Корпоративний wifi на UBNT з порталом і доменної аутентифікацією

Всім привіт. Хочу поділитися варіантом реалізації корпоративного wifi на декількох SSID з різними політиками доступу для кожної бездротової мережі і доменної аутентифікацією.
Схема тестового стенду виглядає так:


Подробиці під катом.

Отже, завдання виглядає наступним чином. Точка повинна мовити 3 бездротових мережі

  • vlan 10 — SSID PL_Public — мережа з доменної авторизацією для підключення персональних пристроїв співробітників до Internet без доступу до корпоративних ресурсів
  • vlan 20 — SSID PL_Private — мережа з доменної авторизацією для співробітників, що знаходяться в домені в групі WIFI_PL_Private c доступом до корпоративних ресурсів
  • vlan 30 — SSID PL_Guest — мережа з одноразовими паролями з терміном дії 8 годин, що вводяться через веб-портал
Перша задача — створюємо на контролері потрібні бездротові мережі. Контролер дозволяє розлити налаштування на всі точки в мережі.

У Profiles додаємо наш Radius-сервер, вказавши загальний Secret. Точка повинна бути додана як Radius Client на сервері. Якщо точок багато, можна налаштувати nat, щоб всі точки бачилися на сервері з одним IP.



Додаємо потрібні SSID на контролері.




Особливість рішення полягає в тому, що Radius-сервер повинен застосовувати різні політики аутентифікації для цих SSID. Поділ за політикам можна зробити на підставі поля Called-Station-ID, який передається в запиті аутентифікації і являє собою MAC точки і SSID.



Для цього створюємо політику для Private vlan, яка перевіряє, чи є користувач членом доменної групи WIFI_PL_Private.



В умовах вказуємо регулярний вираз для Caller Station ID, що дозволяє перевіряти SSID з усіх точок у мережі .*:PL_Private, а також перевірку членства в групі.



Друга політика забороняє доступ для всіх інших користувачів домену до цієї SSID. Це зроблено тому, що якщо не буде явного Deny Access, наступна за списком політика аутентифікує всіх користувачів.

Третя політика дозволяє доступ до мережі PL_Public для всіх користувачів домену.

Друга задача — гостьовий портал для одноразових паролів. Ця задача вирішується засобами самого контролера UniFi.

Для мережі PL_Guest визначаємо, що вона є відкритою і гостьовий.



У вкладці Guest Portal включаємо Hotspot-аутентифікацію, при бажанні кастомизируем стартову сторінку порталу.



У налаштуваннях Hotspot включаємо аутентифікацію за ваучерами.



Натиснувши на посилання Go to hotspot manager, генеруємо ваучери.



При спробі підключення до гостьової мережі з телефону, бачимо запрошення ввести код ваучера:


Після підключення бачимо в менеджері хотспота статистику.



З VLAN, в якому знаходиться гостьова мережа, повинен бути доступ до UniFi контролера, так як портал крутиться на ньому.

Дякую за увагу :)
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.