Сравнение версий

Старая версия 14

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Введение

Информация
iconfalse

Начиная с версии WNAM 1.6.4010 доступно взаимодействие системы авторизации с аппаратным контроллером и точками доступа Eltex WLC. Необходимо настроить гостевой портал с авторизацией по коду Ваучера. Другие способы гостевой авторизации выходят за рамки данной статьи, т. к. взаимодействие между WNAM и WLC Eltex не изменяется. При возникновении трудностей с другими видами гостевой авторизации необходимо обратиться к разработчику WNAM.

Примечание

Поддержано начиная с версий:

WLC-15/30/3200 – версия ПО WLC 1.26.1
WEP-1L/2L/30L/30L-Z/200L и WOP-2L/30L/30LS – версия ПО ТД 2.5.0 
WEP-3L – версия ПО ТД 2.6.0 
WEP-3ax – версия ПО ТД 1.13.0

Предупреждение

Перед настройкой авторизации через Web Auth portal необходимо настроить SSID, точки доступа, маршрутизацию, DHCP, а затем протестировать обычный доступ в сеть Интернет без авторизации.

Взаимодействие контроллера с порталом WNAM

  1. При первом подключении клиента ТД пытается пройти MAB-авторизацию на NAC-сервере, подставляя MAC-адрес клиента в атрибуты User-Name и User-Password запроса access-request к RADIUS-серверу WLC. Контроллер проксирует запрос на внешний RADIUS-сервер WNAM. Т. к. WNAM ничего не известно о данном клиенте, он отправляет access-reject на WLC, тот, в свою очередь, на ТД.
  2. После того как ТД получила access-reject, она отправляет клиенту, заранее преднастроенную ссылку перенаправления на гостевой портал WNAM, при этом предоставляя доступ только гостевого портала и ресурсов, указанных в преднастроенном white-list. Пример ссылки: http://93.180.6.157/cp/eltexwlc/?switch_url=http://redirect.loc:10081/&ap_mac=68:13:E2:C2:28:E0&client_mac=78:98:e8:1e:67:07&wlan=!WNAM-Cisco_Like&redirect=http://nmcheck.gnome.org/
  3. После авторизации пользователя на гостевом портале клиенту возвращается ссылка редиректа на ТД, содержащая в себе ссылку финального редиректа (заданного в рамках настройки портала), логин и пароль, созданный порталом при идентификации клиента. Пример ссылки: http://redirect.loc:10081//?username=78:98:E8:1E:67:07&password=password&buttonClicked=4&redirect_url=http%3A%2F%2Fwww.ru%2F
    Используйте HTTPS (TLS-шифрование) для того, чтобы скрыть передаваемые учетные данные (username, password).
  4. Когда клиент переходит по этой ссылке, ТД считывает из нее логин и пароль и подставляет в атрибуты User-Name и User-Password запроса access-request. RADIUS успешно авторизует клиента и ТД снимает ограничения на доступ клиента и перенаправляет по ссылке финального редиректа.
  5. После отключения от SSID и подключения заново или подключения к другой ТД (к тому же SSID), авторизация будет проходить по MAC-адресу (т. к. этот сценарий реализован в логике ТД «external portal» и срабатывает при подключении к SSID, (если истекло значение параметра age-timeout на ТД). Редирект пользователя на портал происходить не будет до тех пор, пока учетная запись клиента не будет удалена из базы, вручную или автоматически (время жизни аккаунта задается при создании портала).
    6.  Устройство
  6.  Устройство абонента получает доступ в сеть Интернет без дополнительных "всплывающих окон" и редиректов.
Примечание

Этот механизм полезен в случае необходимости поддержки роуминга абонентов между точками доступа либо после кратковременного отключения абонентского устройства от радио, но не позволяет управлять сессией уже авторизованного клиента (нельзя отключить клиента посредством протокола radius).

Scroll Pagebreak

Диаграмма процесса авторизации нового клиента

draw.io Diagram
bordertrue
diagramNameДиаграмма
simpleViewerfalse
width
linksauto
tbstyletop
lboxtrue
diagramWidth1133
revision1

Scroll Pagebreak

Пример страницы гостевого портала

Настройка контроллераконтроллера

Далее приведен пример настройки Eltex WLC-30 (v.1.30.6) с точкой WEP-30L (2.8.0). Предполагается Предполагается, что на контроллере уже настроен IP-адрес, обеспечена сетевая связность с сервером WNAM. Руководство по обновлению ПО Eltex WLC-30 можно найти по по ссылке. Полностью ознакомиться с документацией по настройке контроллера можно на официальном сайте компании компании https://eltex.ru. За основу будет взята заводская конфигурация, пример настройки которой доступен по по ссылке. Подробней с алгоритмом сброса к заводской конфигурации можно ознакомиться в инструкции Quickstart.

