Acceso de invitado mediante el servidor RADIUS con omisión de autenticación MAC

Active esta opción si desea aprovechar los portales basados en RADIUS para el acceso de invitados.

En primer lugar, familiarícese con el flujo de acceso de invitados mediante el servidor RADIUS con derivación de autenticación MAC (MAB). A continuación, configure su WLAN. Por último, realice una configuración RADIUS adicional para las políticas de autenticación y los perfiles de autorización.

Flujo de acceso de invitado mediante el servidor RADIUS con derivación de autenticación MAC

Se crea una WLAN en Juniper Mist con MAB que se realiza mediante la búsqueda RADIUS.
Cuando un cliente se asocia a esta WLAN, su dirección MAC se envía al servidor RADIUS mediante un ACCESS_REQUEST.
El servidor busca la dirección MAC en su base de datos.
- Si el cliente no se encuentra en la base de datos, devuelve un ACCESS_ACCEPT con una URL de redirección al AP de Juniper Mist y el flujo continúa con el paso 4.
- Si el cliente se encuentra en la base de datos, el flujo va al paso 10.
El cliente tiene acceso limitado a la red, que incluye acceso al servidor BOOTP, DNS y RADIUS.
Después de que el cliente recibe una IP, el AP abre un socket web y escucha cualquier tráfico HTTP iniciado desde el cliente.
El tráfico es interceptado y se responde con la URL de redireccionamiento que fue enviada por el servidor RADIUS.
Se redirige al cliente a la dirección URL especificada. Según la directiva configurada, puede ser un portal patrocinado, un portal de registro automático o un portal de hotspot.
Después de que el cliente proporciona la información necesaria, la dirección MAC del cliente se instala en la base de datos y se emite una solicitud CoA (Cambio de autorización) para volver a autorizar al cliente.
Al recibir la solicitud de CoA, el AP reconoce la solicitud y devuelve el mismo ACCESS_REQUEST que en el paso 2.
El cliente está disponible en la base de datos del servidor RADIUS y se le proporciona un ACCESS-ACCEPT sin restricciones de URL-Redirect y el cliente tiene conectividad de red basada en sus políticas configuradas.

Configuración de WLAN

Cree o edite una WLAN, habilite MAB y agregue su servidor RADIUS.

Cree o navegue hasta la WLAN que desea configurar con acceso de invitado mediante el servidor RADIUS con desvío de autenticación MAC.
- Para una WLAN basada en plantillas, vaya a Organización > Plantillas WLAN, haga clic en la plantilla (o cree una plantilla) y, a continuación, haga clic en WLAN (o agregue una WLAN).
- Para seleccionar una WLAN específica del sitio, vaya a Sitio > WLAN y, a continuación, haga clic en WLAN (o agregue una WLAN).
Para obtener más información, consulte Configurar una plantilla WLAN.
En la sección Seguridad de la ventana Crear/Editar WLAN, seleccione Autenticación de dirección MAC mediante búsqueda RADIUS y Acceso de invitado con omisión de autenticación Mac.
(Opcional) Utilice los campos Subredes permitidas y Nombres de host permitidos para especificar los recursos a los que los invitados pueden acceder en el estado de redireccionamiento.
Si estos campos se dejan en blanco, el servidor RADIUS es la única dirección IP a la que los invitados pueden acceder.
Agregue su servidor RADIUS como se describe en Habilitar la seguridad empresarial WPA2/WPA3 (802.1X) en una WLAN.

Complete las tareas adicionales de configuración de RADIUS a continuación.

Configuración de RADIUS

Configure políticas y perfiles de RADIUS para admitir el flujo de autenticación.

Política de autenticación: configure una política de autenticación para "continuar" si no se encuentra el usuario en la base de datos. Esto permite que el cliente obtenga una IP y se coloque en el estado de redirección.
Políticas de autorización: configure dos políticas que se aplicarán durante el proceso del flujo de acceso de invitados.
- La primera directiva es Wifi_Redirect_to_Guest_Login, que se aplica cuando el servidor RADIUS recibe la solicitud. Esta política proporciona acceso parcial al cliente. (Consulte los pasos 2-3 del flujo.)
- La segunda política es Wifi_Guest_Access, que se aplica al completar con éxito la solicitud de CoA. Esta política proporciona al cliente acceso completo. (Consulte los pasos 9 a 10 del flujo).
Perfil de autorización: configure una directiva de autorización RADIUS como se muestra en el ejemplo siguiente. Esta política proporciona la URL de redireccionamiento para los pasos 6 y 7 del flujo.