WNAM 2 позволяет обеспечить доступ к беспроводной сети посредством следующих механизмов портальной (гостевой) авторизации:

• Спонсорский гостевой доступ (Спонсорская авторизация (E-Mail))
• Авторизация по СМС абоненту
• Авторизация по звонку от абонента
• Авторизация по ваучеру
• Авторизация по учетной записи (локальная или доменная (с проверкой членства в группе)) 

В любых случаях пользователь подключается к открытой беспроводной сети. Его смартфон/ноутбук проходит на стадию перенаправления (редиректа) веб-сессии на специальный гостевой портал - отдельное приложение системы WNAM 2, где и производится авторизация.

Общие указания настройки гостевого доступа

Для настройки любого вида гостевого доступа необходимо выполнить следующие этапы. 

1. Создание открытой беспроводной сети (например, с именем WNAM2-Guest), без авторизации, и тестирование работы устройств в ней. Необходимо удостовериться, что все остальные сетевые настройки (DHCP, VLAN, DNS, NAT) выполнены корректно, и доступ работает 100%. В дельнейшем предположим, что настройка гостевого доступа выполняется на точках доступа Cisco и контроллере Cisco 9800-CL. Настройка оборудования Wi-Fi описана в этом разделе.

2. Настройте веб-приложение гостевого портала, для чего отредактируйте конфигурационный файл /etc/nginx/sites-available/wnam2 и проверьте, что там есть следующий блок:

  location /portal {
    root /var/www;
    index index.html;
    try_files $uri /portal/index.html;
  }
  location /guest/s/ {
    rewrite ^/guest/s/(.*)$ /portal?site=$1 redirect;   
  }
  location /portal/api/auth {
    proxy_pass http://127.0.0.1:8080/api/2.0/portal/auth;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_read_timeout 120;
    proxy_connect_timeout 120;
    proxy_intercept_errors on;
    error_page 502 503 504 /api/proxy_error.html; # replace
  }

Возможно, этот блок настроек уже будет присутствовать в вашей системе с установкой очередного обновления системы WNAM 2. Если его там нет, добавьте недостающие строки. Также, при помощи директив типа Allow вы можете граничить доступ к гостевому портал с заданных IP-адресов/сетей ваших гостевых клиентов.

3. Установите веб-приложение гостевого портала в  /var/www/portal , дайте права:

chown -R www-data:www-data /var/www/portal/

Возможно, эти файлы уже будут присутствовать в вашей системе с установкой очередного обновления системы WNAM 2.

4. Далее настройте контроллер и WNAM 2 для гостевого доступа. В примере будет использован Cisco 9800-CL. Более подробно можно прочесть в следующей статье.

После настройки выше описанных этапов, можно переходить к настройке одного из типов гостевого доступа.

Со стороны административного интерфейса WNAM 2 в разделе "Главная - NAC - Гостевой доступ" требуется настроить один или несколько методов идентификации (авторизации), т.е. привязки МАС-адреса гостевого устройства к каким-либо проверенным учётным данным (номер телефона, код ваучера, логин и т.п.). Если вы настроили и включили только один метод идентификации, тогда гостю будет показана страница с параметрами этого метода. Если включен более чем один метод, вначале отобразится "разводящая" страница с выбором метода:

Ниже описаны настройки для каждого из доступных методов.

Спонсорская авторизация (E-Mail)

Ниже описан наиболее типовой на предприятии доступ гостя (посетителя) организации к открытой сети Wi-Fi, с подтверждением запроса через E-mail уведомление сотруднику (спонсору).

1. Настройка механизма отправки электронной почты.

Для этого в административном интерфейсе WNAM 2 разделе "Главная - Настройки - E-mail сервер" укажите параметры вашего почтового сервера предприятия. Он должен разрешать через себя отправку писем с WNAM-сервера:

Сохраните настройки, попробуйте отправку тестового сообщения. 

За механикой отправки можно следить с сервера командой:

journalctl -feu wnam2

Mar 16 22:47:07 ui2 start.sh[575315]: 22:47:07.359 DEBUG [com.netams.w2.services.EmailService:66] - Send email to info@netams.com, subject: TEST MAIL
Mar 16 22:47:07 ui2 start.sh[575315]: 22:47:07.423 DEBUG [com.netams.w2.services.EmailService:103] - Message 'TEST MAIL' has been sent to info@netams.com

Если что-то не работает, письма не приходят, пробуйте разные порты сервера, разные способы авторизации на нём. Поговорите с администратором вашего почтового сервера (релея).

2. Настройте гостевой портал в разделе "Главная - NAC - Гостевой доступ".

