В рамках данной лабораторной работы мы изучим спонсорский доступ и разберем самые частые сценарии использования. Мы объясним, как создать гостевую учетную запись, что такое Captive-портал, как он настраивается в AxelNAC, какие бывают настройки профиля соединения (Connection profile) для аутентификации в защищенной сети через Captive-портал, а также разберем самые часто встречающиеся проблемы. Длительность выполнения лабораторной работы — 3 часа.

Спонсорский доступ

Спонсорский доступ представляет собой систему подключения, при которой доступ к сети предоставляется пользователем-спонсором. Пользователь-спонсор — это лицо, создающее учетную запись гостя, часто являющееся сотрудником организации; например, администратор лобби, который создает и управляет учетными записями гостей через веб-портал, ориентированный на спонсоров. Такой портал позволяет спонсору создавать временные учетные записи для гостей, посетителей, подрядчиков, консультантов или клиентов для выполнения HTTP- или HTTPS-входа в систему с целью получения доступа к сети. Сеть может быть корпоративной или обеспечивать доступ в Интернет.

В AxelNAC предоставление спонсорского доступа может быть выполнено двумя различными методами:

• Спонсорский доступ с предварительным созданием гостевых учетных записей;
• Спонсорский доступ с согласованием запроса от гостя.

Спонсорский доступ с предварительным созданием гостевых учетных записей

При настройке спонсорского доступа с предварительным созданием гостевых учетных записей, вам придется предоставить доступ спонсору к веб-интерфейсу AxelNAC. Поэтому, для настройки такого вида спонсорского доступа, необходимо выполнить два этапа:

1. Создать пользователя-спонсора.
2. Создать пользователя-гостя.

Создание пользователя-спонсора

Для того, чтобы создать пользователя-спонсора, выполните следующие действия:

Шаг 1. Перейдите в раздел Пользователи → Создать и заполните поля Имя пользователя (PID), Пароль и E-mail. Данные значения будут использоваться пользователем-спонсором для входа в систему.

Шаг 2. В строке Окно регистрации укажите желаемый срок действия учетной записи администратора. 

Шаг 3. В строке Действия из выпадающего списка выберите параметр Роль и значение Спонсор, затем нажмите Создать.

После этого, пользователю-спонсору на указанный E-mail будет отправлено письмо с учетными данными, по которым он сможет подключиться к AxelNAC и создавать новых пользователей с ролью guest.

Гостевой доступ

Процесс создания гостевой учетной записи схож с предыдущим этапом:

Шаг 1. Войдите в систему, используя учетные данные пользователя спонсора, которого вы создали в предыдущем этапе.

Шаг 2. Перейдите в раздел Пользователи → Создать и сохраните данные из полей Имя пользователя (PID), Пароль и E-mail. Данные значения будут использоваться пользователем для подключения к сети.

Шаг 3. В строке Окно регистрации укажите желаемый срок действия гостевой учетной записи.

Шаг 4. В строке Действия из выпадающего списка выберите параметр Роль и значение guest.

Шаг 5. Нажмите на знак плюса справа от первого действия и из выпадающего списка выберите параметр Срок предоставления спонсорского доступа и значение 1 час, затем нажмите Создать.

После этого, пользователю на указанный E-mail будет отправлено письмо с учетными данными для подключения к сети.

Спонсорский доступ с согласованием запроса от пользователя-гостя

 Для этого необходимо выполнить следующие этапы:

1. Настроить источник аутентификации;
2. Добавить источник аутентификации в профиль подключения;
3. Активировать работу Captive-портал;
4. Создать пользователя-спонсора;
5. Включить самостоятельную реаутентификацию пользователей-гостей (опционально).

Настройка источника аутентификации

Для начала, необходимо настроить источник аутентификации:

Шаг 1. Перейдите в раздел Конфигурация → Политики и контроль доступа → Источники аутентификации и в блоке Внешние источники нажмите кнопку Новый внешний источник. В выпадающем списке выберите значение Sponsor.

