Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用具有 MAC 身份验证旁路功能的 RADIUS 服务器进行访客访问

如果要利用基于 RADIUS 的门户进行访客访问,请启用此选项。

首先,熟悉使用具有 MAC 身份验证旁路 (MAB) 功能的 RADIUS 服务器的访客访问流程。然后配置您的 WLAN。最后,对身份验证策略和授权配置文件执行其他 RADIUS 配置。

使用具有 MAC 身份验证绕过功能的 RADIUS 服务器的访客访问流

  1. 在 Juniper Mist 中创建 WLAN,并使用 RADIUS 查找执行 MAB。

  2. 当客户端关联到此 WLAN 时,将使用 ACCESS_REQUEST 将其MAC 地址发送到 RADIUS 服务器。

  3. 服务器在其数据库中查找 MAC 地址。

    • 如果在数据库中找不到客户端,则将带有重定向 URL 的ACCESS_ACCEPT发回给Juniper Mist AP,流程继续执行步骤 4。

    • 如果在数据库中找到客户端,则流将转到步骤 10。

  4. 为客户端提供对网络的有限访问,包括对 BOOTP、DNS 和 RADIUS 服务器的访问。

  5. 客户端收到 IP 后,AP 会打开 Web 套接字,并监听客户端发起的任何 HTTP 流量。

  6. 流量将被拦截,并使用 RADIUS 服务器发送的重定向 URL 进行响应。

  7. 客户端将重定向到指定的 URL。根据您配置的策略,它可能是赞助门户、自助注册门户或热点门户。

  8. 客户端提供必要信息后,客户端的 MAC 地址将安装在数据库中,并发出 CoA(授权变更)请求以重新授权客户端。

  9. 收到 CoA 请求后,接入点确认请求并发回与步骤 2 中相同的ACCESS_REQUEST。

  10. 客户端在 RADIUS 服务器数据库中可用,并提供 ACCESS-ACCEPT,没有任何 URL-重定向限制,并且客户端具有基于您配置的策略的网络连接。

WLAN 配置

创建或编辑 WLAN,启用 MAB,然后添加 RADIUS 服务器。
  1. 创建或导航到要使用具有 MAC 身份验证旁路功能的 RADIUS 服务器通过访客访问进行设置的 WLAN。

    • 对于基于模板的 WLAN,请导航到“WLAN 模板>组织”,单击模板(或创建模板),然后单击 WLAN(或添加 WLAN)。

    • 要选择特定于站点的 WLAN,请导航到 站点> WLAN,然后单击该 WLAN(或添加 WLAN)。

    更多信息,请参阅 配置WLAN模板

  2. 在“创建/编辑 WLAN”窗口的“安全性”部分中,选择“通过 RADIUS 查找进行 MAC 地址身份验证”和“使用 MAC 身份验证绕过的访客访问”。
    MAB Options in the Security Section of the WLAN Settings
  3. (可选)使用“允许的子网”和“允许的主机名”字段指定来宾可以在重定向状态下访问的资源。
    如果这些字段留空,则 RADIUS 服务器是来宾可以访问的唯一 IP 地址。
  4. 添加 RADIUS 服务器,如在 WLAN 上启用 WPA2/WPA3 Enterprise (802.1X) 安全性中所述。
完成以下其他 RADIUS 配置任务。

RADIUS 配置

配置 RADIUS 策略和配置文件以支持身份验证流。

  1. 身份验证策略 - 将身份验证策略配置为在数据库中找不到用户时“继续”。这允许客户端获取 IP 并将其置于重定向状态。

    RADIUS Authentication Policy

  2. 授权策略:配置在访客访问流过程中将命中的两个策略。

    Authorization Policies

    • 第一个策略是 Wifi_Redirect_to_Guest_Login,当 RADIUS 服务器收到请求时应用。此策略提供对客户端的部分访问权限。(请参阅流程的步骤 2-3。

    • 第二个策略是 Wifi_Guest_Access,在成功完成 CoA 请求后应用。此策略为客户端提供完全访问权限。(请参阅流程的步骤 9-10。

  3. 授权配置文件:配置 RADIUS 授权策略,如下例所示。此策略为流程的步骤 6-7 提供重定向 URL。

    RADIUS Authorization Profile