Клиент и хотспот - подключение и авторизация

Давайте рассмотрим процесс взаимодействия клиента и системы (хотспота). Что происходит при подключении к сети? Как осуществляется авторизация?

Итак...

Клиент видит беспроводную сеть вашего хотспота и подключается к ней. Так как сеть открытая (ведь вы же хотели, чтобы к хотспоту могли беспрепятственно подключаться все клиенты и поэтому не включали на точках шифрование WEP/WPA/WPA2?), то проблем с подключением у клиента не возникает. При этом компьютер клиента автоматически получает все необходимые настройки протокола TCP-IP (напоминаю, что DHCP-сервер - это одна из встроенных функций контроллера доступа Chillispot). Благодаря этому удобству компьютер клиента сразу же после подключения к хотспоту полностью готов к тому, чтобы ринуться в пучину интернета!

Но если все так просто и открыто, то где же тогда обещанная защита? Так ведь все, кому не лень кинутся в интернет лезть через мой хотспот?! Не стоит так переживать! Клиенту чтобы попасть в интернет недостаточно просто подключиться к хотспоту, ему еще нужно авторизоваться! И до тех пор, пока он не введет выданные вами логин и пароль, не видать ему интернета «как своих ушей»!

И каким же образом тогда клиент будет авторизоваться? Никакого шаманства, колдовства или «ритуальных танцев»! Все очень просто! С целью максимального удобства клиента, а также поддержки максимально широкого круга самых различных мобильных устройств, авторизация клиента выполняется на специальной веб-странице – странице авторизации хотспота. Ведь у каждого устройства, расчитанного на работу в интернете, обязательно присутствует браузер. И не важно, какой это браузер или какая операционная система используются устройством клиента. Достаточно, чтобы эта система смогла открыть обычную веб-страницу и позволила ввести в нее данные в пару полей (те самые пресловутые логин и пароль). Именно поэтому, метод авторизации, используемый в хотспотах, получил название UAM (Universal Authentication Method)

То есть, чтобы попасть в интернет, клиент должен подключиться к хотспоту, запустить браузер и попытаться в нем перейти на какую-нибудь страницу в интернете. В итоге, тот клиент, который еще не вводил логин и пароль (ранее), получит вместо запрошенной им страницы страницу авторизации. В простейшем случае, вот такую:

Auth_page_regular_only_pass

Если же клиент подключился с мобильного устройства с небольшим экраном, страница авторизации автоматически меняет свой макет, чтобы человек мог без дополнительных манипуляций с масштабом (и т.п.) сразу же комфортно видеть форму ввода логина и пароля:

auth_page_full_mobile

По большому счету, зачем смотреть картинки? Особенно, если, для того, чтобы увидеть страницу авторизации «живьем», достаточно просто щелкнуть вот эту ссылку:

Страница авторизации хотспота программы Easyhotspot

Технически происходит следующее: Chillispot перехватывает DNS-запрос клиента и проверяет – авторизован ли тот или нет. Если клиент еще не авторизован, то перенаправляется на страницу авторизации, а если он уже вводил корректные логин и пароль ранее, то тогда Chillispot абсолютно никоим образом не мешает клиенту пользоваться интернетом.

Но вернемся к неавторизованному клиенту и странице авторизации. Чтобы получить доступ в интернет, клиент просто вводит выданные ему логин и пароль(*). Страница авторизации передает полученные от клиента логин и пароль Chillispot-у, а тот в свою очередь отсылает их на проверку серверу авторизации и учета RADIUS. Сервер RADIUS полученные данные (логин и пароль) сверяет с данными, хранящимися в базе учетных записей в сервере MySQL. По результатам проверки возможны два варианта:

Первый (простой) – логин и/или пароль не верны. В этом случае сервер RADIUS просто отвечает Chillispot-у отказом и последний не пускает клиента в интернет. Вместо этого клиенту снова выводится страница авторизации, на которой указано, что попытка входа не удалась.

Второй вариант посложнее – когда пароль и логин совпадают с данными, присутствующими в базе учетных записей. В таком случае сервер RADIUS сначала считывает из базы все лимиты, которые были назначены данному клиенту. Лимиты эти можно разделить на две группы.

  • К первой относятся те, которые должны быть проверены ДО того, как будет принято решение об авторизации клиента. К ним относятся например такие лимиты, как максимально отведенное клиенту время доступа в интернет, или максимально позволенный клиенту объем данных, которые он может скачать из интернета. Такие лимиты тут-же проверяются сервером RADIUS. Например, клиенту назначен лимит по времени - ему разрешено провести в интернете максимально только 30 минут. В этом случае RADIUS проверяет – были ли у клиента ранее сеансы доступа. И, если были – то какова их суммарная длительность. Если их суммарная длительность превысит отведенные 30 минут, то проверка не будет пройдена, и клиенту будет отказано в авторизации даже не взирая на то, что его логин и пароль верны. Если же все необходимые проверки пройдены, и клиенту разрешено подключиться в интернет, то сервер RADIUS переходит ко второй группе лимитов.
  • Вторая группа – это лимиты, которые подлежат отправке контроллеру доступа в случае успешной авторизации клиента. Это те атрибуты, которые указывают контроллеру доступа с какими параметрами подключать клиента к интернету. Типичным примером могут служить атрибуты, ограничивающие максимальную скорость передачи данных к клиенту из интернета и обратно - от клиента в интернет. Получив их, контроллер доступа Chillispot ограничит скорость обмена данными между клиентом и интернетом до значений, указанных в этих параметрах. Таким образом, если в учетной записи клиента присутствуют такие или подобные лимиты, то при авторизации клиента они будут отправлены контроллеру доступа Chillispot, и в итоге параметры подключения клиента к интернету будут определяться присланными значениями.

Полный список лимитов (ограничений) доступа в интернет, которые вы можете назначить клиентам, обслуживая их с помощью данной модификации программы Easyhotspot, приведен на странице «Лимиты клиентов хотспота».

Ролик, показывающий процесс простой авторизации клиента хотспота по логину и паролю

Также, ролик доступен на сайте Youtube по ссылке: https://youtu.be/UnGOPjkM0OQ

ПРИМЕЧАНИЕ:

  • Если вы захотите давать клиентам бесплатный доступ в интернет, программа позволит вам реализовать это безо всяких там паролей, ваучеров и т.п., клиенту будет достаточно просто щелкнуть одну кнопку! Подробнее - см. на странице, посвященной «Гостевому доступу».
 
FB Twitter