Выберите логотип вашей компании, укажите обязательность предоставления телефона или ФИО, ваши разрешенные домены (получателей письма), текстовые строки:

В поле "Текст email-сообщения спонсору" можно использовать следующий код:

<html><body>
Имя: ${name} <br/>
Телефон: ${phone} <br/>
MAC адрес: ${mac}<br/>
Если вы готовы допустить этого пользователя в сеть Wi-Fi, перейдите по ссылке: <a href='${href}'>${href}</a><br/>
</body></html>

3. Проверьте доступность портала из корпоративной сети по ссылке, указанной вами ранее в настройках E-mail сервера, например:

https://portal.wnam.ru/portal/

Она должна быть доступна любому пользователю (сотруднику) предприятия; если нет, поговорите с вашим специалистом, отвечающим за межсетевые экраны. Вы также можете организовать доступ через отдельный сервер реверс-проксирования запросов.

4. Попробуйте беспроводным клиентом выполнить подключение к гостевой сети WNAM2-Guest.

Диагностика на сервере: 

journalctl -feu wnam2
journalctl -feu wnam2-radius

Если всё настроено верно, у Wi-Fi клиента появится стандартное смартфонное poр-up окно веб-авторизации:

Заполните форму и запросите доступ. Если адрес находится в разрешенном списке, пользователь получит E-mail:

Сотруднику компании (спонсору) необходимо перейти по ссылке. Если запрос корректен и не истёк, он увидит:

В это время пользователь Wi-Fi будет видеть сначала страницу ожидания подтверждения, а затем его одобрения:

После нажатия на кнопку "Перейти" система WNAM 2 создаст эндпоинт с МАС-адресом гостя, отправит контроллеру (RADIUS CoA) запрос пере-авторизации и открытия доступа, и пользователь попадёт в интернет.

В интерфейсе WNAM 2 в разделе "Главная - Сессии - Сессии RADIUS" вы увидите две сессии доступа:

Перенаправление:

Авторизация после подтверждения спонсором и СоА:

Также, в сведениях об эндпоинте - внесенные при его авторизации/подтверждении данные:

Авторизация по СМС абоненту

Ниже описан доступ гостя (посетителя) организации к открытой сети Wi-Fi, с подтверждением запроса через СМС.

Настройте гостевой портал в разделе "Главная - NAC - Гостевой доступ".

Укажите необходимую информацию и вид способа отправки по СМС:

Существует два способа отправки СМС: используя скрипт или используя HTTP API запрос. 

В случае использования скрипта как способ отправки СМС, необходимо выполнить несколько дополнительных этапов:

1. Предварительно создайте исполняемый скрипт для отправки СМС.
2. Укажите исполняемый скрипт отправки СМС в application.yaml файле. Данный файл можно найти на сервере WNAM 2 по директории /opt/wnam2/w2config. Создайте или измените параметр sms-script. В примере будет использован путь /opt/wnam2/scripts/sms-script.sh:
   
   
3. Перезапустите WNAM 2 командой sudo systemctl restart wnam2.service

В случае использования HTTP API запроса необходимо указать полный URL в соответствии с требованиями провайдера. Вместо номера телефона получателя следует использовать %PHONE%, вместо МАС-адреса устройства - %MAC%, вместо кода доступа - %CODE%, вместо ФИО пользователя %NAME%

После сохранений настроек, должна быть доступна СМС авторизация пользователя.

Авторизация по звонку от абонента

Данный метод похож на идентификацию через получение СМС. Однако вместо отправки СМС-сообщения абонент совершает за свой счёт исходящий вызов на ваш номер телефона. Номер, на который должны поступать звонки от абонентов, необходимо приобрести у любого провайдера и завести на шлюз (программную АТС) Asterisk под вашим управлением. Длительность входящего вызова минимальна: звонок сразу сбрасывается. Для WNAM 2 важно определить входящий номер вызывающего абонента, который проводит авторизацию.

Для настройки данного метода необходимо произвести следующие действия:

1. Настройка входящей телефонной линии

Необходимо создать учётную запись у используемого VoIP провайдера, арендовать (получить, купить) телефонный номер.

В приведенном примере используется провайдер novofon.com, где общий внешний номер, приобретенный у провайдера +7 495 777 66 75.

Установка и настройка АТС Asterisk, настройка взаимодействия с провайдером должна быть проведена самостоятельно при помощи соответствующих инструкций провайдера. Если  используется АТС другого типа, то необходимо реализовать какое-либо действие (например, вызов скрипта), которое АТС выполнит при поступлении звонка. В случае возникновения проблем с реализацией данного способа следует обратиться в техническую поддержку за помощью на support@netams.com.

