Acesso de convidado usando o servidor RADIUS com bypass de autenticação MAC

Habilite essa opção se quiser aproveitar portais baseados em RADIUS para acesso de convidados.

Primeiro, familiarize-se com o fluxo de acesso de convidados usando o servidor RADIUS com MAC Authentication Bypass (MAB). Em seguida, configure sua WLAN. Por fim, faça uma configuração RADIUS adicional para políticas de autenticação e perfis de autorização.

Fluxo de acesso de convidado usando o servidor RADIUS com bypass de autenticação MAC

Uma WLAN é criada na Juniper Mist com o MAB sendo executado usando o RADIUS Lookup.
Quando um cliente se associa a esse WLAN, seu endereço MAC é enviado ao servidor RADIUS usando um ACCESS_REQUEST.
O servidor procura o endereço MAC em seu banco de dados.
- Se o cliente não for encontrado no banco de dados, ele enviará de volta um ACCESS_ACCEPT com uma URL de redirecionamento para o Juniper Mist AP e o fluxo continuará com a Etapa 4.
- Se o cliente for encontrado no banco de dados, o fluxo vai para a Etapa 10.
O cliente recebe acesso limitado à rede, que inclui acesso ao servidor BOOTP, DNS e RADIUS.
Depois que o cliente recebe um IP, o AP abre um soquete da Web e escuta qualquer tráfego HTTP iniciado a partir do cliente.
O tráfego é interceptado e respondido com a URL de redirecionamento enviada pelo servidor RADIUS.
O cliente é redirecionado para a URL especificada. Com base na política configurada, pode ser um portal patrocinado, um portal de autorregistro ou um portal de ponto de acesso.
Depois que o cliente fornece as informações necessárias, o endereço MAC do cliente é instalado no banco de dados e uma solicitação CoA (Change of Authorization) é emitida para reautorizar o cliente.
Ao receber a solicitação de CoA, o AP confirma a solicitação e envia de volta o mesmo ACCESS_REQUEST da etapa 2.
O cliente está disponível no banco de dados do servidor RADIUS e é fornecido com um ACCESS-ACCEPT sem nenhuma restrição de redirecionamento de URL e o cliente tem conectividade de rede com base em suas políticas configuradas.

Configuração de WLAN

Crie ou edite uma WLAN, habilite o MAB e adicione seu servidor RADIUS.

Crie ou navegue até a WLAN que você deseja configurar com o Acesso de convidado usando o servidor RADIUS com MAC Authentication Bypass.
- Para obter uma WLAN baseada em modelo, navegue até Organização > WLAN Modelos, clique no modelo (ou crie um modelo) e, em seguida, clique no WLAN (ou adicione um WLAN).
- Para selecionar uma WLAN específica do site, navegue até Site > WLANs e clique no WLAN (ou adicione um WLAN).
Para obter mais informações, consulte Configurar um modelo de WLAN.
Na seção Segurança da janela Criar/Editar WLAN, selecione autenticação de endereço MAC por pesquisa RADIUS e Acesso de convidado com desvio de autenticação Mac.
(Opcional) Use os campos Sub-redes permitidas e Nomes de host permitidos para especificar os recursos que os convidados podem acessar no estado de redirecionamento.
Se esses campos forem deixados em branco, o servidor RADIUS será o único endereço IP que os convidados podem acessar.
Adicione seu servidor RADIUS, conforme descrito em Habilitar a Segurança WPA2/WPA3 Enterprise (802.1X) em uma WLAN.

Conclua as tarefas adicionais de configuração do RADIUS abaixo.

Configuração do RADIUS

Configure políticas e perfis RADIUS para oferecer suporte ao fluxo de autenticação.

Política de autenticação — Configure uma política de autenticação para "continuar" se o usuário não for encontrado no banco de dados. Isso permite que o cliente obtenha um IP e seja colocado no estado de redirecionamento.
Políticas de autorização: Configure duas políticas que serão atingidas durante o processo do fluxo de acesso de convidado.
- A primeira política é a Wi-Fi_Redirect_to_Guest_Login, que se aplica quando o servidor RADIUS recebe a solicitação. Essa política fornece acesso parcial ao cliente. (Consulte as etapas 2 a 3 do fluxo.)
- A segunda política é o Wi-Fi_Guest_Access, que se aplica após a conclusão bem-sucedida da solicitação de CoA. Essa política fornece ao cliente acesso total. (Consulte as etapas 9 a 10 do fluxo.)
Perfil de autorização: Configure uma política de autorização RADIUS, conforme mostrado no exemplo abaixo. Essa política fornece a URL de redirecionamento para as etapas 6 a 7 do fluxo.