Введение
Диагностика подключения портальных пользователей требует знания логики работы портальной авторизации. Ознакомиться с ней можно в инструкции Пример настройки Captive Portal.
Устройство пользователя отключается от SSID сразу после попытки подключения
Открыть раздел Мониторинг → RADIUS → Пользовательские сессии и посмотреть какой ответ получает ТД или WLC при попытке выполнить MAB-аутентификацию. Как правило такое поведение наблюдается, если в ответ NAICE отправляет Access-Reject. При этом, при включенной на ТД опции disconnect-on-reject будет выполнятся отключение пользователя от ТД без попытки редиректа. По условиям корректной настройки портальной авторизации требуется что бы ТД всегда получала Access-Accept при попытке аутентификации портальных пользователей. Необходимо проанализировать настройку политик NAICE, под какие политики попадет пользователь и настроить их корректным способом.
Устройство пользователя не может получить IP-адрес после подключения к SSID с портальной авторизацией
Проверить корректность настройки сетевого оборудования на всей транспортной сети до DHCP -сервера и убедиться в возможности пользователя получить IP-адрес.
Выполняется редирект на портал, но страница портала не открывается. После срабатывания таймаута браузера IP-адрес портала не совпадает с реальным адресом портала
Данная ситуация возникает, если ТД или WLC не получает ответы на RADIUS-запросы. В этом случае она выполняет редирект пользователя использую ссылку по умолчанию "http://192.168.0.1:8080/eltex_portal/" в настройках SSID, т.к. не получает ответ от RADIUS-сервера.
Требуется:
- убедиться в возможности обмена трафиком между ТД или WLC и NAICE по порту UDP:1812;
- убедиться, что ТД или WLC добавлены в NAICE как сетевое устройство;
- убедиться, что секретный ключ RADIUS корректно указан в настройках ТД или WLC.
При необходимости выполнить диагностику в соответствии с инструкцией v0.9_9.2 Диагностика взаимодействия с сетевым устройством по протоколу RADIUS.
Выполняется редирект на портал, но страница портала не открывается. После срабатывания таймаута браузера IP-адрес портала совпадает с реальным адресом портала
Требуется проверить и при необходимости исправить:
- корректность настройки ACL на ТД или WLC;
- корректность указания имени ACL в настройках профиля авторизации: имя указанное в профиле должно совпадать с именем ACL настроенной на ТД.
Что бы быстро определить какие атрибуты выдаются ТД при подключении пользователя требуется перейти в раздел Мониторинг → RADIUS → Пользовательские сессии и открыть вкладку Подробнее пользовательской сессии:
Информация о выданных атрибутах содержится в блоке Результат. Так же требуется проверить, что RADIUS-запросы авторизации пользователя попадают под нужные политики и используется ожидаемый профиль авторизации.
Выполняется редирект на портал, страница портала открывается, но пользователь после ввода логина/пароля или кода из СМС видит сообщение "Доступ запрещен. Что-то пошло не так."
Причинами данного поведения могут быть:
- ТД не ответила на CoA после ввода логина пароля или кода из СМС. В сессии пользователя это выглядит так:Требуется проверить:
- Корректность синхронизации времени на ТД и сервере NAICE. В случае расхождения ТД не будет обрабатывать CoA запрос. Максимально допустимое расхождение времени 300 сек.
- Корректность указания секретного ключа CoA на ТД или WLC - он должен совпадать с секретным ключом RADIUS.
- Корректность указания порта CoA в настройках ТД или WLC и совпадение его с настройками, указанными в профиле устройства.
- Возможность прохождения трафика на указанный порт CoA в сторону ТД или WLC и ответа на него.
- Для аутентификации пользователей используется внешний источник идентификаций, который в текущий момент не доступен. В сессии пользователя при этом не будет попытки выполнить CoA запрос со стороны NAICE:Требуется проверить:
- доступность внешнего источника идентификаций;
- корректность настройки взаимодействия с внешним источником.