Предупреждение
titleРазличие конфигурации устройств

Физическая конфигурация интерфейсов устройств WLC-15, WLC-30 и WLC-3200 различается между собой. Попытка применения настроек для одной модели устройства на другую может вызвать ошибку инициализации интерфейсов.

...

Блок кода
languageplain
wlc
  outside-address 192.168.1.1                    # Адрес WLC для ТД
  service-activator
    aps join auto
  exit
  ap-location default-location
    mode tunnel
    ap-profile default-ap
    ssid-profile default-ssid
  exit
  ssid-profile default-ssid
    ssid "!WNAM.test-portal"
    radius-profile default-radius
    portal-enable
    portal-profile default-portal
    vlan-id 3
    band 2g
    band 5g
    enable
  exit
  ap-profile default-ap
    password ascii-text password
  exit
  portal-profile default-portal
    redirect-url http://93.180.6.157/cp/eltexwlc
    age-timeout 1
    verification-mode external-portal
  exit
  radius-profile default-radius
    auth-address 192.168.1.1                    # Адрес WLC во влане точек. Необходимо указать его, как адрес RADIUS-сервера для ТД 
                                                # Иначе WLC не сможет выполнять проксирование и подмену NAS-IP при отправке RADIUS-запроса к WNAM
    auth-password ascii-text testing123
    session password mac
    auth-acct-id-send                   		# Данная настройка является критичной, так как уникальность сессии определяется по атрибуту Acct-Session-Id
    acct-enable
    acct-address 192.168.1.1
    acct-password ascii-text testing123
    acct-periodic
    domain default
  exit
  ip-pool default-ip-pool
    description "default-ip-pool"
    ap-location default-location
  exit
  enable
exit

Добавление правил firewall

Блок кода
languageplain
security zone-pair untrusted self
  rule 2
    action permit
    match protocol udp
    match destination-port object-group radius_auth  # Разрешить UDP-трафик для RADIUS-аутентификации
    enable
  exit
  rule 3
    action permit
    match protocol tcp
    match destination-port object-group ssh          # Разрешить подключение по SSH (Используйте осторожно, если контроллер подключен напрямую к ISP) 
    enable
  exit
  rule 4
    action permit
    match protocol icmp
    enable
  exit
exit

...

Использование сертификатов для сокрытия для сокрытия передаваемых учетных данных (username, password) между клиентом и ТД

Примечание

В данной тестовой настройке сертификаты не использовались. Подробнее про использование сертификатов в статье по ссылке.

Раскрыть
titleИспользование сертификатов для сокрытия передаваемых учетных данных (username, password), между клиентом и ТД

Для повышения безопасности передачи данных между клиентом и ТД необходимо обеспечить шифрование трафика с использованием SSL.

Для этого требуется:

  • SSL-сертификат (формат PEM);

  • Приватный ключ (формат PEM).

Предупреждение

На ТД возможно использовать RSA-сертификаты. ECDSA-сертификаты не поддержаны.

Для защиты приватного ключа в схеме с портальной авторизацией рекомендуется использовать пароль.

Стандартный процесс выпуска сертификатов не предусматривает автоматическое шифрование приватного ключа. Однако это можно выполнить вручную с помощью утилиты OpenSSL.

Команда для шифрования ключа:

Блок кода
languagebash
openssl rsa -aes256 -in private_key.pem -out private_key_encrypted.pem

Параметры:

  • -aes256 – алгоритм шифрования (можно заменить на -aes128 или -aes192);

  • -in private_key.pem – исходный незашифрованный ключ;

  • -out private_key_encrypted.pem – зашифрованный ключ.

После выполнения команды OpenSSL запросит пароль, который будет использоваться для защиты ключа.

Этот подход обеспечит дополнительный уровень защиты приватного ключа от несанкционированного доступа.

Подсказка

Данная процедура проводится вне процесса выпуска сертификата и является дополнительной мерой безопасности.

