Ruckus ZoneDirector
GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento Zone Director de Ruckus para la integración con Octopus Platform
Ruckus Unleashed
Si va a utilizar la versión Ruckus Unleashed, por favor, siga la siguiente guía Ruckus Unleashed
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
2- Configuración módulo Guest
2.1 Radius Servers
Para configurar todos los parámetros relacionados con el Servidor Radius al que se enviarán las peticiones de validación acceder a Configure > AAA Servers y crear una nueva entrada haciendo click en Create New configurando los siguientes campos:
Radius Authentication:
Name: RADIUS
Type: RADIUS
Auth Method: PAP
Backup RADIUS: Enable
IP Address First Server: <IP_Radius_1>
Port: 1812
Sharet Secret: <Secret>
Confirm Secret: <Secret>
IP Address Second Server: <IP_Radius_2>
Port: 1812
Sharet Secret: <Secret>
Confirm Secret: <Secret>
Request timeout: 3 seconds
Max Numbers of Retries: 2 times
Radius Accounting:
Name: RADIUS_acct
Type: RADIUS Accounting
Backup RADIUS: Enable
IP Address First Server:<IP_Radius_1>
Port: 1813
Sharet Secret: <Secret>
Confirm Secret: <Secret>
IP Address Second Server: <IP_Radius_2>
Port: 1813
Sharet Secret: <Secret>
Confirm Secret: <Secret>
Request timeout: 3 seconds
Max Numbers of Retries: 2 times
2.2 Captive Portal
A continuación se debe configurar el portal cautivo de la plataforma WIFI. Para ello ir a Configure > Hotspot Services y crear un nuevo Hotspot Service configurando los siguientes parámetros:
Name: WIFI
WISPr Smart Client Support: None
Login Page (revisar apartado 2.5 para que la redirección de la url sea http o https):
Opción https: https://<dominio_captive_portal>/login/hotspot/ruckus
Opción http: http://<dominio_captive_portal>/login/hotspot/ruckus
After user is authenticated: Seleccionar Redirect to the URL that the user intends to vist si se desea gestionar la redirección desde la plataforma WIFI.
Authentication Server: seleccionar el servidor Radius de Authentication creado anteriormente. En el caso del ejemplo sería: RADIUS
Accounting Server: seleccionar el servidor Radius de Accounting creado anteriormente. En el caso del ejemplo sería: RADIUS_acct
Send Interim-Update every: 10 minutes
Walled Garden: añadir los dominios a los que los usuarios tendrán acceso libre antes de validarse en el portal cautivo.
Si se desean añadir dominios extra (Redes Sociales, Paypal, etc...) pueden consultarse desde el siguiente enlace.
2.3 WLANs
Una vez creado el Hotspot Service se debe asociar al SSID que radiarán los APs. Para ello ir a Configure > WLANs y crear una nueva WLAN o modificar una ya existente configurando los siguientes parámetros:
Name/ESSID: configurar SSID que radiarán los APs
WLAN Usages Type: Hotspot Service (WISPr)
Authentication Method: Open
Encryption Method: None
Hotspot Services: seleccionar el portal cautivo creado anteriormente. En el ejemplo sería "WIFI"
Access VLAN – VLAN ID: se puede configurar la VLAN asociada al SSID.
Por último es necesario crear o editar el WLAN Group para incluir la WLAN dentro de dicho grupo. Para editar el grupo dentro de Configure > WLANs > WLAN Groups y seleccionar la WLAN que se desee que radian los APs asociados a dicho grupo.
2.4 Configuración Called-Station-ID
IMPORTANTE: Es necesario cambiar el formato del Called Station ID que envía el equipo, lo cual únicamente se puede realizar por comandos. Por lo que es necesario acceder al equipo por SSH y una vez dentro del equipo ejecutar los siguientes comandos:
enable, para entrar en modo privilegiado.
config, para entrar en modo configuración global.
wlan nombre_wlan, para entrar en la configuración de la WLAN en cuestión donde se activará el hotspot.
called-station-id-type ap-mac, para cambiar el formato de envío a nuestro servidor.
end, para salirse de la configuración y guardar los cambios realizados
2.5 Opción configuración proceso login: HTTP o HTTPS
Existen dos opciones de configuración para la validación del portal cautivo: Una a través de conectividad http, donde el tráfico no iría cifrado y otra a través de https.
Opción HTTP
Dejando valores por defecto, podremos utilizar esta configuración.
Opción HTTPS
Si se elige configurar este opción de validación segura es muy importante saber que es necesario una resolución DNS entre el subdominio asociado al certificado y la IP del controlador, de lo contrario las validaciones no se redirigirán al ZoneDirector y se producirán errores de autenticación. Esta entrada DNS se deberá configurar en los servidores DNS entregados por DHCP a los clientes.
Lo primero, será cargar un nuevo certificado en el controlador asociado al subdomino para realizar el login. Para ello acceder a Configure > Certificate y dentro de la pestaña Import Signed Certificate hacer click en el botón Seleccionar archivo para subir el archivo proporcionado:
El primer certificado que se debe subir es el archivo securelogin.xxxxxxx.pem. Una vez que se ha elegido el archivo, seleccionar la opción Accept this certificate and then install a private key to match your certificate y hacer click en el botón Import.
A continuación es necesario subir el segundo certificado: certificate.key. Una vez seleccionado en el desplegable, seleccionar la opción Install this certificate and additional intermediate certificates y hacer click en el botón Import.
Tras subir la key del certificado es necesario subir el último certificado proporcionado. Para ello, seleccionar el certificado certificate.ca.crt en la pestaña Import Intermediate Certificates y seleccionar la opción Install this intermediate certificate and then reboot y hacer click en el botón Import.
Tras hacer click en Import el controlador se reiniciará para aplicar los cambios.
IMPORTANTE
En el controlador Zone Director el cambio de certificado para el portal cautivo también afecta al certificado que se usa para acceder a la gestión del controlador vía web. Por lo que para poder acceder al dispositivo será necesario usar un acceso HTTPS y con la dirección IP del controlador. Si por el contrario se accede mediante HTTP será redirigido al dominio securelogin.<dominio_certificado> y no podrá acceder al equipo si no se ha añadido una entrada estática en el DNS que asocie dicho dominio a la IP del controlador.
2.6 Listado MACs Autorizadas
Para que la validación de los usuarios funcione correctamente es necesario identificar los NAS que podrán realizar peticiones de autenticación al Servidor Radius. En este caso se deben añadir todas las direcciones MAC de los Access Point que radiarán el SSID configurado. Estas direcciones MAC son fácilmente accesibles desde Monitor > Access Points
Para obtener información sobre cómo añadir la dirección MAC de cada AP como un NAS autorizado en la plataforma consulte el siguiente enlace Localizaciones
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Platform
3.1 Configuración Captive portal + MAC Authentication
Si se desea configurar la funcionalidad que permitiría que las MAC dadas de alta en la plataforma WIFI puedan validarse una segunda vez directamente sin que les aparezca a los usuarios el portal cautivo, es necesario realizar una configuración adicional en el ZoneDirector. Dirigirse a Configure > Hotspot Services y seleccionar el que se quiera editar
Authentication Server: Seleccionar el Radius Authentication creado en el punto 2.1 de este manual.
Activar la casilla "Enable MAC authentication bypass (no rediretion)".
Marcar "Use device MAC address as authentication password".
MAC Address Format: Seleccionar el formato de la MAC con división por puntos.
Accounting Server: Seleccionar el Radius Accounting creado en el punto 2.1 de este manual.
Send Interim-Update every: 10 minutes
3.2 Configuración MAC Authentication
Para crear un SSID dedicado únicamente a la validación por MAC Authentication, dirigirse a Configure > WLANs y crear una nueva WLAN o modificar una ya existente configurando los siguientes parámetros:
Name/ESSID: configurar SSID que radiarán los APs por ejemplo Mac_Auth_Guest
WLAN Usages Type: Starndar Usage
Authentication Method: MAC Address
Encryption Method: None
Access VLAN – VLAN ID: se puede configurar la VLAN asociada al SSID.
Authentication Server: Seleccionar el Radius Authentication creado en el punto 2.1 de este manual.
MAC Address Format: aa:bb:cc:dd:ee:ff
3.3 Configuración Access Profiles
A través de la plataforma Octopus es posible configurar una serie de atributos reply de los paquetes Access-Accept, agrupados en los llamados Access Profile. Estos Access Profile, permite activar una serie de funcionalidades en el Ruckus. Aunque están disponibles los dictionarys radius más comunes y propietarios de Ruckus, a continuación se lista algunos considerados como más interesantes:
Atributo | Descripción | Formato |
---|---|---|
Idle-Timeout | Tiempo máximo de inactividad. Si el usuario no transfiere ningún dato en la red durante este tiempo, la sesión terminará y tendrá que volver a autenticarse. Tiene que ser configurado en segundos. | Segundos |
Acct-Interim-Interval | Define el intervalo de tiempo en el que el NAS manda la actualización del paquete accounting con toda la información de sesión del usuario. Tiene que ser configurado en segundos. | Segundos |
WISPr-Bandwidth-Max-Down | Define límites de velocidad de bajada. Tiene que ser configurado en Bytes. | Bytes |
WISPr-Bandwidth-Max-Up | Define límites de velocidad de subida. Tiene que ser configurado en Bytes. | Bytes |
Reply-Message | Útil para funciones de troubleshooting, ya que permite identificar elementos asociados de la plataforma Octopus Wifi, como un access profile, método de acceso , localización, … |
|
Ejemplo de configuración de un Access Profile con los atributos anteriormente explicados:
Para mas información sobre como crear un Access Profile en Octopus Platform ir a Perfiles de Acceso