Решение, реализованное с помощью беспроводного контроллера отличается тем, что в схеме аутентификации посредством NAC систем именно ТД является устройством идентификации. Беспроводной контроллер лишь выполняет роль посредника в общении ТД и NAC системы.
Диаграмма взаимодействия устройства идентификации с NAC-системой.
Так как ТД самостоятельное устройство идентификации на выбор предлагается две схемы взаимодействия ТД и RADIUS-сервером:
Если на ТД указан внешний RADIUS-сервер, беспроводной контроллер никак не учавствует в данной схеме взаимодействия, выполняя роль обычного маршрутизатора, обеспечивающего связность.Существует другая схема реализации взаимодействия ТД с внешним RADIUS-сервером. На ТД, в качестве RADIUS-сервера, указывается локальный RADIUS-сервер на беспроводном контроллере WLC. В таком архитектурном решении локальный RADIUS-сервера не обслуживает запросы, а пересылает (проксирует) приходящие RADIUS-запросы от ТД на внешний сервер и доставляет ответы от внешнего сервера обратно к ТД.
В данной статье описана конфигурация проксирования беспроводного контроллера RADIUS-запросов для реализации схемы работы Enterprise-авторизации с внешним RADIUS-сервером.
Проксирование RADIUS запросов решает одну из главных проблем в Enterprise авторизации. Пользователи могут подключаться к Wi-Fi сети используя общее хранилище учетных данных. Для успешной авторизации, необходимо наличие учетных записей для пользователей и IP-адрес контроллера WLC, который высутпает в качествет обслуживаемого клиента на внешнем RADIUS-сервере. При проксировании предоставлена возиожность настроить подмену NAS-IP, который будет устанавливаться в пересылаемые RADIUS запросы от ТД. В таком случае на внешнем RADIUS-сервере нужно добавить один NAS-объект, которым являться WLC.
Перед началом рекомендуется ознакомиться с базовой настройкой подключения ТД к контроллеру WLC, которая описана в статье: Настрoйка WLC.
Успешная авторизация клиента
Рассмотрим поэтапную работу при Enterprise авторизации. Ниже на диаграмме представлен пример успешной авторизации пользователя с проксированием на внешний RADIUS-сервер.
При подключении к SSID клиент вводит учетные данные в виде логина (username) и пароля (password), которые приходят на ТД. ТД отправляет запрос (Access-Request) на RADIUS-сервер WLC, в атрибуте NAS-IP будет задан IP-адрес ТД. На WLC настроено проксированием на внешний RADIUS-сервер. Получив от ТД запрос (Access-Request), WLC подменит NAS-IP на IP-адрес, который указан в конфигурации и отправит запрос на внешний RADIUS-сервер. Внешний RADIUS-сервер может проверить наличие записи NAS-IP WLC, в свой конфигурации. Если запись найдена, проверка учетной записи завершится успешно, внешний RADIUS-сервер отправляет ответ (Access-Accept) в сторону WLC. WLC, в свою очередь, получив ответ от внешнего RADIUS-сервера пересылает ответ ТД.
После успешного подключения клиента, ТД отправляет запрос (Accouting-Request) на WLC (если отправка включена в конфигурации). WLC подменяет NAS-IP и пересылает запрос на внешний RADIUS-сервер. Внешний RADIUS-сервер отправляет ответ (Accouting-Response) WLC. WLC пересылает запрос ТД
Настроить перенаправление всех RADIUS запросов от ТД из сети 192.168.1.0/24 на сервер:
Производить подмену NAS-IP на 10.10.10.1
Настройка локального RADIUS-сервера:
Переходим в конфигурационный режим
wlc# configure wlc(config)# radius-server local |
Переходим в раздел radius-server local:
wlc(config)# radius-server local |
Настраиваем NAS ap. Необходимо ввести подсети ТД (адресное пространство точке доступа, т.е. их IP-адреса), которые будут обслуживаться локальным RADIUS-сервером при Enterprise-авторизации пользователей Wi-Fi:
wlc(config-radius)# nas ap wlc(config-radius-nas)# network 192.168.1.0/24 wlc(config-radius-nas)# key ascii-text password wlc(config-radius-nas)# exit |
При схеме подключения ТД через L3 сеть (с SoftGRE-туннелями) в конфигурации должна быть настроена запись для NAS local, если она отсутствует нужно её настроить:
|
Настраиваем virtual-server для проксирования RADIUS-запросов на внешний сервер.
