Настройка Radius-сервера в Captive portale
-
Здравствуйте, уважаемые форумчане. Никаких схем и полных настроек пока выкладывать не буду, чтобы не растягивать сообщение. Основная проблема вот в чем, решили поднять на pfsense 2.2.5 Captive Portal с авторизацией у контроллера домена, и столкнулся с такой проблемкой. Во-первых, вызвало большое удивление что нельзя просто указать какой использовать Радиус из настроенных (openvpn на другом сервере у меня так работает, в User Manager настроил, указал в настройках OpenVPN и забыл), но это конечно частности. Во-вторых, настроил - указал имя, порт, ключ соединения с Windows Server 2012 R2 (AD+NPS), но работает как то странно - в правилах NPS стоит определенная группа пользователей - Wifi_Work, но Caprtive Portal авторизует всех кто есть в домене. У меня складывается впечатление что я неправильно настроил службу Accounting в настройках Radius Server'a. Потому что если те же самые параметры внести через User Manager (создать там Radius сервер) все прекрасно работает, авторизуются пользователи только из группы Wifi_Work.
Настройки:
Authentication - RADIUS Authentication
RADIUS Protocol - MSCHAPv2
Primary RADIUS server
IP address - 192.168.0.2
Port - 1812
Shared secret - 23416461345465a465Accounting
send RADIUS accounting packets +
Accounting port - 1813
Accounting updates -
no accounting updates
stop/start accounting +
interim updateRADIUS options
Reauthenticate connected users every minute +
Enable RADIUS MAC authentication -
RADIUS NAS IP attribute - ip адрес Wan интерфейса
Use RADIUS Session-Timeout attributes -
Type - default
Accounting Style - Invert Acct-Input-Octets and Acct-Output-Octets - -
В интернете нахожу только одну статью об общей настройке, и больше ничего путного, причем одна и та же статья на всех языках мира)). Хотя нашел и другие ресурсы, но почему не хочет именно группы брать - загадка. А еще вопрос, должен ли Captive Portal автоматически перенаправлять на страницу когда захочешь или необходимо набивать адрес pfsense с портом 8003?
-
Вопрос снят, у двух учеток на которых эксперементировал были заданы параметры обходящие NPS. Извиняюсь. Друзья, а как сделать чтобы автоматически происходило перенаправление на страницу авторизации?
-
Вопрос снят, у двух учеток на которых эксперементировал были заданы параметры обходящие NPS. Извиняюсь. Друзья, а как сделать чтобы автоматически происходило перенаправление на страницу авторизации?
Добрый.
Разве Captive Portal это по-дефолту не делает? Ставите галку на Enable, выбираете правильно Interface.У pf есть своя стандартная страница для CP, но можно исп. и свою.
Ниже в архиве пример. -
Да, про добавление своей страницы я знаю, как раз хотел ее написать под компанию. А вот про автомат перенаправления такого нет, захожу в ie 11 открываю, например google, он крутит и в последствии пишет что Нет доступа, проверьте соединение и пр. А если зайти на ip lan:8003 появляется страница авторизации и авторизовавшись, все работает. Я тоже думал что должен автоматом перенаправлять, не очень хочется у всех пользователей страницу по умолчанию прописывать((
-
Да, про добавление своей страницы я знаю, как раз хотел ее написать под компанию. А вот про автомат перенаправления такого нет, захожу в ie 11 открываю, например google, он крутит и в последствии пишет что Нет доступа, проверьте соединение и пр. А если зайти на ip lan:8003 появляется страница авторизации и авторизовавшись, все работает. Я тоже думал что должен автоматом перенаправлять, не очень хочется у всех пользователей страницу по умолчанию прописывать((
Хмм.. А попробуйте без radius - по ваучерам. Заработает , значит что-то не то с radius.
P.s. Перенаправление делается в port forward на LAN. Только не будет лт это правило мешать уже после прохождения CP- авторизации?