Captive Portal

Модуль «Captive Portal» предоставляет возможность авторизации пользователей на ИКС для доступа к сети Интернет, а также объединяет в себе настройку и функциональность трех сервисов:

Для открытия модуля перейдите в меню Пользователи и статистика > Captive Portal.

Все TCP-запросы на порты 80 и 443 от всех неизвестных пользователей перехватывает межсетевой экран и перенаправляет в модуль «Captive Portal». Неавторизованному пользователю в браузере выдается окно авторизации.

Внимание! Не все браузеры способны автоматически выдать окно авторизации Captive Portal. В таком случае пользователь должен обратиться на:

<IP_ICS>:81/portal/

Вместо обращения <IP_ICS>:81/portal/ на ИКС можно создать виртуальный хост с перенаправлением. Таким образом, пользователь будет обращаться на локально созданное доменное имя, а попадать на <IP_ICS>:81/portal/.

Внимание! Авторизация на Captive Portal будет работать только из локальных сетей ИКС.

Для успешной авторизации доменного пользователя ИКС должен находиться в домене. Настроить это можно в модуле «Сетевое окружение».

В модуле расположены следующие вкладки:

Captive Portal

На данной вкладке отображаются:

  • статус службы (запущен, остановлен, выключенне настроен);
  • кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
  • журнал последних событий.

Настройки

На данной вкладке можно выбрать режим работы Captive Portal. Для этого просто установите соответствующие флаги:

  • «Авторизация по логину/паролю» — в качестве сервиса веб-авторизации;
  • «SMS-авторизация» — в качестве сервиса SMS-авторизации;
  • «Авторизация по звонку» — в качестве сервиса авторизации по звонку;
  • совместная работа в любой комбинации (при установке нескольких флагов одновременно).

Чтобы при обращении пользователя к HTTPS-ресурсам корректно работало перенаправление на страницу авторизации, в поле «Сертификат» установите конечный сертификат, а также используйте прозрачный прокси.

Каждый авторизованный пользователь в Captive Portal сохраняется как сессия на основе MAC-адреса данного пользователя. Идентификация по MAC-адресу используется вместо идентификации по IP-адресу. Это помогает избежать случаев с подменой IP-адреса или случаев, когда IP-адрес еще не истекшей сессии выдается другому пользователю по DHCP.

Каждая сессия имеет время жизни, по истечении которого пользователь автоматически разлогинивается. Время жизни сессии можно изменить в одноименном поле. Также Captive Portal каждую 1 минуту проверяет кеш ARP операционной системы.

По умолчанию Captive Portal работает во всех сетях. В соответствующем поле можно указать конкретную сеть. Это может быть локальная сеть либо Wi-Fi.

  • Если MAC-адрес авторизованного пользователя отсутствует в кеше, то Captive Portal считает, что пользователь неактивен и автоматически разлогинивает его.
  • Если MAC-адресу был присвоен другой IP-адрес, то Captive Portal обновляет у сессии IP-адрес, при этом сессия не закрывается.

Авторизация по логину/паролю

  1. Установите флаг «Авторизация по логину/паролю». Тогда в модуле «Captive Portal» будет включен и запущен сервер веб-авторизации. При первом обращении пользователя к какому-либо ресурсу ему будет предложено ввести логин и пароль, закрепленный за его учетной записью в ИКС.

  2. При необходимости установите флаг «Запретить множественную авторизацию с одним логином». Тогда пользователь, использующий конкретный логин, не сможет одновременно авторизоваться при помощи Captive Portal с различных устройств (IP-адресов). Аналогичная опция присутствует в настройках сервера авторизации (Xauth), однако действие этих опций не перекрывается и каждая из них влияет только на соответствующую службу.

    Пример для двух пользователей

    В системе два пользователя. Снят флаг «Запретить множественную авторизацию с одним логином». В Captive Portal авторизованы несколько пользователей под одним логином и паролем. Если установить флаг «Запретить множественную авторизацию с одним логином», то множественная авторизация сработает только тогда, когда новый пользователь авторизуется в Captive Portal под этим же логином и паролем. В таком случае все подключенные пользователи будут отключены и активная сессия будет только у нового пользователя. А если нового пользователя не будет, то у текущих пользователей сессии будут активны и оборвутся в тот момент, когда закончится время жизни сессии (установлено в настройках Captive Portal).

  3. Нажмите «Сохранить».

Внимание! При данном типе авторизации, если вы нажали кнопку выхода из сети Интернет, войти снова не получится до тех пор, пока соединение не восстановится.

SMS-авторизация

  1. Установите флаг «SMS-авторизация» — тогда пользователи будут проходить авторизацию через SMS.