Задаём имя virtual-server:
wlc(config-radius)# virtual-server default |
Задаём NAS-IP:
| В локальном RADIUS-сервере есть возможность менять NAS-IP его во всех входящих RADIUS запросах от ТД к WLC. Если параметр не задан, при пересылке RADIUS запросов на внешний сервер в атрибуте NAS-IP будет записан адрес ТД. Это может повлечь за собой ошибки в процессе аутентификации, которые подробно рассмотрены в разделе Возможные проблемы при авторизации (ссылка) |
wlc(config-radius-vserver)# nas-ip-address 10.10.10.1 |
Включаем virtual-server и режим проксирования:
wlc(config-radius-vserver)# proxy-mode wlc(config-radius-vserver)# enable |
Создаём upstream-server для настройки параметров вышестоящего сервера:
wlc(config-radius-vserver)# upstream-server eltex |
Задаём адрес вышестоящего сервера, на этот сервер будут перенаправляться запросы от ТД:
wlc(config-radius-upstream-server)# host 10.10.10.12 |
Включаем режим проксирования для запросов аутентификации и аккаунтинга
Server-type auth — используется для проксирования только запросов аутентификации. Запросы будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812). Server-type acct — используется для проксирования только аккаунтинга. Проксирование осуществляется на порт, указанный в параметре port (по умолчанию – 1812). При необходимости измените его (стандартный порт для аккаунтинга – 1813). Server-type all — используется для проксирования запросов аутентификации и аккаунтинга. Запросы аутентификации будут проксироваться на порт, указанный в параметре port (по умолчанию – 1812), а аккаунтинг будет проксироваться на порт = 'port'+1 (то есть по умолчанию – 1813). |
Выбираем режим all, так как нужно перенаправлять все запросы:
wlc(config-radius-upstream-server)# server-type all |
Задаём ключ для вышестоящего сервера, ключ должен совпадать с ключом заданным в radius-profile в разделе WLC ссылка(нужно проверить корректность создания) :
wlc(config-radius-upstream-server)# key ascii-text password wlc(config-radius-upstream-server)# exit WLC-1(config-radius-vserver)# exit |
Включаем RADIUS сервер:
WLC-1(config-radius-vserver)# enable WLC-1(config-radius-vserver)# exit |
Полная конфигурация radius-server
radius-server local
nas local
key ascii-text encrypted 8CB5107EA7005AFF
network 127.0.0.1/32
exit
nas ap
key ascii-text encrypted 8CB5107EA7005AFF
network 192.168.1.0/24
exit
virtual-server default
proxy-mode
nas-ip-address 10.10.10.1
upstream-server eltex
host 10.10.10.12
server-type all
key ascii-text password
exit
enable
exit
exit |
Настройка в разделе WLC
wlc(config)# wlc |
Настраиваем профиль RADIUS-сервера:
wlc(config-wlc)# radius-profile default-radius |
Поскольку мы настраиваем проксирование запросов аутентификации и аккаунтинга, то в auth-address и acct-address указываем адрес контроллера, который доступен для ТД.
