Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

Версия 1 Следующий »

Введение

Ниже приведена диаграмма портальной авторизации на ТД, подключенной через контроллер WLC:

В общем случае клиент проходит следующие шаги в ходе выполнения портальной авторизации:

  1. Подключается к ТД.
  2. ТД выполняет MAB аутентификацию устройства пользователя.
  3. WLC выполняет проксирование RADIUS запроса авторизации, что бы со стороны NAICE выглядело как подключение со стороны одного устройства (WLC).
  4. RADIUS-запрос приходит в NAICE и он в соответствии с настройкой политик проверяет наличие гостевого эндпоинта в БД.
  5. Т.к. подключение происходит в первый раз - эндпоинт не найден, вместе с ответом Access-Accept возвращаются параметры с адресом портала для редиректа и ACL со списком разрешенных ресурсов, в которые должен быть включен  адрес портала на адрес WLC.
  6. WLC проксирует ответ на ТД, от которой был получен запрос.
  7. Клиент получает IP-адрес и пытается получить доступ в Интернет. В ответ ТД начинает возвращать редирект со ссылкой на портал.
  8. Пользовательское устройство получая ссылку редиректа открывает всплывающий браузер и открывает страницу портальной авторизации.
  9. Успешно пройдя портальную авторизацию (по логину/паролю или с регистрацией и подтверждением номера по СМС) для устройства клиента добавляется запись о гостевом эндпоинте, содержащая мак-адрес клиента.
  10. После успешной авторизации на портале на WLC отправляется запрос CoA re-authenticate.
  11. WLC пернаправляет данный запрос на ТД.
  12. ТД выполняет повторную ре-аутентификацию устройства пользователя с использованием MAB аутентификации.
  13. NAICE, повторно получив запрос, в соответствии с настройкой политик проверяет наличие гостевого эндпоинта в БД. 
  14. Т.к. ранее пользователь прошел регистрацию на портале - гостевой эндпоинт в БД есть. На ТД отправляется Access-Accept и пользователь получает доступ в сеть.

Устройство пользователя отключается от SSID сразу после попытки подключения

Открыть раздел Мониторинг → RADIUS → Пользовательские сессии и посмотреть какой ответ получает ТД или WLC при попытке выполнить MAB-аутентификацию. Как правило такое поведение наблюдается, если в ответ NAICE отправляет Access-Reject. При этом, при включенной на ТД опции disconnect-on-reject будет выполнятся отключение пользователя от ТД без попытки редиректа. По условиям корректной настройки портальной авторизации требуется что бы ТД всегда получала Access-Accept при попытке аутентификации портальных пользователей. Необходимо проанализировать настройку политик NAICE, под какие политики попадет пользователь и настроить их корректным способом.

Устройство пользователя не может получить IP-адрес после подключения к SSID с портальной авторизацией

Проверить корректность настройки сетевого оборудования на всей транспортной сети до DHCP -сервера и убедиться в возможности пользователя получить IP-адрес.

Выполняется редирект на портал, но страница портала не открывается. После срабатывания таймаута браузера IP-адрес портала не совпадает с реальным адресом портала

Данная ситуация возникает, если ТД или WLC не получает ответы на RADIUS-запросы. В этом случае она выполняет редирект пользователя использую ссылку по умолчанию "http://192.168.0.1:8080/eltex_portal/" в настройках SSID, т.к. не получает ответ от RADIUS-сервера.

Требуется:

  • убедиться в возможности обмена трафиком между ТД или WLC и NAICE по порту UDP:1812;
  • убедиться, что ТД или WLC добавлены в NAICE как сетевое устройство;
  • убедиться, что секретный ключ RADIUS корректно указан в настройках ТД или WLC.

При необходимости выполнить диагностику в соответствии с инструкцией v0.9_9.2 Диагностика взаимодействия с сетевым устройством по протоколу RADIUS.

Выполняется редирект на портал, но страница портала не открывается. После срабатывания таймаута браузера IP-адрес портала совпадает с реальным адресом  портала

Требуется проверить и при необходимости исправить:

  • корректность настройки ACL на ТД или WLC;
  • корректность указания имени ACL в настройках профиля авторизации: имя указанное в профиле должно совпадать с именем ACL настроенной на ТД.

Что бы быстро определить какие атрибуты выдаются ТД при подключении пользователя требуется перейти в раздел Мониторинг → RADIUS → Пользовательские сессии и открыть вкладку Подробнее пользовательской сессии:

Информация о выданных атрибутах содержится в блоке Результат. Так же требуется проверить, что RADIUS-запросы авторизации пользователя попадают под нужные политики и используется ожидаемый профиль авторизации.

Выполняется редирект на портал, страница портала открывается, но пользователь после ввода логина/пароля или кода из СМС видит сообщение "Доступ запрещен. Что-то пошло не так."

Причинами данного поведения могут быть:

  • ТД не ответила на CoA после ввода логина пароля или кода из СМС. В сессии пользователя это выглядит так:

    Требуется проверить:
    • Корректность указания секретного ключа CoA на ТД или WLC - он должен совпадать с секретным ключом RADIUS.
    • Корректность указания порта CoA в настройках ТД или WLC и совпадение его с настройками, указанными в профиле устройства.
    • Возможность прохождения трафика на указанный порт CoA в сторону ТД или WLC и ответа на него.
  • Для аутентификации пользователей используется внешний источник идентификаций, который в текущий момент не доступен. В сессии пользователя при этом не будет попытки выполнить CoA запрос со стороны NAICE:

    Требуется проверить:
    • доступность внешнего источника идентификаций;
    • корректность настройки взаимодействия с внешним источником.
  • Нет меток