Начиная с версии 1.5 система WNAM поддерживает работу с контроллером FortiWLC и подключенными к нему точками доступа. Контроллер FortiWLC поддерживает авторизацию через внешний портал (сервер системы WNAM) с использованием HTTP/HTTPS-редиректа и последующего запроса к RADIUS-серверу (это также сервер системы WNAM). Ниже приведена инструкция по настройке контроллера (модель FortiWLC 50D-VM версии 8.4.2, виртуальная машина VMware).
Настройка контроллера
Необходимо создать RADIUS-серверы авторизации и аккаунтинга. Для этого следует в интерфейсе контроллера в разделе "RADIUS" во вкладке "ADD" добавить серверы с соответствующими парамметрами. Записи о RADIUS-серверах авторизации и аккаунтинга, а также их параметры представлены на рисунке.
Создание RADIUS-сервера авторизации с параметрами сервера представлено на рисунке (в примере используется следующий адрес сервера системы WNAM - 77.241.ххх.ххх).
Создание RADIUS-сервера аккаутинга с параметрами сервера представлено на рисунке (в примере используется следующий адрес сервера системы WNAM - 77.241.ххх.ххх).
Далее необходимо установить глобальные настройки Captive-портала. Для этого следует перейти в раздел "Captive Portal" во вкладку "Global Settings", установить чекбокс "https" и выбрать параметр "Default" в поле "Certificate".
Запись о созданном профиле Captive-портала (WNAM-CP) можно посмотреть в разделе "Captive Portal" во вкладке "Captive Portal Profiles" интерфейса администратора контроллера.
В результате произведенных действий будет создано правило-исключение для Captive-портала. Информацию о созданном правиле-исключении для Captive-портала можно посмотреть в разделе "Captive Portal" во вкладке "Captive Portal Exemptions" интерфейса администратора контроллера.
Свойства профиля Captive-портала (WNAM-CP), ссылка на RADIUS-профиль и ссылка на URL перенаправления следующая: http://77.241.ххх.ххх/cp/fortiwlc (в поле "FQDN").
Необходимо указать тип внешнего сервера "Fortinet-Connect", если контроллер за NAT его публичный адрес.
Затем следует задать ссылку до сервера системы WNAM (до которого разрешен доступ без авторизации. Для этого следует перейти в раздел "Edit Captive Portal Exemption" и в поле "Added FQDN" вписать ссылку до сервера системы.
Далее необходимо создать профиль безопасности, в котором связаны SSID (здесь используется: sp_FWC-test) и профиль Captive-портала. Значения параметров профиля безопасности представлены на рисунке.
Важным параметром является имя фильтра (wnam_filter), также в данном разделе настроек можно включить МАС-авторизацию на SSID.
В таблице фильтров (раздел "QoS" → "QoS and Firewall Rules" интерфейса администратора контроллера) можно просмотреть правила, которые разрешают трафик по порту 80 от и до сервера системы WNAM.
Для настроек конкретного правила в фильтре необходимо перейти во вкладку "QoS" и установить требуемые параметры правила.
На этом этапе настройка контроллера завершена.
Настройка системы WNAM
В системе WNAM в разделе "Конфигурация" → "Сервера доступа" необходимо создать новую запись с параметрами, представленными на рисунке.
После произведенных настроек текстовый конфигурационный файла контроллера будет содержать строки вида:
radius-profile wnam_radius
description "WNAM Radius server"
ip-address 77.241.xxx.xxx
coa on
radius-timeout 2
radius-retries 3
radius-version 0
key wnam_radius
port 1812
remote-radius-server off
radius-relay-apid 1
mac-delimiter colon
password-type shared-secret
called-station-id-type macaddress-ssid
owner controller
exit
radius-profile wnam_radius_acct
description "WNAM Radius Acct server"
ip-address 77.241.xxx.xxx
coa off
radius-timeout 2
radius-retries 3
radius-version 0
key wnam_radius
port 1813
remote-radius-server off
radius-relay-apid 1
mac-delimiter colon
password-type shared-secret
called-station-id-type macaddress-ssid
owner controller
exitsecurity-profile sp_FWC-test
security-version 0
key-rotation disabled
management-frame-protection-11w disable
allowed-l2-modes open
online-sign-up not-configured
captive-portal webauth
captive-portal-profile WNAM-CP
captive-portal-auth-method external
psk key ""
firewall-capability none
passthrough-firewall-filter-id wnam_filter
firewall-filter-id ""
security-logging on
owner controller
static-wep key ""
static-wep key-index 1
captive-portal-bypass-mac
macfiltering
mac-filter-radius-server primary wnam_radius
mac-filter-radius-server secondary ""
mac-filter-acct-radius-server primary wnam_radius_acct
mac-filter-acct-radius-server secondary ""
mac-filter-state disabled
rekey period 0
group-rekey interval 0
bksa-caching-period 0
radius-server primary ""
radius-server secondary ""
auth-supplicant-timeout 30
auth-server-timeout 30
auth-max-request 4
pae-max-reauth 4
pae-txperiod 30
eapol-key-retries
no kddi
no shared-authentication
no rekey period
no 8021x-network-initiation
no pmk-caching
no reauth
exitqosrule 100 netprotocol 6 qosprotocol other
firewall-filter-id wnam_filter
firewall-filter-id-match on
dstip 77.241.xxx.xxx
dstip-match on
dstmask 255.255.255.255
dstport 80
dstport-match on
srcip 0.0.0.0
srcmask 0.0.0.0
srcport 0
netprotocol-match on
action forward
priority 0
avgpacketrate 0
tokenbucketrate 0
dscp disabled
qosrulelogging off
qosrule-logging-frequency 60
packet-min-length 0
packet-max-length 0
no trafficcontrol
owner controller
exit
qosrule 101 netprotocol 6 qosprotocol other
firewall-filter-id wnam_filter
dstip 0.0.0.0
dstmask 0.0.0.0
dstport 0
srcip 77.241.xxx.xxx
srcip-match on
srcmask 255.255.255.255
srcport 80
action forward
priority 0
avgpacketrate 0
tokenbucketrate 0
dscp disabled
qosrulelogging off
qosrule-logging-frequency 60
packet-min-length 0
packet-max-length 0
no trafficcontrol
owner controller
exit
qosrule 1000 netprotocol 0 qosprotocol other
firewall-filter-id wnam_filter
dstip 0.0.0.0
dstip-match on
dstmask 0.0.0.0
dstport 0
dstport-match on
srcip 0.0.0.0
srcip-match on
srcmask 0.0.0.0
srcport 0
srcport-match on
action drop
priority 0
avgpacketrate 0
tokenbucketrate 0
dscp disabled
qosrulelogging off
qosrule-logging-frequency 60
packet-min-length 0
packet-max-length 0
no trafficcontrol
owner controller
exitessid FWC-test
enable
security-profile sp_FWC-testcaptive-portal-exemption-profile 1
fqdn-names http://77.241.xxx.xxx/
description wnam_pass
exitcaptive-portal-profile WNAM-CP
port 0
cna-bypass off
radius-profile primary wnam_radius
radius-profile secondary ""
captive-portal-external-url http://77.241.xxx.xxx/cp/fortiwlc
captive-portal-external-ip 195.151.112.84
l3user-session-timeout 1
session-timeout 0
activity-timeout 0
authentication-type radius
accounting-radius-profile primary wnam_radius_acct
accounting-radius-profile secondary ""
accounting-radius-profile interim-interval 60
external-server fortinet-connect
captive-portal-exemption-profile 1
owner controller
exit
captive-portal-global-settings captive-portal-certificate default
captive-portal-global-settings redirection-protocol https