Ключ RADIUS-сервера (auth-password / acct-password) должен совпадать с ключом, указанным для NAS ap, который мы указали в radius-server local ссылка(нужно проверить корректность создания).
wlc(config-wlc-radius-profile)# auth-address 192.168.1.1 wlc(config-wlc-radius-profile)# auth-password ascii-text password wlc(config-wlc-radius-profile)# acct-address 192.168.1.1 wlc(config-wlc-radius-profile)# acct-password ascii-text password |
Если вы используете проксирование на SoftWLC, укажите домен RADIUS. Этот домен должен совпадать с доменом, в котором созданы учетные записи пользователей Enterprise на SoftWLC. |
Включаем отправку аккаунтинга на RADIUS-сервер:
wlc(config-wlc-radius-profile)# acct-enable |
Включаем добавление идентификатора RADIUS сессии в запросах аккаунтинга:
wlc(config-wlc-radius-profile)# auth-acct-id-send |
Задаём временной интервал обновления аккаунтинга:
wlc(config-wlc-radius-profile)# acct-interval 600 |
Конфигурация radius-profile
radius-profile default-radius auth-address 192.168.1.1 auth-password ascii-text ascii-text password auth-acct-id-send acct-enable acct-address 192.168.1.1 acct-password ascii-text ascii-text password acct-periodic acct-interval 600 exit |
Создаем ssid-profile:
wlc(config-wlc)# ssid-profile test_enterprise |
Указываем в ssid-profile ранее настроенный профиль radius-profile:
wlc(config-wlc-ssid-profile)# radius-profile default-radius |
Задаем имя SSID:
wlc(config-wlc-ssid-profile)# ssid "test_enterprise" |
Задаем режим безопасности:
wlc(config-wlc-ssid-profile)# security-mode WPA2_1X |
Задаем VLAN:
WLC-1(config-wlc-ssid-profile)# vlan-id 3 |
Задаем остальные параметры SSID:
WLC-1(config-wlc)# ssid-profile test_enterprise WLC-1(config-wlc-ssid-profile)# description "SSID for enterprise users" WLC-1(config-wlc-ssid-profile)# 802.11kv WLC-1(config-wlc-ssid-profile)# band 2g WLC-1(config-wlc-ssid-profile)# band 5g WLC-1(config-wlc-ssid-profile)# enable WLC-1(config-wlc-ssid-profile)# exit |
Конфигурация ssid-profile:
ssid-profile test_enterprise description "SSID for enterprise users" ssid "test_enterprise" radius-profile default-radius vlan-id 3 security-mode WPA2_1X 802.11kv band 2g band 5g enable exit |
Применяем конфигурацию и подтверждаем.
wlc# commit wlc# confirm |
Для настройки внешнего RADIUS-сервера необходимо записать в таблицу NAS внешнего RADIUS-сервера адрес и ключ локального RADIUS-сервера WLС. |
Конфигурация:
|
Рассмотрим возможные проблемы при авторизации.
Запрет доступа по причине неправильного NAS-IP
Рассмотрим один из вариантов запрета доступа, где причиной является отсутствие записи о NAS-IP в конфигурации внешнего RADIUS-сервера.
В данном примере внешний RADIUS-сервер на входящий запрос (Access-Request), ответ (Access-Reject). Может быть две причины такого ответа.
При настройке проксирования RADIUS запросов на WLC указывается параметр подмены NAS-IP, в случае, если он не указан, запросы будут пересылаться на внешний RADIUS-сервер без подмены NAS-IP. В результате внешний RADIUS-сервер получит запрос с NAS-IP ТД. В таком случае на внешнем RADIUS-сервере необходимо добавлять подсеть ТД в NAS клиенты сервера. Если подмены NAS-IP в конфигурации проксирования RADIUS на WLC настроена, но внешний RADIUS-сервер присылает ответ (Access-Reject), необходим проверить наличие подсети или адреса WLC в конфигурации внешнего RADIUS-сервера.
Запрет доступа по причине ошибки аутентификации
Данный пример описывает проблему ответа о запрете доступа (Access-Reject), на запрос (Access-Request).
Причиной такого ответа является отсутствие учетной записи в базе данных внешнего RADIUS-сервера, под которыми авторизуется клиент. В таком случае необходимо проверить наличие учетной записи в базе данных внешнего RADIUS-сервера, а также корректность вводимых данных клиента, так как может быть допущена опечатка.