По умолчанию предполагается, что входящие вызовы поступают в контекст [default].

2. Настройка уведомления со стороны АТС Asterisk в сторону WNAM о входящем звонке

В конфигурационном файле /etc/asterisk/extensions.conf в контексте [default] необходимо создать правила вызова скрипта-уведомителя при помощи интерфейса AGI:

   [default]
   ;include => demo

   exten => s,1,NoOp(Входящий звонок с номера ${CALLERID(num)} на ${CALLERID(dnid)})
   same => n,AGI(wnam-asterisk-bridge,127.0.0.1,password,${CALLERID(num)},${CALLERID(dnid)})
   same => n,Hangup()

По умолчанию инструкция n,Hangup отправляет код ответа AST_CAUSE_CALL_REJECTED  21.

Если вам необходим другой код ответа, то в скобках после n,Hangup можно указать свой.
Например:

same => n,Hangup(31)

Далее необходимо скачать скрипт взаимодействия wnam-asterisk-bridge [используйте бинарную утилиту] из репозитория http://www.netams.com/files/wnam/misc/ , поместив его в каталог скриптов /usr/share/asterisk/agi-bin/ и сделать его исполняемым:

   chmod +x /usr/share/asterisk/agi-bin/wnam-asterisk-bridge 

При необходимости, если АТС Asterisk и WNAM 2 работают на разных серверах, следует в строке с same => n,AGI(...) конфигурационного файла указать адрес сервера WNAM 2 (либо оба адреса WNAM 2 кластера). Сетевой обмен идет по udp:20001. Затем необходимо проверить работоспособность взаимодействия, запустив скрипт:

   /usr/share/asterisk/agi-bin/wnam-asterisk-bridge 127.0.0.1 password 79998887766 74951234567

3. Настройка WNAM 2

Со стороны административного интерфейса WNAM 2 в разделе "Главная - NAC - Гостевой доступ" требуется выбрать новый метод идентификации "Авторизация по звонку от абонента"

Авторизация по ваучеру

Данный тип авторизации является наиболее простым для настройки. Если соблюдены все пункты из общих указаний по настройке гостевого доступа, то следующим этапом будет выписывание самих ваучеров.

1. Активация авторизации по ваучеру

Данный тип авторизации включается в разделе "Главная - NAC - Гостевой доступ"

При активации данного типа авторизации, можно опционально включить заполнение ФИО при входе.  

2. Выписывание ваучеров

Для создания кода ваучера прежде всего необходимо перейти в раздел "Главная" - "Объекты" - "Учетные записи"

Далее, необходимо создать новую учетную запись

Можно автоматически сгенерировать код ваучера, нажав на кнопку "Сгенерировать ваучер"

3. Использование ваучеров

После того, как был выписан ваучер, можно его использовать для гостевого доступа:

После использования кода ваучера, если лимит количества устройств не был исчерпан, будет выполнена авторизация в гостевом портале.

Авторизация по учётной записи

Данный тип авторизации во многом похож на тип авторизации по ваучеру, так как для авторизации можно воспользоваться теми же учетными записями, либо, как альтернатива, использовать учетные записи из служб каталога. Для примера будет показано на использовании локальными учетными записями. 

1. Активация авторизации учетной записи 

В разделе "Главная - NAC - Гостевой доступ" необходимо активировать "Авторизация по учетной записи"

2. Создание учетной записи 

Создание учетной записи во многом похоже на способ создания учетной записи при выписывании ваучеров, за исключением указания поля "Код ваучера".

Для использования учетных записей из службы каталога необходимо сформировать связку метода авторизации, домена, и разрешенной доменной группы. Это делается в разделе "Главная - Настройки - Правила доступа", где создаётся новое правило:

3. Использование учетной записи при гостевой авторизации

После создания учетной записи, ее можно использовать при авторизации в гостевом портале:

Метод авторизации "Только профилирование"

Включение этого метода (и только его одного) позволяет произвести профилирование, т.е. более точное определение типа устройства, при его перенаправлении на портал для использования в правилах аутентификации совместно с другими методами авторизации (например, 802.1Х). Профилирование также срабатывает для всех пере-направлений на портал, любыми методами. Профилирование определяет тип устройства пользователя: операционную систему, разрешение экрана, ориентацию экрана, браузер и т.п. Профилирование ведется по признаку (заголовку) User-Agent, а также иными средствами. В случае, если пользователь будет перенаправлен на портал при единственном включенном методе, "Только профилирование", ему отобразится страница-заглушка с предложением пере-подключиться к сети заново.