Взаимодействие системы авторизации WNAM 2 и контроллеров (точек доступа) UniFi строится на:

  1. Безусловном редиректе веб-сессий гостевых пользователей в систему авторизации (если только по каким-то причинам клиент контроллером не считается уже авторизованным)
  2. Отправке команды открытия доступа со стороны системы на контроллер по его REST API
  3. Получении сведений о подключенных гостевых клиентах, и их трафике, по REST API контроллера

Контроллеры UniFi не используют протокол RADIUS в работе с гостевой авторизацией, не применяют MAC авторизацию, динамическую передачу ссылок редиректа, открытие доступа по CoA или его аналогу, а также RADIUS Accounting. Почему так происходит, вопрос на совести разработчиков контроллера. Данные обстоятельства делают работу с гостевой авторизацией через UniFi не удобной и не такой надежной, как при использовании беспроводных систем всех других производителей. 

При использовании WNAM 2 (и любой другой системы авторизации) в работе с точками доступа/контроллерами UniFi в режиме гостевого доступа не следует ожидать чудес. Корпоративная авторизация и MAC Bypass режимы у UniFi работают нормально.

В данном примере контроллер работает на адресе 172.16.130.13, а сервер WNAM 2 на адресе 172.16.133.12

Для настройки контроллера необходимо выполнить несколько действий.

  1. Создание служебного пользователя (например с логином wnam) для работы по API. Возможно, для его активации вам понадобится указать настройки почтового релея. Проверьте, что под этим логином и паролем можно зайти в веб-интерфейс контроллера Unifi.
  3. Создайте гостевой профиль SSID, в режиме Open, без портальной авторизации. Проверьте клиентские подключения в нём. Убедитесь, что всё (DHCP, DNS, маршрутизация, NAT) полностью работают.
  4. Включите на этом профиле SSID функцию гостевого портала (Captive portal)
  6. В свойствах портала (раздел Insights) справа выберите такие настройки:


На стороне сервера системы WNAM 2 необходимо убедиться, что конфигурационный файл nginx (/etc/nginx/sites-available/wnam2) содержит строки:

  location /portal {
    root /var/www;
    index index.html;
    try_files $uri /portal/index.html;
  }

  location /guest/s/ {
    rewrite ^/guest/s/(.*)$ /portal?site=$1 redirect;
  }

  location /portal/api/auth {
    proxy_pass http://127.0.0.1:8080/api/2.0/portal/auth;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_read_timeout 120;
    proxy_connect_timeout 120;
    proxy_intercept_errors on; 
    error_page 502 503 504 /api/proxy_error.html; 
  }

и в каталоге /var/www/portal/ развернуто приложение (index.html и другие файлы).


В веб-интерфейсе WNAM 2 настройте работу с гостевым доступом, в разделе NAC. Выберите необходимые способы, добавьте логотип, исправьте тексты сообщений,

Укажите логин и пароль служебного пользователя в настройках API для сетевого устройства - вашего контроллера Unifi.

Обратите внимание, что вам следует в поле NAS IP указать подсеть с точками доступа (для работы методов авторизации, основанных на RADIUS), а адрес самого контроллера - в поле "Внешнего IP адреса".

Тепреь можно пробовать подключение к SSID. Браузер клиентского устройства должен пере-направиться на гостевой портал. Там необходимо пройти авторизацию выбранным методом, и продолжить с переходом в Интернет. Последнее будет сопровождаться командой от WNAM 2 по API в сторону контроллера, на открытие доступа клиентскому устройству.



  • No labels