Интеграция ACS, WLC, аутентификации на внешнем портале и внешних radius`ах

Например имеем ACS 5.2 версии на виртуалке, WLC 4404, freeradius тоже на виртуалке и внешний www портал(ы) для аутентификации пользователей. Что бы было понятнее к чему стемимся, представим что в городе есть несколько разных сетей кафе/ресторанов, где предоставляется гостевой доступ пользователям с аутентификацией на www портале(ах). Т.е. клиент ресторана А, пришел, достал ноутбук/мобильник, сделал запрос в браузере любимого сайта и попал на www страницу стилизованную для сети ресторанов А, на которой есть помимо рекламы/меню,  два поля - для ввода логина и пароля. Как будут распространяться логины/пароли для сети ресторана в этой заметке не суть важно - будь то заранее забитый логин/пароль в полях для их ввода на www портале, или клиенту их будет говорить сотрудник ресторана, или у ресторана есть собственный системный администратор в центральном офисе, который заводит гостевые аккаунты для каждого отдельного ресторана, сообщая их упраляющим ресторанов, или он более продвинут и как-то смог завязать через radius/ldap/AD с кассовыми аппаратами и т.п. Главное что мы ему предоставляем возможность хранения аккаунтов с паролями на его стороне. У сети ресторанов Б, собственно всё аналогично, но стилизован www портал уже под них. После того как клиент аутентифицировался, он перенаправляется на запрошенную ранее свою страницу.

На что обратить внимание:

- BSSID от клиента передается в формате mac:ssid, но для этого на 4400ом контроллере необходимо включить правильный callStationIdType

- доступ к внешнему порталу, который стоит на apache("namebased" -), обязательно должен быть открыт для каждого WLAN`а через ACL, хоть и пишут что для 4400ой серии это не требуется.

- матчинг клиентов подключающихся на разные BSSID делаем в Service Selection Rules по, RADIUS-IETF:Called-Station-ID ends with :restoranA

- на самом ACS`е делаем несколько интерфейсов - менеджмента, выхода в Интернет(если у клиента уже есть например своя база с аккаунтами на radius`e или ldap`e), L3VPN(для организации централайзед vpn`ов через маршрутизатор для разных сетей ресторанов)

- если у клиента база на AD, то запросы делаем через openldap

Добавлю несколько строчек из slapd.conf "в качестве proxy" к AD.