Интеграция ACS, WLC, аутентификации на внешнем портале и внешних radius`ах
Например имеем ACS 5.2 версии на виртуалке, WLC 4404, freeradius тоже на виртуалке и внешний www портал(ы) для аутентификации пользователей. Что бы было понятнее к чему стемимся, представим что в городе есть несколько разных сетей кафе/ресторанов, где предоставляется гостевой доступ пользователям с аутентификацией на www портале(ах). Т.е. клиент ресторана А, пришел, достал ноутбук/мобильник, сделал запрос в браузере любимого сайта и попал на www страницу стилизованную для сети ресторанов А, на которой есть помимо рекламы/меню, два поля - для ввода логина и пароля. Как будут распространяться логины/пароли для сети ресторана в этой заметке не суть важно - будь то заранее забитый логин/пароль в полях для их ввода на www портале, или клиенту их будет говорить сотрудник ресторана, или у ресторана есть собственный системный администратор в центральном офисе, который заводит гостевые аккаунты для каждого отдельного ресторана, сообщая их упраляющим ресторанов, или он более продвинут и как-то смог завязать через radius/ldap/AD с кассовыми аппаратами и т.п. Главное что мы ему предоставляем возможность хранения аккаунтов с паролями на его стороне. У сети ресторанов Б, собственно всё аналогично, но стилизован www портал уже под них. После того как клиент аутентифицировался, он перенаправляется на запрошенную ранее свою страницу.
На что обратить внимание:
- BSSID от клиента передается в формате mac:ssid, но для этого на 4400ом контроллере необходимо включить правильный callStationIdType
- доступ к внешнему порталу, который стоит на apache("namebased" -), обязательно должен быть открыт для каждого WLAN`а через ACL, хоть и пишут что для 4400ой серии это не требуется.
- матчинг клиентов подключающихся на разные BSSID делаем в Service Selection Rules по, RADIUS-IETF:Called-Station-ID ends with :restoranA
- на самом ACS`е делаем несколько интерфейсов - менеджмента, выхода в Интернет(если у клиента уже есть например своя база с аккаунтами на radius`e или ldap`e), L3VPN(для организации централайзед vpn`ов через маршрутизатор для разных сетей ресторанов)
- если у клиента база на AD, то запросы делаем через openldap
Добавлю несколько строчек из slapd.conf "в качестве proxy" к AD.
Контактная информация
Если у Вас есть какие-либо вопросы, Вы можете связаться с нами:
Отдел продаж: (с 10:00 до 18:00)
Icq: 155-10-6525
E-mail: sales@golas.ru