v1.1_4.8 Настройка 802.1x авторизации в связке с WLC+AP

Настройка контроллера

Настройка производится при помощи команд описанных в документации Настройка WLC.

Контроллер должен осуществлять проксирование RADIUS-запросов от ТД на RADIUS-сервер NAICE.

Добавление пользователя

Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации по протоколу LDAP, такими как MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя.

Добавление пользователя доступно в разделе Пользователи и устройства → Управление идентификацией на странице Пользователи сети.

Для добавления пользователя необходимо нажать в левой части поля над таблицей со списком пользователей сети, откроется следующая страница:

Минимально необходимые для заполнения параметры:

• Статус = Включено. Имеется возможность временно выключить пользователя, что позволит запретить ему аутентификацию без удаления учетной записи;
• Логин - логин пользователя, с которым клиент будет проходить аутентификацию;
• Пароль и Подтверждение пароля - пароль пользователя, с которым клиент будет проходить аутентификацию.

Добавление сетевого устройства

На данном шаге требуется описать контроллер и параметры взаимодействия с ним.

Создание сетевого устройства доступно в разделе Пользователи и устройства → Сетевые ресурсы на странице Устройства.

Для добавления устройства необходимо нажать в левой части поля над таблицей со списком устройств, откроется следующая страница:

Минимально необходимые для заполнения параметры:

• Имя - имя устройства;
• Профиль - выбор ранее созданного или существующего профиля сетевого устройства (в данном случае выбираем созданный по умолчанию профиль Eltex WLC);
• IPv4 - IPv4-адрес устройства. Именно он будет использоваться в качестве NAS-IP-Address в наборах политик;
• Секретный ключ (RADIUS secret) - ключ для взаимодействия с сетевым устройством по протоколу RADIUS. Должен совпадать с ключом, настроенным на самом устройстве.

Настройка набора политик аутентификации и авторизации

Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.

Создание и редактирование службы доступных протоколов доступно в разделе Политика → Политики RADIUS. Подробнее можно просмотреть в статье v1.1_4.3 Использование атрибутов при создании логических условий.

Для добавления нового набора политик необходимо нажать , для редактирования существующего набора политик нажать .

Для авторизации пользователей с корректной связкой логин/пароль достаточно отредактировать стандартный набор политик Default, сменив профиль авторизации с DenyAccess на PermitAccess:

Для того, чтобы принять изменения, необходимо нажать Сохранить в правом нижнем углу страницы.

Подключение с использованием смартфона

Для авторизации используем учётные данные созданного ранее пользователя:

В зависимости от модели устройства, может потребоваться либо подтвердить доверие к серверному сертификату (выбрать Доверять), либо включить/выключить проверку сертификата: