Внимание! Использование контроллера в режиме WebAuth категорически не рекомендуется. Вы должны настраивать контроллер для работы по схеме CWA.
Настройка совместной работы системы WNAM и беспроводного контроллера Cisco WLC сводится к следующим этапам:
- Создание списков доступа (ACL) для безусловного пропуска трафика пользователей к серверу авторизации.
- Указанию ссылки редиректа сессии пользователя на страницу авторизации системы WNAM.
- Включение дополнительно авторизации (Layer 3 security) для выбранной радио-сети.
- Настройки взаимодействия с RADIUS-сервером для учёта сессий и трафика авторизовавшихся пользователей.
- Настройка системы WNAM.
Работа механизма веб-авторизации пользователей подробно описана на сайте производителя. Сначала необходимо создать список доступа с произвольным именем в интерфейса администратора контроллера, в представленном примере используется имя "welcome-wnam".
Затем необходимо добавить в этот список разрешающие правила. Они должны обеспечивать трафик от пользователей до адреса веб-сервера, на котором работает ПО WNAM. В примере ниже используется IP-адрес сервера системы WNAM - 10.20.30.36. Необходимо указать корректный TCP-порт веб-сервера. Он зависит от того, как установлена система WNAM и как запущен Tomcat - на порту 80 (HTTP, как в примере ниже) или на порту 8080. Необходимо задать два правила - от клиента к серверу и от сервера клиенту.
Теперь необходимо указать ссылку-редирект, куда встроенный в контроллер портал перехвата будет направлять пользовательскую сессию для продолжения авторизации. В данном примере - это встроенный компонент на сервере системы WNAM с адресом 10.20.30.36 (полная ссылка имеет вид: http://10.20.30.36/cp/cisco). При этом, не имеет значение, какой механизм дальнейшей авторизации пользовательской сессии (прозрачный, с СМС-подтверждением, с кодом доступа и т.п.) настроен в системе WNAM. Ссылка на контроллере будет одна и та же.
Также можно указать URL перенаправления (Redirect URL after login), но если соответствующий URL настроен и в системе WNAM, он будет иметь больший приоритет.
Затем необходимо зайти в настройки контроллера через интерфейс командной строки и ввести дополнительные команды. Необходимо отключить HTTPS-шифрование для веб-авторизации (настройка через GUI доступна только для версии контроллера 7.3 и выше):
config network web-auth secureweb disable
Необходимо выключить поддержку обхода Apple Captive Network Assistant (CNA) для корректной работы iOS устройств:
config network web-auth captive-bypass disable
Затем необходимо сохранить конфигурацию и перезагрузить контроллер. Обе указанные выше команды требуют перезагрузки. Сохранение конфигурации и перезагрузка контроллера выполняются командами:
save config
reset system
После перезагрузки контроллера необходимо для выбранной беспроводной сети (WLAN) включить дополнительную авторизацию на уровне 3. Необходимо также указать созданный ранее список доступа (Preauthentication ACL IPv4).
При этом на 2 уровне можно оставить прозрачный (беспарольный) доступ к сети либо использовать авторизацию WPA/WPA2 PSK.
Для корректной работы учёта сессий необходимо убедиться, что в соседней вкладке включено использование серверов авторизации и учёта (это RADIUS-сервера). Если в вашей сети используется несколько RADIUS-серверов (например, для обслуживания других SSID через WPS2 Enterprise), необходимо в этом окне явно указать сервера системы WNAM. Можно также включить отправку промежуточных сведений учёта (Interim update).
Далее необходимо создать записи о серверах авторизации и учёта. Это будет один и тот же сервер с адресом 10.20.30.36 (сервер системы WNAM) и стандартными портами 1812 и 1813. Следует обратить внимание на тип передаваемого идентификатора Called Station и разделитель в MAC-адресе.
Настройки FreeRADIUS (/etc/freeradius/clients.conf) должны содержать верный IP-адрес контроллера и такой же ключ (shared secret). Если требуется иметь возможность отключать работающего абонента через интерфейс администратора системы WNAM, необходимо указать в поле Support for RFC 3576 значение "Enable" (этим разрешается механизм Pacoet of Disconnect и Change of Authority).