Шаг 2. На открывшейся странице заполните поля следующим образом:

• Имя — Sponsor (данное имя будет отображаться в списке источников аутентификации);
• Описание — введите описание источника аутентификации (данное описание будет отображаться в списке источников аутентификации);
• Связанные источники аутентификации — выберите домен, для которого будет работать этот источник аутентификации (вы можете выбрать домен, который был настроен в рамках лабораторной работы №4, либо оставить это поле пустым, чтобы разрешить работу источника с любыми соединениями);
• Запрещенные домены — в данном поле вы можете указать домены электронной почты, для которых будет запрещена работа данного источника аутентификации (blacklist);
• Разрешенные домены — в данном поле вы можете указать домены электронной почты, для которых будет разрешена работа данного источника аутентификации (whitelist);
• Таймаут ссылки активации — 30 минут (данное значение определяет, в течение какого срока после запроса пользователь может быть активирован спонсором);
• Разрешить локальный домен — Да (данное значение разрешает автоматическую регистрацию пользователей, которые находятся в локальном домене);
• Заменить хост в ссылке активации — оставьте пустым (данное значение может быть задано для перенаправления пользователя на внешний ресурс для регистрации, например, если AxelNAC не настроен на внешнюю сеть, из которой приходит пользователь);
• Зарегистрировать при активации — Активировано (данное значение определяет, должен ли оставаться пользователь-гость на портале регистрации до ее окончания);
• Обязательная аутентификация спонсора — Да (данное значение определяет, должен ли пользователь-спонсор вводить свои учетные данные для подтверждения регистрации пользователя);
• Язык — По умолчанию (данное значение будет выбирать язык портала по локали браузера);
• Создать локальную учетную запись — Да (данное значение определяет, создавать ли учетную запись пользователя в AxelNAC. В случае, когда запись создана, пользователю не нужно будет повторно проходить спонсорскую регистрацию);
• Метод хэширования паролей базы данных — NTLM (для того, чтобы пользователь мог аутентифицироваться необходимо выбирать значения NTLM или Plaintext);
• Длина пароля — 8 (данное значение определяет размер автоматически сгенерированного пароля, который будет отправлен пользователю-гостю);
• Количество входов в систему для локальной учетной записи — 0 (данное значение определяет, сколько раз гостевая учетная запись может подключиться к сети. При указании 0, ограничение отсутствует);
• Истечение срока действия локальной учетной записи — 0 (данное значение определяет срок действия учетной записи. При указании 0, будет применяться срок предоставления доступа, указанный в правилах аутентификации для пользователя-гостя).

Шаг 3. Настройте правила аутентификации. Для того чтобы добавить правило, нажмите Добавить правило и введите имя правила аутентификации. В нашем случае мы будем пропускать всех пользователей, поэтому правило может быть названо catchall.

Шаг 4. Нажмите Добавить действие, чтобы добавить действия при срабатывании данного правил и из выпадающего списка выберите параметр Роль и значение guest.

Шаг 5. Нажмите на знак плюса справа от первого действия и из выпадающего списка выберите параметр Период доступа без реавторизации и значение 1 час, затем нажмите Создать.

Настройка профиля подключения

Теперь необходимо добавить созданный источник аутентификации в профиль подключения.

Шаг 1. Перейдите в раздел Конфигурация → Политики и контроль доступа → Профили подключения и откройте профиль подключения, который вы создали в рамках лабораторной работы №1.

Шаг 2. На странице Стандартный профиль подключения активируйте переключатель в строке MAC Auth переопределяет роль с портала. Таким образом, даже для устройств, которые уже были зарегистрированы в AxelNAC, будет использоваться выбранный источник аутентификации.

Шаг 3. В строке Фильтр выберите Тип подключения и укажите SSID (если подключение беспроводное). Данный шаг можно пропустить, если вы не хотите применять фильтрацию при подключении.

Шаг 4. В строке Источники укажите источник, который вы создали на предыдущем этапе и нажмите Сохранить.

Настройка Captive-портала

Настройка коммутатора

Для корректной работы гостевого доступа необходимо настроить работу Captive-портал на коммутаторе и в AxelNAC. Для этого необходимо настроить службу Web-redirect.

