Корпоративный wifi на UBNT с порталом и доменной аутентификацией

в 16:21, , рубрики: radius, ubiquiti, UBNT, wifi, windows nps, Беспроводные технологии, Сетевые технологии

Всем привет. Хочу поделиться вариантом реализации корпоративного wifi на нескольких SSID с разными политиками доступа для каждой беспроводной сети и доменной аутентификацией.
Схема тестового стенда выглядит так:

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 1

Подробности под катом.

Итак, задача выглядит следующим образом. Точка должна вещать 3 беспроводных сети

  • vlan 10 — SSID PL_Public — сеть с доменной авторизацией для подключения персональных устройств сотрудников к Internet без доступа к корпоративным ресурсам
  • vlan 20 — SSID PL_Private — сеть с доменной авторизацией для сотрудников, находящихся в домене в группе WIFI_PL_Private c доступом к корпоративным ресурсам
  • vlan 30 — SSID PL_Guest — сеть с одноразовыми паролями со сроком действия 8 часов, вводимыми через веб-портал

Первая задача — создаем на контроллере нужные беспроводные сети. Контроллер позволяет разлить настройки на все точки в сети.

В Profiles добавляем наш Radius-сервер, указав общий Secret. Точка должна быть добавлена как Radius Client на сервере. Если точек много, можно настроить nat, чтобы все точки виделись на сервере с одним IP.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 2

Добавляем нужные SSID на контроллере.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 3
Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 4

Особенность решения заключается в том, что Radius-сервер должен применять разные политики аутентификации для этих SSID. Разделение по политикам можно сделать на основании поля Called-Station-ID, который передается в запросе аутентификации и представляет собой MAC точки и SSID.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 5

Для этого создаем политику для Private vlan, которая проверяет, является ли пользователь членом доменной группы WIFI_PL_Private.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 6

В условиях указываем регулярное выражение для Caller Station ID, позволяющее проверять SSID со всех точек в сети .*:PL_Private, а также проверку членства в группе.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 7

Вторая политика запрещает доступ для всех остальных пользователей домена к этой SSID. Это сделано потому, что если не будет явного Deny Access, следующая по списку политика аутентифицирует всех пользователей.

Третья политика разрешает доступ к сети PL_Public для всех пользователей домена.

Вторая задача — гостевой портал для одноразовых паролей. Эта задача решается средствами самого контроллера UniFi.

Для сети PL_Guest определяем, что она является открытой и гостевой.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 8

Во вкладке Guest Portal включаем Hotspot-аутентификацию, при желании кастомизируем стартовую страницу портала.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 9

В настройках Hotspot включаем аутентификацию по ваучерам.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 10

Нажав на ссылку Go to hotspot manager, генерируем ваучеры.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 11

При попытке подключения к гостевой сети с телефона, видим приглашение ввести код ваучера:

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 12

После подключения видим в менеджере хотспота статистику.

Корпоративный wifi на UBNT с порталом и доменной аутентификацией - 13

Из VLAN, в котором находится гостевая сеть, должен быть доступ к UniFi контроллеру, так как портал крутится на нем.

Благодарю за внимание :)

Автор: alk0v

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js