнбудет разрешён до авторизации. В белый список можно добавлять адреса подсетей, которые нужны для авторизации.
Блок кода object-group network white_ip ip prefix 192.168.0.0/24 ip prefix 192.168.1.0/24 ip prefix 100.110.0.0/23 exitИнформация При режиме external-portal строка redirect-url формируется как
Блок кода exitСоздаем portal-profile.
Описание параметров:
redirect-url – адрес портала;
age-timeout – временной интервал, в течение которого точка доступа "помнит" клиента и не проводит MAB-авторизацию;
verification-mode – режим работы портала;
white-list domain – белый список URL;
white-list address – белый список IP-адресов.Блок кода wlc portal-profile portal-pr redirect-url https://eltex-co.ru age-timeout 10 verification-mode external-portal white-list domain white_url white-list address white_ip exit exitИнформация При режиме verification-mode external-portal к указанному URL в redirect-url автоматически добавляются параметры таким образом, что результирующий URL имеет вид:
Блок кода https://eltex-co.ru/?switch_url=<SWITCH_URL>&ap_mac=<AP_MAC>&client_mac=<CLIENT_MAC>&wlan=<SSID>&redirect=<ORIGINAL_URL>Если необходимо изменить названия параметров: параметров switch_url, ap_mac, client_mac, wlan, redirect можно задать задать строку самостоятельно через redirectчерез параметр redirect-url-custom, например:
Названия параметров были измененыБлок кода redirect-url-custom https://eltex-co.ru/?action_url=<SWITCH_URL>&ap_addr=<AP_MAC>&client_addr=<CLIENT_MAC>&ssid_name=<SSID>
&red_url=<ORIGINAL_URL>&nas=<NAS_ID>В примере в строку был добавлен <NAS_ID> и были изменены следующие названия параметров:
- switch_url → action_url
- ap_mac → ap_addr
- client_mac →client_addr
- wlan →ssid_name
- Создаем portal-profile
Описание параметров:
redirect-url – адрес портала;
age-timeout – временной интервал, в течение которого точка доступа "помнит" клиента;
verification-mode – режим работы портала;
white-list – белый список URL;
white_ip – белый список IP адресов.Блок кода
Строка редиректа может содержать плейсхолдеры:
- <NAS_ID>
- <SWITCH_URL>
- <AP_MAC>
- <CLIENT_MAC>
- <SSID>
- <ORIGINAL_URL>
Создаем radius-profile.
Блок кода wlc radius-profile portal_radius auth-address 192.168.4.5 auth-password ascii-text encrypted 92BB3C7EB50C5AFE80 auth-acct-id-send acct-enable acct-address 192.168.4.5 acct-password ascii-text encrypted 92BB3C7EB50C5AFE80 acct-periodic acct-interval 300 exit exitScroll Pagebreak Создаем ssid-profile.
Блок кода wlc ssid-profile portal_test ssid portal_test radius-profile portal_radius portal-enable portal-profile portal-pr vlan-id 3 band 5g enable exit exitДобавляем ssid-profile в ap-location location.
Блок кода wlc ap-location default-location description default-location mode tunnel ap-profile default-ap ssid-profile portal_test exit exit
Полная конфигурация
| Раскрыть | |||||
|---|---|---|---|---|---|
|
Диаграмма подключения
| Drawio | |||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
| Scroll Pagebreak |
|---|