Интеграция ACS, WLC, аутентификации на внешнем портале и внешних radius`ах

Например имеем ACS 5.2 версии на виртуалке, WLC 4404, freeradius тоже на виртуалке и внешний www портал(ы) для аутентификации пользователей. Что бы было понятнее к чему стемимся, представим что в городе есть несколько разных сетей кафе/ресторанов, где предоставляется гостевой доступ пользователям с аутентификацией на www портале(ах). Т.е. клиент ресторана А, пришел, достал ноутбук/мобильник, сделал запрос в браузере любимого сайта и попал на www страницу стилизованную для сети ресторанов А, на которой есть помимо рекламы/меню,  два поля - для ввода логина и пароля. Как будут распространяться логины/пароли для сети ресторана в этой заметке не суть важно - будь то заранее забитый логин/пароль в полях для их ввода на www портале, или клиенту их будет говорить сотрудник ресторана, или у ресторана есть собственный системный администратор в центральном офисе, который заводит гостевые аккаунты для каждого отдельного ресторана, сообщая их упраляющим ресторанов, или он более продвинут и как-то смог завязать через radius/ldap/AD с кассовыми аппаратами и т.п. Главное что мы ему предоставляем возможность хранения аккаунтов с паролями на его стороне. У сети ресторанов Б, собственно всё аналогично, но стилизован www портал уже под них. После того как клиент аутентифицировался, он перенаправляется на запрошенную ранее свою страницу.

На что обратить внимание:

- BSSID от клиента передается в формате mac:ssid, но для этого на 4400ом контроллере необходимо включить правильный callStationIdType

- доступ к внешнему порталу, который стоит на apache("namebased" -), обязательно должен быть открыт для каждого WLAN`а через ACL, хоть и пишут что для 4400ой серии это не требуется.

- матчинг клиентов подключающихся на разные BSSID делаем в Service Selection Rules по, RADIUS-IETF:Called-Station-ID ends with :restoranA

- на самом ACS`е делаем несколько интерфейсов - менеджмента, выхода в Интернет(если у клиента уже есть например своя база с аккаунтами на radius`e или ldap`e), L3VPN(для организации централайзед vpn`ов через маршрутизатор для разных сетей ресторанов)

- если у клиента база на AD, то запросы делаем через openldap

 

Добавлю несколько строчек из slapd.conf "в качестве proxy" к AD.

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/misc.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/openldap.schema
 
allow bind_v2
access to * by * read
Loglevel 2
 
database meta
norefs yes
suffix "dc=testc,dc=kron,dc=by"
uri "ldap://4.3.2.1/dc=testc,dc=kron,dc=by"
 
database bdb
suffix "dc=testcorp,dc=com"
rootdn "cn=root,dc=testcorp,dc=com"
rootpw {SSHA}MElmFGbzT6GgyLyHxaRHL/f+JQ2grpgF
Level Up
Sponsors:

Контактная информация

Если у Вас есть какие-либо вопросы, Вы можете связаться с нами:

Отдел продаж: (с 10:00 до 18:00)

Icq: 155-10-6525

E-mail: sales@golas.ru