WLC-Series Documentation 1.26
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

На ТД поддержан способ портальной авторизации по упрощенной схеме.

При первом подключении клиента никто не знает о нем, ТД пытается пройти MAB (MAC Authentication Bypass) )авторизацию на NAC сервере, подставляя MAC адрес клиента в атрибуты UserName и User-Password запроса access-request к Radius серверу. Так-как внешняя системе ничего не знает о данном клиенте, она присылает access-reject.

После того как ТД получила access-reject она отправляет клиенту ссылку редиректа на гостевой портал, который был в ТД задан в настройках SSID (portla-profile).


формата: https://100.110.0.161:8443/portal/PortalSetup.action?portal=f09aaac2-f101-45ed-832f-fda201ab7639?
action_url=http%3A%2F%2Fredirect%2Eloc%3A10081%2F&redirect=http%3A%2F%2Fconnectivitychec
k%2Egstatic%2Ecom%2Fgenerate%5F204&ap_mac=68%3A13%3AE2%3AC2%3A19%3A70 при этом
навешивая ACL, с доступом только до гостевого портала.


После саморегистрации пользователя на гостевом портале через форму портала, по присланному логину и паролю, клиенту возвращается ссылка редиректа на proxy сервис ТД, содержащая в себе:

  • адрес сайта, на который клиент хотел попасть изначально,
  • логин и пароль, под которым клиент успешно авторизовался на гостевом портале.

Ссылка вида: http://redirect.loc:10081/?token=CYO1UK0IE1KI8BIWVNBJYR8WTNGAK1TP&buttonClicked=4&err_flag=0&err_msg=&info_flag=0&info_msg=&redirect_url=http%3A%2F%2Fconnectivitycheck.gstatic.com%2Fgenerate_204&username=Gena&password=Password414
Когда клиент переходит по этой ссылке, ТД вычитывает из нее username и password, подставляет их в атрибуты User-Name и User-Password запроса access-request и отправляет запрос на RADIUS сервер. После успешной авторизации клиента на RADIUS сервер,  ТД снимает ACL на доступ и редиректит на изначально запрашиваемый пользователем ресурс.

После отключения от SSID и подключения к текущей или другой  ТД (к тому же SSID), авторизация будет проходить по MAC адресу, но так как  NAC  система уже  знает клиента на access-request запрос MAB авторизации вернется access-accept (так-как этот сценарий реализован в логике
ТД "external portal" и срабатывает при подключении к SSID, если ТД не "помнит" клиента). И
редиректа пользователя на портал происходить не будет, до тех пор, пока endpoint клиента не
будет удален из базы, в ручную или автоматически (по какой-то настроенной логике)


  • Нет меток