Acceso de invitado mediante el servidor RADIUS con anulación de autenticación MAC

Active esta opción si desea aprovechar los portales basados en RADIUS para el acceso de invitados.

En primer lugar, familiarícese con el flujo de acceso de invitados mediante el servidor RADIUS con anulación de autenticación MAC (MAB). Después, configure su WLAN. Por último, realice una configuración adicional de RADIUS para las políticas de autenticación y los perfiles de autorización.

Flujo de acceso de invitado mediante el servidor RADIUS con anulación de autenticación MAC

Se crea una WLAN en Juniper Mist con MAB realizado mediante la búsqueda de RADIUS.
Cuando un cliente se asocia a esta WLAN, su dirección MAC se envía al servidor de RADIUS mediante una ACCESS_REQUEST.
El servidor busca la dirección MAC en su base de datos.
- Si el cliente no se encuentra en la base de datos, devuelve un ACCESS_ACCEPT con una URL de redirección al Juniper Mist AP y el flujo continúa con el paso 4.
- Si el cliente se encuentra en la base de datos, el flujo va al paso 10.
El cliente tiene acceso limitado a la red, que incluye acceso al servidor BOOTP, DNS y RADIUS.
Después de que el cliente recibe una IP, el AP abre un socket web y escucha cualquier tráfico HTTP iniciado desde el cliente.
El tráfico se intercepta y se responde con la URL de redireccionamiento enviada por el servidor de RADIUS.
El cliente es redirigido a la URL especificada. En función de la política configurada, puede ser un portal patrocinado, un portal de registro automático o un portal de zona activa.
Después de que el cliente proporcione la información necesaria, la dirección MAC del cliente se instala en la base de datos y se emite una solicitud CoA (Cambio de autorización) para volver a autorizar al cliente.
Al recibir la solicitud de CoA, el AP acusa recibo de la solicitud y devuelve el mismo ACCESS_REQUEST que en el paso 2.
El cliente está disponible en la base de datos del servidor RADIUS y se le proporciona un ACCESS-ACCEPT sin ninguna restricción de redireccionamiento de URL y el cliente tiene conectividad de red según las políticas configuradas.

Configuración de WLAN

Cree o edite una WLAN, habilite MAB y agregue el servidor RADIUS.

Cree o navegue hasta la WLAN que desea configurar con acceso de invitado mediante el servidor RADIUS con omisión de autenticación MAC.
- Para una WLAN basada en plantillas, vaya a Plantillas de WLAN > de la organización, haga clic en la plantilla (o cree una plantilla) y, a continuación, haga clic en el WLAN (o agregue una WLAN).
- Para seleccionar una WLAN específica del sitio, vaya a WLAN > sitio y, a continuación, haga clic en el WLAN (o agregue una WLAN).
Para obtener más información, consulte Configurar una plantilla WLAN.
En la sección Seguridad de la ventana Crear/Editar WLAN, seleccione Autenticación de dirección MAC mediante la búsqueda de RADIUS y Acceso de invitado con omisión de autenticación MAC.
(Opcional) Utilice los campos Subredes permitidas y Nombres de host permitidos para especificar los recursos a los que los invitados pueden acceder en el estado de redireccionamiento.
Si estos campos se dejan en blanco, el servidor de RADIUS es la única dirección IP a la que pueden acceder los invitados.
Agregue su servidor RADIUS, como se describe en Habilitar la seguridad empresarial WPA2/WPA3 (802.1X) en una WLAN.

Complete las tareas adicionales de configuración de RADIUS a continuación.

Configuración de RADIUS

Configure las políticas y los perfiles de RADIUS para admitir el flujo de autenticación.

Política de autenticación: configure una política de autenticación para "continuar" si el usuario no se encuentra en la base de datos. Esto permite que el cliente obtenga una IP y se coloque en el estado de redireccionamiento.
Políticas de autorización: configure dos políticas que se alcanzarán durante el proceso del flujo de acceso de invitado.
- La primera política es Wi-Fi_Redirect_to_Guest_Login, que se aplica cuando el servidor RADIUS recibe la solicitud. Esta política proporciona acceso parcial al cliente. (Consulte los pasos 2 y 3 del flujo).
- La segunda política es Wi-Fi_Guest_Access, que se aplica tras completar con éxito la solicitud de CoA. Esta política proporciona al cliente acceso completo. (Consulte los pasos 9 y 10 del flujo).
Perfil de autorización: configure una política de autorización de RADIUS como se muestra en el ejemplo siguiente. Esta política proporciona la URL de redireccionamiento para los pasos 6 y 7 del flujo.