На этом настройка завершена. Не забудьте сохранить конфигурационный файл контроллера.
При настройке в интерфейсе администратора системы WNAM сервера доступа следует указать все параметры (раздел "Конфигурация" → "Сервера доступа").
IP-адрес, указанный в настройке, должен совпадать с параметром RADIUS-сообщений "NAS-IP-Address", получаемых с контроллера (RADIUS-клиента). Логин и пароль нужны для обращения к контроллеру по протоколу Telnet для получения перечня точек доступа (не обязательно). Порт и ключ (RADIUS-ключ) нужны для принудительного отключения активных абонентов.
Дополнительная настройка для безусловного пропуска известных абонентов
В случае, если требуется, чтобы беспроводный контроллер пускал в сеть уже известных системе абонентов (тех, кто ранее прошел идентификацию через СМС/звонок/ваучер/Госуслуги) автоматически и без всплывающих окон, рекламы и других действий со стороны пользователя, необходимо выполнить следующее:
- Сменить пароль взаимодействия между FreeRADIUS и контроллером по протоколам RADIUS Auth и Acct на "password" (либо другой пароль, прописанный в wnam-freeradius-bridge.pl и wnam.properties). Пароль меняется, соответственно, в файле /etc/freeradius/clients.conf и в разделе Security-AAA-RADIUS-Authentication и затем Accounting.
- Изменить параметры MAC-авторизации на контроллере в разделе Security-MAC Filtering.
- Добавить параметр "MAC Filtering" в L2 настройке профиля Wi-Fi сети.
- Изменить параметр "Layer 3 Security" на "On MAC Filter failure" в L3 настройке профиля Wi-Fi сети.
- В настройках параметров о пользователе в разделе "Пользователи" перевести запись о пользователе, которому разрешен такой доступ, в категорию VIP (не забыть нажать "сохранить").
Указанные изменения приводят к следующему: при подключении абонента к Wi-Fi сети контроллер Cisco WLC прежде, чем организовать его перенаправление на сервер системы WNAM и даже прежде, чем выдать IP-адрес, проводит предварительную проверку по МАС-адресу на сервере системы WNAM через RADIUS:
rad_recv: Access-Request packet from host 10.208.144.213 port 32769, id=63, length=168
User-Name = "5c:57:ca:3c:0f:4c"
Called-Station-Id = "00:21:55:4e:15:d0:tmp"
Calling-Station-Id = "5c:57:ca:3c:0f:4c"
NAS-Port = 1
NAS-IP-Address = 10.208.144.213
NAS-Identifier = "tmp-wlan"
Airespace-Wlan-Id = 2
User-Password = "password"
Service-Type = Call-Check
Framed-MTU = 1300
NAS-Port-Type = Wireless-802.11
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "406"
На такой запрос система WNAM отвечает сообщением "OK" или "FAIL" в зависимости от того, существует ли абонент с указанным адресом в БД и выполнены ли условия допуска. Условия допуска абонента: если абонент присутствует, уже проходил идентификацию, срок действия идентификации не закончился, статус абонента в режиме "VIP пользователь (без рекламы)", происходит автоматическое создание авторизованной сессии на контроллере и допуск абонента в сеть и аккаунтинг трафика (Acct Start). В таком случае система WNAM сразу создает в своей базе запись о начавшейся сессии абонента и начинает учитывать трафик. Абонент не должен выполнять никаких дополнительных действий для входа в сеть.
В остальных случаях, если при запросе типа "Call-Check" абонента в базе не найдено (не верный статус, идентификация истекла) и система WNAM возвращает сообщение "FAIL", то контроллер переводит сессию абонента в статус "WEBAUTH_REQD", то есть производится обычное перенаправление HTTP-сессии абонента на страницу авторизации для входа в сеть, и работает обычный механизм системы WNAM.
Подробная информация по VIP-пользователям представлена в соответствующем разделе настоящей документации (раздел VIP пользователи).