Работоспособность WNAM тесно связана с возможностью надежной, удобной авторизации абонентского устройства в беспроводной сети.
В настоящее время большинство мобильный устройств используют функцию "автовход". Она заключается в попытке устройством самостоятельно провести идентификацию и подключение к открытой беспроводной сети, проверив доступность подключения к Интернет.
Когда абонент выбирает для подключения гостевую сеть, подключается к ней, устройство получает IP адрес и другие параметры, производится автоматическая попытка определить наличие доступа в Интернет.
Устройства Android запрашивают ссылку http://www.gstatic.com/generate_204
Устройства iOS запрашивают (в зависимости от версии) ссылки из доменов www.ibook.info, www.appleiphonecell.com, captive.apple.com и т.п.
Если ответ по этим ссылкам приходит, устройство считает себя подключенным к Интернет. Если ответа нет, открывается специальный браузер (мини-браузер), в котором предполагается провести авторизацию в сети. Это называется Captive Network Assistant (CNA).
С сложными системами, в которых предполагается ввод номера телефона и подтверждение его, показ рекламы и т.п., CNA работает плохо. В некоторых беспроводных контроллерах (Cisco, Aruba) можно включить функцию CNA Bypass, что позволяет при подключении абонентского устройства "обманывать" его, и заставлять проводить авторизацию путём открытия "нормального" браузера. За включение CNA отвечает настройка "автовход", но обычно про неё пользователи не знают:
Если отключен CNA, или абонент пытается подключиться к Wi-Fi сети при помощи ноутбука, авторизация проводится обычным браузером. При этом абонент, скорее всего, будет пробовать перейти на свой любимый сайт, указанный как стартовый, либо будет пользоваться стартовой страницей поисковой системы (google, yandex). В подавляющем большинстве случаев такие сайты работают по протоколу HTTPS, что в обычных условиях делает невозможным редирект (перенаправление) на портал авторизации. Для такого перенаправления пользователь должен перейти по обычной, HTTP ссылке.
Однако, большинство из порталов перехвата в оборудовании (беспроводные контроллеры, Linux-маршрутизатор, Mikrotik и т.п.) могут проводить перехват и перенаправление и HTTPS-сессии. Для этого необходимо, как минимум, иметь установленный SSL-сертификат как в устройство доступа, так и в сервер WNAM.
При попытке перехода браузером по HTTPS-ссылке портал перехвата производит подстановку своего сертификата вместо сертификата сервера. Большинство браузеров на такую операцию выдают предупреждение, вынуждая пользователей принять риск:
Фактически, портал перехвата проводит атаку типа MITM (Man-In-The-Middle), так что предупреждение браузера уместно.
Внимание! Данное поведение - не следствие ошибки или недоработки WNAM, это свойство самой технологии SSL и работы браузеров с HTTPS-сайтами. Это невозможно ни изменить, ни исправить.
Однако, в большей части случаев возможно добиться прозрачного для абонентов перенаправления на авторизацию и для HTTPS-сайтов. Для этого вам будет необходимо:
- Настроить и протестировать работу WNAM в режиме HTTP-перехвата и авторизации
- Получить годные, подписанные и проверяемые HTTPS-сертификаты на
- Установить HTTPS-сертификат в веб-сервер tomcat, который исполняет приложение WNAM и который служит порталом авторизации
- Установить HTTPS-сертификат в устройство, осуществляющее функции портала перехвата