После шифрования ключа его необходимо добавить к сертификату, например через текстовый редактор. Файл сертификата с зашифрованным ключом должен иметь вид:

Блок кода
languagepy
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----

Загрузите файл сертификата с зашифрованным ключом на контроллер WLC в директорию crypto:cert/

Настройте проверку сертификата и включите режим HTTPs:

Блок кода
languagepy
wlc
  ap-profile default-ap
    captive-portal
      ap-ip-alias certificate_alias
      crypto cert certificate_encrypted.pem
      crypto private-key-password ascii-text password
      proxy-https
    exit

Перед применением конфигурации произойдёт проверка псевдонима сертификата и пароля зашифрованного ключа.

Допустимо использовать сертификат без зашифрованного ключа. В таком случае приватный ключ добавляется к сертификату. Настройка crypto private-key-password не требуется.

Scroll Pagebreak

Формат файла для сертификата без зашифрованного ключа:

Блок кода
languagepy
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Конфигурация:

Блок кода
languagepy
wlc
  ap-profile default-ap
    captive-portal
      ap-ip-alias certificate_alias
      crypto cert certificate.pem
      proxy-https
    exit

Настройка точки доступа

В заводской конфигурации WLC-30 предусмотрено автоматическое подключение точек доступа к контроллеру. Для этого требуется подключить точку доступа в порт gi1/0/2, и контроллер WLC сам выполнит обновление, если версия ПО на точке доступа не соответствует версии, которая размещена на контроллере, выполнит конфигурирование в соответствии с настройками: выбранными профилями конфигурации и SSID. Инструкцию по загрузке актуальной версии ПО точек доступа на контроллер можно найти

...

по ссылке. 

Scroll Pagebreak

Настройка WNAM

Создание "Сервера доступа" (NAS)

В разделе "Конфигурация" → "Сервера доступа" создайте запись о сервере доступа типа Cisco WLC (сервер доступа – контроллер), укажите адрес, имя и местоположение (логин и пароль не используются).


Во вкладке RADIUS укажите секретный RADIUS-ключ, (который указали на контроллере в настройках ААА-сервера) и включите МАС-авторизацию.


Предупреждение

Если сеть, в которой находится контроллер, ещё не была глобально разрешена для работы системы WNAM в настройках "Конфигурация" → "Дополнительные настройки" (ключ "radiusd_networks"), необходимо добавить сеть.

Создание "Площадки" (портала)

...

На вкладке "Приветствие" выберите, куда будет направляться клиент после финального редиректа. В нашем случае на сайт https://eltex.ru/


Правила аутентификации

Правило для редиректа на гостевой портал (создание своего правила или использование дефолтного)

Настройте правило, как на скрине ниже. 

  • Источник запроса – беспроводной;
  • Эндпоинт – не известен и просрочен/не валиден (т. к.
    •  при
  •  при первом подключении наш клиент неизвестен и его MAC-адрес не изучен);
  • Результат
    • – Redirect
  • – Redirect на гостевой портал авторизации (будет возвращен accept-reject и ТД будет перенаправлять запрос пользователя на преднастроенный адрес портала).

При большом количестве правил и при использовании разных политик аутентификаций и авторизаций клиентов, данное правило можно кастомизировать дополнительными параметрами под свои потребности (чтоб данное правило отрабатывало только необходимые запросы radius). Правило аутентификации привязывается к правилу авторизации при помощи тега.

Примечание

Тэг должен быть уникальным и совпадать с соответствующим правилом авторизации (если сработало правило аутентификации, далее по данному тегу запускается соответствующее правило авторизации).

...

Создание правила аутентификации для доступа клиента в Internet

Данное правило проверяет наличие MAC-адреса в хранилище гостевых эндпоинтов. MAC-адрес попадает туда после того, как клиент идентифицировал себе на гостевом портале. Поэтому в настройках "Эндпоит" выберите пункт "Известен и валиден", а в "Результат" — "Allow (и проверять правила авторизации)". 

Image Modified

Создание правил авторизации

Первое правило для редиректа на портал

Результатом должно стать отправка пакета Radius 'Access-Reject' контроллеру (NAS). Пример настройки представлен на скрине ниже. 

Примечание

Правило привязывается по совпадению тега (должен быть такой же, как в соответствующем правиле аутентификации).



Второе правило авторизации для предоставления доступа в Internet

Результатом должно стать отправка пакета Radius 'Access-Accept' контроллеру (NAS). Пример настройки представлен на скрине ниже.


На этом настройка WNAM окончена.

...