Следующая ниже инструкция понадобится вам на первых шагах запуска системы WNAM 2 безотносительно дальнейшего её применения: для корпоративной, или для гостевой авторизацииавторизации администраторов (DeviceAdmin) и сетевых клиентов (NAC).
1. Запуск
При первом запуске системы WNAM 2 автоматически создаётся пустая БД с именем "wnam2_db" в работающем на сервере экземпляре СУБД PostgreSQL.
...
Интерфейс администратора системы WNAM 2 доступен по адресу: http://имя_или_адрес_сервера/wnam/home. Если при доступе к интерфейсу отображается ошибка "502 Bad Gateway", это означает, что прокси-сервер Nginx настроен некорректно, либо сервер сервис wnam2 (w2config) системы WNAM 2 не запустился. Следует посмотреть Следует посмотреть статус системы (systemctl status wnam2).
По умолчанию для администратора системы WNAM 2 установлен логин и пароль: admin, admin. После первого входа администратора в систему необходимо изменить пароль администратора. Для этого следует перейти в контекстное меню профиля → "Настройки" и в поле "Пароль" задать новый пароль для администратора.
Note |
---|
Если Вы желаете обеспечить дополнительные меры безопасности авторизации учетных записей WNAM 2, рекомендуем перейти в раздел "Настройки" – "Параметры" и настроить параметр "Запретить одновременную авторизацию с разных ip". |
3. Ввод лицензионного ключа
В меню "Настройки" → "Лицензии" необходимо ввести полученный лицензионный ключ, либо указать указать ваш лицензионный ключ и загрузить предоставленный ключевой файл в разделе "Конфигурация" → "Лицензии". К системе WNAM 2 подходят файлы и ключи от системы управления гостевым доступом WNAM 1.6 (с модулем и лицензией корпоративной авторизации).
Также необходимо установить чекбокс "Тестовые интерфейсы СМС и шаблонов страниц", это потребуются на дальнейшем этапе настройки.
4. Создание записи о сетевом устройстве (
...
NAS)
В меню "Главная" → "Объекты" → "Сетевые устройства" → "Новое устройство" необходимо создать запись, соответствующую типу вендору используемого устройства (контроллер Cisco, роутер Mikrotik Huawei и т.п.) . Сервер доступа - это устройство, через который будет осуществляться выход ваших пользователей в сеть Интернет (контроллер БЛВС, хотспот), почти всегда это RADIUS-и его типу (коммутатор, маршрутизатор, контроллер БЛВС). Это RADIUS- или TACACS+-клиент для системы WNAM 2. В общепринятой терминологии сервера доступа это Network Access Server, NAS.
...
- Имя устройства.
- Тип устройства (из выпадающего списка).
- IP-адрес устройства. Он должен совпадать с тем адресом, с которого будут отправляться RADIUS-пакеты в сторону системы WNAM 2 (параметр NAS-IP-Address). Также можно указать публичный IP-адрес сервера доступа, если он находится за NAT относительно сервера системы WNAM 2.
- Внешний IP адрес.
- Местоположение устройства (для идентификации в отчётах).
- Вендор (из выпадающего списка).
- Метка устройства (из выпадающего списка, можно оставить пустым).
- Категория критического устройства (из выпадающего списка, можно оставить пустым).
- Категория ipsec (из выпадающего списка, можно оставить пустым).
- Описание - произвольное поле (можно оставить пустым).
- Опционально - включение параметра RADIUS (необходимо указать атрибуты предварительной авторизации, атрибуты CoA / пост-авторизации, секретный ключ, порт CoA).
- Опционально - включение параметра TACACS (необходимо определить, необходимо ли переопределить настройки TACACS+).
- Опционально - включение параметра SNMP (необходимо определить, необходимо ли переопределить права доступа SNMP, переопределить проверку портов по SNMP ).
- Опционально - включение параметра API (необходимо указать логин и пароль при авторизации внешней авторизации API).
...
Далее необходимо создать запись о первом местоположении объектов в разделе "Главная" → "Объекты" → "Местоположение". Данный раздел определяет географический адрес (место) оказания услуги Wi-Fi либо проводного подключения. Все детальные настройки авторизации, перенаправления, рекламы, ограничений, правил аутентификации, а также все отчеты производятся относительно объекта типа "местоположение", бизнес-подразделение или любую иерархическую структуру, в которой расположены ваши сетевые устройства, и где находятся клиенты вашей сети. Детальные настройки правил аутентификации можно вести в привязке (совпадении) с местоположением..
В качестве параметров следует указать:
- Параметр активации местоположения.
- Наименование местоположения.
- Уровень вложения местоположения (возможно создание вложенного местоположения, для определения более точного наименования местоположения).
- Произвольное описание.
- Долгота.
- Широта.
6. Настройка
...
сетевого устройства (контроллера Wi-Fi или
...
коммутатора ЛВС)
Настройку вашего сервера доступа сетевого устройства необходимо выполнить в соответствии с инструкцией к различным серверам доступа (раздел "Настройка устройств доступа" настоящей документации). Для корпоративной авторизации настройки его производителя, изучив разделы, посвященные настройке 802.1X и TACACS+ протоколов типовые и рекомендуемые в документации вендора оборудования.
7. Настройка параметров двухфакторной авторизации - для гостевой авторизации
При первоначальном запуске системы WNAM необходимо установить следующие настройки (раздел "Главная" → "Объекты" → "Двухфакторная авторизация").
Существует несколько вариантов двухфакторной авторизации:
- Способ "Звонок".
- Способ "Приложение".
- Способ "Telegram".
- Способ "RADIUS".
В зависимости от требуемой двухфакторной авторизации, необходимо указать соответствующую информацию.
8. Настройка RADIUS-сервера системы WNAM
При использовании серверов доступа, кроме UniFi, потребуется настроить RADIUS-сервер, встроенный в систему WNAM. Подробная инструкция по настройке приведена здесь (раздел "Встроенный RADIUS сервер" настоящей документации).
На этом первоначальная настройка закончена. После выполненных действий следует подключиться к беспроводной сети и попытаться перейти с помощью браузера по какой-нибудь http-ссылке. По окончании авторизации в интерфейсе системы WNAM должны появятся соответствующие записи о пользователе Wi-Fi сети, и о его текущей сессии доступа (для чего требуется не забыть включить RADIUS Accounting на вашем NAS).
9. Для более тонкой настройки гостевой авторизации необходимо:
- отредактировать внешний вид (дизайн) шаблонов страниц, пользуясь конструктором страниц (раздел "Конструктор страниц" настоящей документации);
- настроить параметры авторизации (метод, СМС-шлюз), указать шаблон страницы;
- настроить параметры перенаправления (указать шаблон страницы);
- настроить параметры ограничений (например, длительность единичной сессии);
- изучить интерфейс администратора системы WNAM и попытаться сформировать отчёты разных типов;
- настроить резервное копирование и мониторинг сервера системы WNAM.
10. Для корпоративной авторизации
Смотрите отдельный раздел