Шаг 1. Перейдите в раздел Конфигурация → Политики и контроль доступа → Сетевые устройства → Сетевые устройства и выберите коммутатор, который вы создали в рамках лабораторной работы №1.

Шаг 2. На вкладке Определение активируйте переключатель Обеспечение работы внешнего портала.

Шаг 3. На вкладке Роли перейдите в блок Назначение Local ACL и в строке registration укажите имя ACL созданного на коммутаторе, который будет выполнять роль Web-redirect.

Шаг 4. В блоке Назначение URL веб-аутентификации в строке registration укажите следующие данные: http(s)://адрес_AxelNAC/Cisco::Catalyst_2960/ и нажмите Сохранить.

Шаг 5. Подключитесь к коммутатору по протоколу SSH как администратор.

Шаг 6. Включите механизм Change-of-Authorization (CoA) с помощью следующих команд:

aaa server radius dynamic-author
client 172.20.100.2 server-key useStrongerSecret
port 3799

 Шаг 7. Включите веб-аутентификацию на порте 10 с помощью следующих команд:

ip device tracking
ip http server
ip http secure-server

Шаг 8. Добавьте ACL с именем extended registration с помощью следующих команд:

ip access-list extended registration
deny ip any host 172.20.100.2
permit tcp any any eq www
permit tcp any any eq 443

Настройка AxelNAC

Также необходимо настроить работу Captive-портала в самом AxelNAC:

Шаг 1. Перейдите в раздел Конфигурация → Сетевое взаимодействие → Интерфейсы и выберите коммутатор, который вы настроили в рамках лабораторной работы №1.

Шаг 2. В строке Дополнительный демон(ы) прослушивания добавьте значение portal из выпадающего списка, затем нажмите Сохранить.

Шаг 3. Перейдите в раздел Статус → Службы и перезапустите следующие службы:

• haproxy-portal;
• httpd.portal;
• iptables.

Создание пользователя-спонсора

После того как источник аутентификации создан и настроен, необходимо создать пользователя-спонсора. Для этого выполните следующие действия:

Шаг 1. Перейдите в раздел Пользователи → Создать и заполните поля Имя пользователя (PID), Пароль и E-mail. Данные значения будут использоваться пользователем-спонсором для входа в подтверждения запросов на регистрацию.

Шаг 2. В строке Окно регистрации укажите желаемый срок действия учетной записи администратора. 

Шаг 3. В строке Действия из выпадающего списка выберите параметр Назначить роль спонсора, затем нажмите Создать.

Гостевой доступ

Пользователь гость создаётся следующим образом:

Шаг 1. Пользователь подключается к сети, после чего в браузере у него открывается страница аутентификации.

Шаг 2. Пользователь принимает условия и вводит свою электронную почту и электронную почту спонсора. Электронная почта спонсора вводится для того, чтобы избежать внешних запросов. Если почта не совпадает с существующей, клиенту будет отказано в регистрации.

Шаг 3. Пользователю-спонсору на почту приходит запрос на регистрацию с кнопкой активации.

Шаг 4. При нажатии на кнопку пользователь-спонсор перенаправляется на страницу аутентификации, где он должен ввести свои учетные данные для активации пользователя-гостя.

Шаг 5. У пользователя-гостя на портале отображаются выданные ему учетные данные. Эти же данные будут автоматически направлены ему на электронную почту.

Повторный вход гостя без участия спонсора.

После регистрации гостя, возможен вход по полученной учетной записи, без согласования запроса со спонсором. Для этого необходимо выполнить следующие шаги:

Шаг 1. Перейдите в раздел Конфигурация → Политики и контроль доступа → Профили подключения и откройте профиль подключения, который вы создали в рамках лабораторной работы №1.

Шаг 2. В строке Источники нажмите на знак плюса справа от вашего источника и выберите источник local из выпадающего списка, затем нажмите Сохранить.

Теперь пользователю при подключении будет предоставляться выбор способа аутентификации на портале. Таким образом, пользователь сможет запросить регистрацию у спонсора, либо сможет самостоятельно подключиться, используя ранее полученные учетные данные.

Решение самых часто встречающихся проблем