Introdução
O guia a seguir foi criado utilizando uma rede sem fio Zyxel com os seguintes componentes:
- Controller: Zyxel NXC2500
- AP: Zyxel NWA5123-NI
- Firmware: V5.00(AAIG.3) / V1.03 / 2017-02-03 07:02:31
Configurando o RADIUS Server
Configure o servidor RADIUS CoffeeBean criando um novo Servidor AAA.
Vá para "Configuration > Object > AAA Server" e clique na guia RADIUS.
Clique para adicionar um novo servidor RADIUS, defina um nome como "social-id-radius" e configure as configurações de autenticação e contabilidade da seguinte forma.
RADIUS Authentication
- Server Address: o nome do servidor RADIUS primário de acordo com o seu ambiente/região, confira em primary RADIUS server hostname
- Authentication Port: 1812
- Backup Server Address: o nome do servidor RADIUS secundário de acordo com o seu ambiente/região, confira em secondary RADIUS server hostname
- Backup Authentication Port: 1812
- Key: a chave secreta do cliente RADIUS fornecida
RADIUS Accounting
- Server Address: o nome do servidor RADIUS primário de acordo com o seu ambiente/região, confira em primary RADIUS server hostname
- Accounting Port: 1813
- Backup Server Address: o nome do servidor RADIUS secundário de acordo com o seu ambiente/região, confira em secondary RADIUS server hostname
- Backup Accounting Port: 1813
- Key: a chave secreta do cliente RADIUS fornecida
Você também pode habilitar "Accounting Interim Update (Atualização Intermediária de Contabilidade)" para enviar informações de contabilidade no intervalo desejado.
Importante: a chave RADIUS (secret) deve ter até 15 caracteres alfanuméricos.
Metodo de Autenticação
Vá para "Configuration > Object > Auth. Method" e clique em Add para criar um novo método de autenticação.
Defina um nome como "social-id-auth" e adicione o servidor RADIUS criado anteriormente
(ex.: "grupo social-id-radius"):
SSID
Vá para "Configuration > AP Profile" e clique na guia SSID.
Crie um novo SSID com um nome de perfil "social-id-ssid", por exemplo, e defina o nome do seu SSID:
Captive Portal
Configure o captive portal externo.
Vá para "Configuration > Captive Portal", clique em "Enable Captive Portal" e escolha "External Web Portal":
Em seguida, preencha as seguintes informações:
- Login URL: a URL de login fornecida pelo captive portal
- Welcome URL: a URL de boas-vindas fornecida pelo captive portal
- Error URL: a URL de erro fornecida pelo captive portal
- Authentication Method: Método de Autenticação criado anteriormente (ex.: "social-id-auth")
Politicas de autenticação e Walled Garden
Você precisa configurar as políticas de autenticação, incluindo os hosts que você precisa deixar abertos antes que o usuário autentique na rede (walled garden). Esses hosts não autenticados devem incluir as faixas de IP da plataforma CoffeeBean e das redes sociais fornecidas como métodos de autenticação.
Siga esta sequência para concluir a configuração:
- Crie um endereço para cada host no walled garden.
- Para cada endereço, você precisa criar uma Regra de Política e definir o Destination Address.
- Crie um Grupo de Políticas incluindo todas as regras de política.
Configurando endereços
Vá para "Configuration > Object > Address", guia adress.
Adicione um novo objeto de endereço para cada host no walled garden. Get the list of IP ranges para a plataforma CoffeeBean e cada rede social que você usa em seu captive portal.
Exemplo: para a CIDR do Facebook 31.13.24.0/21 você precisa adicionar o seguinte objeto:
- Name: facebook-1
- Address Type: SUBNET
- Network: 31.13.24.0
- Netmask: 255.255.248.0
Você pode usar ferramentas como http://www.ipaddressguide.com/cidr para obter os endereços inicial e final das notações CIDR.
Configurando Regras de Política
Vá para "Configuration > Captive Portal" e clique na guia "Redirect on AP".
Adicione uma nova Regra de Política de Autenticação para cada Endereço criado anteriormente
Exemplo: para o Endereço "facebook-1", você precisa adicionar a seguinte regra de política:
- Profile Name: facebook-1-policy-rule
- SSID: o SSID criado anteriormente (Ex.: social-id-ssid)
- Source Address: any
- Destination Address: facebook-1
- Schedule: none
- Authentication: unnecessary
Após criar uma regra de política para cada Endereço no jardim murado, você precisa criar mais uma regra de política para forçar a autenticação para todos os outros destinos:
- Profile Name: social-id-policy-rule
- SSID: o SSID criado anteriormente (ex.: social-id-ssid)
- Source Address: any
- Destination Address: any
- Schedule: none
- Authentication: force
Configurando o Grupo de Polítcas
O grupo de políticas é usado para definir a ordem em que as regras de política serão aplicadas.
Vá para "Configuration > Captive Portal" e clique na guia "Redirect on AP".
Adicione um novo Grupo de Políticas de Autenticação com um nome como "grupo-de-politicas-social-id" e adicione cada regra de política que você criou anteriormente.
Não se esqueça de adicionar a regra de política "social-id-policy-rule" como a última na lista.
Gereciamento de AP
Vá para "Configuration > AP Management" e clique na guia "AP Group".
Crie um novo Grupo de AP com um nome de grupo "social-id-ap-group", por exemplo.
Para as Configurações de Rádio 1 e Rádio 2, selecione o Perfil SSID criado anteriormente (por exemplo, social-id-ssid) como "Perfil SSID":
Nas Configurações "Portal Redirect on AP", selecione o Grupo de Políticas criado anteriormente (por exemplo, social-id-policy-group):
Na configuração "AP List", mova os APs que você deseja usar para transmitir o SSID com o Captive Portal para a lista "Membros":