  2. В поле «Назначать адреса пользователю» выберите одного из пользователей, заведенных на ИКС. Данному пользователю для каждой новой сессии будут выдаваться динамические IP-адреса.
  3. В поле «Время действия кода, отправленного в SMS» укажите время действительности кода в секундах (от 60 до 999999). Если время действия кода истекло и код не был введен, то пользователю необходимо вновь запросить код, нажав соответствующую кнопку в форме веб-авторизации. По умолчанию установлено значение 180 секунд.
  4. В поле «Интервал между повторными попытками отправки SMS» задайте время блокировки кнопки «Отправить СМС повторно» для пользователя при SMS-авторизации. Значение, задаваемое в данном поле, не должно превышать время действия кода, указанное в Шаге 3.
  5. В поле «Максимальное число попыток повторной отправки SMS для одного номера» укажите число попыток повторной отправки SMS, которое может совершить пользователь для одного абонентского номера. При этом время между попытками будет вычисляться по формуле: номер попытки * «Интервал между повторными попытками отправки SMS».

    Если пользователь исчерпал указанное число попыток отправки SMS, он сможет изменить абонентский номер для отправки SMS. При смене абонентского номера число попыток обнулится.

  6. В поле «Текст SMS» введите текст сообщения, которое будет отправлено пользователю при авторизации. Данное сообщение обязательно должно содержать шаблон {code}. Вместо этого шаблона SMS-сервер вставит четырехзначное число.
  7. Для подключения сервера SMPP заполните в блоке «Параметры SMPP» следующие поля: «SMPP-сервер», «Порт», «Логин/system_id» и «Пароль».

    Значения дополнительных параметров подключения «source-addr-ton», «source-addr-npi», «dest-addr-ton», «dest-addr-npi» должны быть указаны в документации к подключаемому серверу SMPP. В большинстве случаев они такие:

    • source-addr-ton — 5
    • source-addr-npi — 1
    • dest-addr-ton — 1
    • dest-addr-npi — 1

  8. Нажмите «Сохранить».

Чтобы проверить правильность введенных настроек, воспользуйтесь функцией тестовой отправки. Для этого:

  1. Нажмите «Проверка отправки SMS».
  2. В открывшемся окне заполните поле  «Номер телефона» (является обязательным). Вводимые номера должны иметь следующий формат: <код страны или выход на зоновую/междугороднюю нумерацию> <десятизначный номер абонента в операторской сети>. Все вводимые номера должны содержать только цифры (не менее одиннадцати), без скобок и дефисов (например, +79991112233 или 85554447799).
  3. В поле «Текст SMS» можно ввести любой текст для отправки.

  4. Нажмите «Отправить». Если сообщение было успешно отправлено, будет показана соответствующая информация, в противном случае отобразится ошибка отправки и код ошибки.

Авторизация по звонку

  1. Установите флаг «Авторизация по звонку» — тогда пользователи будут проходить авторизацию по звонку.
  2. В поле «Назначать адреса пользователю» выберите одного из пользователей, заведенных на ИКС. Данному пользователю для каждой новой сессии будут выдаваться динамические IP-адреса.
  3. В поле «Провайдер телефонии для приема звонков» задайте SIP-провайдера модуля IP-телефонии ИКС, который будет ожидать входящий звонок от авторизуемого пользователя.
  4. В поле «Номер для звонка» укажите внешний номер провайдера, на который необходимо совершить звонок авторизуемому пользователю.
  5. В поле «Время ожидания звонка» задайте время (в секундах), в течение которого авторизуемый пользователь должен совершать звонок на указанный номер.

  6. Нажмите «Сохранить».

Изменить логотип

На вкладке «Настройки» также можно изменить приветственный логотип для SMS-авторизации и авторизации по логину/паролю. Для этого:

  1. Нажмите кнопку «Изменить логотип» — в открывшемся окне отобразится текущий логотип (по умолчанию это логотип ИКС).

  2. Нажмите «Загрузить .png» и выберите файл формата .png. Рекомендуемый размер загружаемого логотипа 316*118 пикселей.

    Кнопка «Восстановить по умолчанию» позволяет вернуть логотип ИКС.

  3. Нажмите «Закрыть».

Активные сессии

На данной вкладке отображаются текущие сеансы пользователей, авторизованных через Captive Portal, с присвоенными им динамическими IP-адресами в ИКС.

Заблокированные номера

На данной вкладке показаны номера абонентов, которые исчерпали все попытки ввода кода. Блокировка на данные номера устанавливается на время жизни сессии. Блокировка может быть принудительно снята пользователем ИКС, имеющим права администратора.

Журнал

На данной вкладке отображается сводка всех системных сообщений соответствующих серверов с указанием даты и времени.

Журнал является стандартным элементом веб-интерфейса ИКС.

О статье

Идентификатор статьи:
52
Категория:
Рейтинг :

Меню

Связанные статьи