Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Следующая ниже инструкция понадобится вам на первых шагах запуска системы WNAM 2 безотносительно дальнейшего её применения: для корпоративной, или для гостевой авторизацииавторизации администраторов (DeviceAdmin) и сетевых клиентов (NAC).

1. Запуск

При первом запуске системы WNAM 2 автоматически создаётся пустая БД с именем "wnam2_db" в работающем на сервере экземпляре СУБД PostgreSQL.

...

Интерфейс администратора системы WNAM 2 доступен по адресу: http://имя_или_адрес_сервера/wnam/home. Если при доступе к интерфейсу отображается ошибка "502 Bad Gateway", это означает, что прокси-сервер Nginx настроен некорректно, либо сервер сервис wnam2 (w2config) системы WNAM 2 не запустился. Следует посмотреть Следует посмотреть статус системы (systemctl status wnam2).

По умолчанию для администратора системы WNAM 2 установлен логин и пароль: admin, admin. После первого входа администратора в систему необходимо изменить пароль администратора. Для этого следует перейти в контекстное меню профиля → "Настройки" и в поле "Пароль" задать новый пароль для администратора.

Note
Если Вы желаете обеспечить дополнительные меры безопасности авторизации учетных записей WNAM 2, рекомендуем перейти в раздел "Настройки" – "Параметры" и настроить параметр "Запретить одновременную авторизацию с разных ip".

 

3. Ввод лицензионного ключа

В меню "Настройки" → "Лицензии" необходимо ввести полученный лицензионный ключ, либо указать указать ваш лицензионный ключ и загрузить предоставленный ключевой файл в разделе "Конфигурация" → "Лицензии". К системе WNAM 2 подходят файлы и ключи от системы управления гостевым доступом WNAM 1.6 (с модулем и лицензией корпоративной авторизации).

Также необходимо установить чекбокс "Тестовые интерфейсы СМС и шаблонов страниц", это потребуются на дальнейшем этапе настройки.

4. Создание записи о сетевом устройстве (

...

NAS)

В меню "Главная" → "Объекты" → "Сетевые устройства" → "Новое устройство" необходимо создать запись, соответствующую типу вендору используемого устройства (контроллер Cisco, роутер Mikrotik Huawei и т.п.) . Сервер доступа - это устройство, через который будет осуществляться выход ваших пользователей в сеть Интернет (контроллер БЛВС, хотспот), почти всегда это RADIUS-и его типу (коммутатор, маршрутизатор, контроллер БЛВС). Это RADIUS- или TACACS+-клиент для системы WNAM 2. В общепринятой терминологии сервера доступа это Network Access Server, NAS.

...

  • Имя устройства.
  • Тип устройства (из выпадающего списка).
  • IP-адрес устройства. Он должен совпадать с тем адресом, с которого будут отправляться RADIUS-пакеты в сторону системы WNAM 2 (параметр NAS-IP-Address). Также можно указать публичный IP-адрес сервера доступа, если он находится за NAT относительно сервера системы WNAM 2.
  • Внешний IP адрес. 
  • Местоположение устройства (для идентификации в отчётах).
  • Вендор (из выпадающего списка).
  • Метка устройства (из выпадающего списка, можно оставить пустым).
  • Категория критического устройства (из выпадающего списка, можно оставить пустым).
  • Категория ipsec (из выпадающего списка, можно оставить пустым).
  • Описание - произвольное поле (можно оставить пустым).
  • Опционально - включение параметра RADIUS (необходимо указать атрибуты предварительной авторизации, атрибуты CoA / пост-авторизации, секретный ключ, порт CoA).
  • Опционально - включение параметра TACACS (необходимо определить, необходимо ли переопределить настройки TACACS+).
  • Опционально - включение параметра SNMP (необходимо определить, необходимо ли переопределить права доступа SNMP, переопределить проверку портов по SNMP ).
  • Опционально - включение параметра API (необходимо указать логин и пароль при авторизации внешней авторизации API).

...

Далее необходимо создать запись о первом местоположении объектов в разделе "Главная" → "Объекты" → "Местоположение". Данный раздел определяет географический адрес (место) оказания услуги Wi-Fi либо проводного подключения. Все детальные настройки авторизации, перенаправления, рекламы, ограничений, правил аутентификации, а также все отчеты производятся относительно объекта типа "местоположение", бизнес-подразделение или любую иерархическую структуру, в которой расположены ваши сетевые устройства, и где находятся клиенты вашей сети. Детальные настройки правил аутентификации можно вести в привязке (совпадении) с местоположением.

 

В качестве параметров следует указать:

  • Параметр активации местоположения.
  • Наименование местоположения.
  • Уровень вложения местоположения (возможно создание вложенного местоположения, для определения более точного наименования местоположения).
  • Произвольное описание.
  • Долгота.
  • Широта. 

6. Настройка

...

сетевого устройства (контроллера Wi-Fi или

...

коммутатора ЛВС)

Настройку вашего сервера доступа сетевого устройства необходимо выполнить в соответствии с инструкцией к различным серверам доступа (раздел "Настройка устройств доступа" настоящей документации). Для корпоративной авторизации настройки его производителя, изучив разделы, посвященные настройке 802.1X и TACACS+ протоколов типовые и рекомендуемые в документации вендора оборудования.

7. Настройка параметров двухфакторной авторизации - для гостевой авторизации

При первоначальном запуске системы WNAM необходимо установить следующие настройки (раздел "Главная" → "Объекты" → "Двухфакторная авторизация").

Существует несколько вариантов двухфакторной авторизации:

  • Способ "Звонок".
  • Способ "Приложение".
  • Способ "Telegram".
  • Способ "RADIUS".

В зависимости от требуемой двухфакторной авторизации, необходимо указать соответствующую информацию.

Image Removed

8. Настройка RADIUS-сервера системы WNAM

При использовании серверов доступа, кроме UniFi, потребуется настроить RADIUS-сервер, встроенный в систему WNAM. Подробная инструкция по настройке приведена здесь (раздел "Встроенный RADIUS сервер" настоящей документации).

На этом первоначальная настройка закончена. После выполненных действий следует подключиться к беспроводной сети и попытаться перейти с помощью браузера по какой-нибудь http-ссылке. По окончании авторизации в интерфейсе системы WNAM должны появятся соответствующие записи о пользователе Wi-Fi сети, и о его текущей сессии доступа (для чего требуется не забыть включить RADIUS Accounting на вашем NAS).

9. Для более тонкой настройки гостевой авторизации необходимо: 

  • отредактировать внешний вид (дизайн) шаблонов страниц, пользуясь конструктором страниц (раздел "Конструктор страниц" настоящей документации);
  • настроить параметры авторизации (метод, СМС-шлюз), указать шаблон страницы;
  • настроить параметры перенаправления (указать шаблон страницы);
  • настроить параметры ограничений (например, длительность единичной сессии);
  • изучить интерфейс администратора системы WNAM и попытаться сформировать отчёты разных типов;
  • настроить резервное копирование и мониторинг сервера системы WNAM.

10. Для корпоративной авторизации

Смотрите отдельный раздел