Начиная с версии 1.3.741 система WNAM поддерживает работу с контроллером беспроводных точек HP MSM. Это оригинальная линейка контроллеров HP (сейчас Hewlett Packard Enterprise). Поддерживается ПО контроллера версии 6.6 и выше. Протестирована работа с версией 6.6.4.0, контроллером MSM760 и точкой доступа MSM430. Ожидается, что система WNAM будет работать с любой аналогичной версией контроллера и точкой доступа.
Перед тем, как приступить к настройке взаимодействия системы WNAM и контроллера MSM, необходимо:
- Установить и настроить контроллер, точку доступа, создать профиль VCS, настроить SSID без авторизации, трансляцию адресов и убедиться, что Wi-Fi абоненты имеют обычный доступ в сеть Интернет через контроллер без авторизации.
- Установить и настроить систему WNAM (freeradius, java, tomcat), убедиться в работоспособности веб-интерфейса администратора.
В приведенном ниже примере сервер WNAM имеет адрес 172.16.130.5, интерфейс которого работает на порту 8080. Контроллер имеет адрес 172.16.130.14. Портал пользователя работает по протоколу HTTP без применения DNS-имен.
Настройка контроллера HP MSM состоит из следующих шагов:
1. Создание записи о RADIUS-сервере в разделе ПО контроллера "Authentication" → "RADIUS profiles"
Обратите внимание на использование протокола PAP, отсутствие отмеченных чекбоксов. Пароль (secret) на взаимодействие контроллера и сервера должен совпадать с паролем, указанным на сервере в настройках freeradius в файле /etc/freeradius/clients.conf.
2. В соседнем разделе определить формат МАС-адреса.
3. В разделе "Public access" установить параметры, отображенные на рисунке.
Следует обратить внимание на использование протокола HTTP для редиректа. Возможна работа и по HTTPS, однако, это потребует установки действительного SSL-сертификата на контроллер и на сервер WNAM.
4. В разделе атрибутов установить значения, отображенные на рисунке.
Первые три значения присутствуют по умолчанию. Остальные правила необходимо настроить согласно таблице.
Имя атрибута | Значение | Комментарии |
---|---|---|
ACCESS-LIST | unauth,ACCEPT,tcp,172.16.130.5,8080 | Разрешающее правило доступа не авторизованных абонентов до самого портала авторизации системы WNAM. Обязательно необходимо указать (заменить) IP-адрес портала и порт 8080 или 80. |
USE-ACCESS-LIST | factory | |
USE-ACCESS-LIST-UNAUTH | unauth | |
LOGIN-URL | http://172.16.130.5:8080/cp/hpmsm?ip=%c&mac=%m&url=%o&server=%l&server_identity=%a&apmac=%C&ssid=%E | Ссылка перенаправления трафика на внешний портал авторизации (слитно, в одну строку). Обязательно заменить IP-адрес и порт на используемые вами параметры сервера WNAM. Категорически запрещается модифицировать любые другие символы и параметры в данной строке. |
VSA-WISPR-ACCESS-PROCEDURE | 1.0 |
Если используется авторизация через социальные сети или ЕСИА, ограниченный пропуск трафика до сервера вашей организации (при превышении лимита), то также надо будет добавить в данный список дополнительные разрешенные IP-адреса или URL.
5. Применить созданные настройки веб-авторизации к имеющемуся VCS профилю.
На этом настройка контроллера закончена.
Для настройки системы WNAM необходимо в интерфейсе администратора системы WNAM создать объект "Сервер доступа" соответствующего типа (раздел "Конфигурация" → "Сервера доступа").
Параметры "Логин" и "Пароль" значения не имеют (система WNAM их не использует при работе с контроллером).
Определение имен абонентов не работает с контроллером HP MSM (контроллер не имеет соответствующего функционала).
Сбор детальной статистики не работает с контроллером HP MSM (контроллер имеет аналогичный функционал sFlow, но система WNAM в настоящий момент не поддерживает sFlow).
На этом настройка интеграции системы WNAM и HP MSM закончена. Можно проверить работу механизма авторизации и учета сессий и трафика абонентов.