Содержание

Captive Portal

Модуль «Captive Portal» расположен в Меню «Пользователи и статистика». Данный модуль предоставляет возможность авторизации Пользователей на «ИКС» для доступа к сети Интернет, а также объединяет в себе настройку и функциональность трех сервисов: SMS-авторизации, веб-авторизации и авторизации по звонку. Все TCP запросы на порты 80 и 443 от всех неизвестных Пользователей перехватывает фаервол и перенаправляет в модуль captive portal. Не авторизованному Пользователю выдаётся окно авторизации в браузере, стоит отметить, что не все браузеры способны автоматически выдать окно авторизации captive portal. В данном случае, Пользователь должен обратиться на: <IP_ICS>:81/portal/. Данный модуль содержит пять вкладок: «Captive Portal», «Настройки», «Активные сессии», «Заблокированные номера», «Журнал».

Примечание. Для удобства, вместо обращения <IP_ICS>:81/portal/ на «ИКС» возможно создать виртуальный хост с перенаправлением. Таким образом Пользователь будет обращаться на локально созданное доменное имя, но попадать на <IP_ICS>:81/portal/.

Примечание. Перенаправление на Captive Portal из DMZ сетей работать не будет.

На вкладке «Captive Portal» представлены: статус сервера авторизации (запущен/выключен/не настроен), кнопка «Включить» / «Выключить» и журнал событий за текущую дату.

Настройки

На вкладке «Настройки» представлена возможность выбрать режим работы Captive Portal, в качестве сервиса Web-авторизации (флаг «Авторизация по логину/паролю»), в качестве сервиса SMS-авторизации (флаг «SMS-авторизация»), в качестве сервиса авторизации по звонку (флаг «Авторизация по звонку»), или совместная работа в любой комбинации.

Для корректного перенаправления на страницу авторизации, при обращении Пользователя к https ресурсам, необходимо в поле «Сертификат» установить соответствующий конечный сертификат, а также использовать прозрачный прокси.

Каждый авторизованный Пользователь в Captive Portal сохраняется как сессия на основе MAC-адреса Пользователя. Идентификация по MAC-адресу используется вместо идентификации по ip-адресу, чтобы избежать случаев с подменой ip-адреса или случаев, когда ip-адрес ещё не истёкшей сессии выдаётся другому Пользователю по DHCP. Каждая сессия имеет время жизни, по истечении которого Пользователь автоматически разлогинивается. Также Captive Portal каждую 1 минуту проверяет ARP кэш операционной системы. Если MAC-адрес авторизованного Пользователя отсутствует в кэше, то Captive Portal считает, что Пользователь неактивен и автоматически разлогинивает его. Если MAC-адресу был присвоен другой IP-адрес, то служба Captive Portal обновляет у сессии IP-адрес, при этом сессия не закрывается.

Авторизация по логину/паролю

Если установлен флаг «Авторизация по логину/паролю», то это означает, что в модуле «Captive Portal» включен и запущен сервер веб-авторизации. При первом обращении Пользователя к какому-либо ресурсу, ему будет предложено ввести логин и пароль, закрепленный за его учетной записью в «ИКС».

SMS-авторизация

Если установлен флаг «SMS-авторизация», то Пользователи будут проходит авторизацию через SMS.

Поле «Назначать адреса пользователю» является обязательным и требует выбора одного из Пользователей, заведенных на «ИКС». Данному Пользователю, для каждой новой сессии, будут выдаваться динамические IP-адреса. Поле «Время действия кода, отправленного в SMS» позволяет задать время действительности кода в секундах от 60 до 999999. Если время действия кода истекло и код не был введен, то Пользователю необходимо вновь запросить код, нажав соответствующую кнопку в форме веб-авторизации. По умолчанию в данном поле установлено 180 секунд. Поле «Интервал между повторными попытками отправки SMS» позволяет задать время блокировки кнопки «Отправить СМС повторно» (см. ниже) для Пользователя при SMS-авторизации. Значение, задаваемое в данном поле, не должно превышать время действия кода, отправленного в SMS. Поле «Максимальное число попыток повторной отправки SMS для одного номера» позволяет задать число попыток повторной отправки SMS-сообщений, которое может совершить Пользователь для одного абонентского номера. При этом время между попытками будет вычисляться по формуле: номер попытки * «Интервал между повторными попытками отправки SMS». Если Пользователь исчерпал указанное число попыток отправки SMS-сообщений, то ему будет доступна возможность сменить абонентский номер для отправки SMS. При смене абонентского номера число попыток обнулится. Поле «Текст SMS» - содержит текст отправляемого сообщения Пользователю при авторизации. Данное сообщение обязательно должно содержать шаблон - {code}. Вместо этого шаблона SMS-сервер вставит четырехзначное число.

Блок «Параметры SMPP». SMPP (Short Message Peer-to-Peer) – это протокол, используемый в «ИКС» для передачи SMS-сообщений, являющийся универсальным и наиболее широко используемым протоколом при передаче SMS-сообщений между SMSC (Short Message Service Centers) и SMS application systems. Большинство сервисов, предоставляющих возможность отправки SMS-сообщений, поддерживают SMPP-протокол при передаче коротких сообщений. Для настройки подключения необходимо заполнить обязательные поля: «SMPP-сервер», «Порт», «Логин/system_id» и «Пароль».

Значения дополнительных параметров подключения «source-addr-ton», «source-addr-npi», «dest-addr-ton», «dest-addr-npi» должны быть в документации к подключаемому серверу SMPP. В большинстве случаев они такие:

source-addr-ton5source-addr-npi1
dest-addr-ton1dest-addr-npi1

Для проверки правильности введенных настроек, возможно воспользоваться функцией тестовой отправки. Для этого необходимо нажать «Проверка отправки SMS». Будет открыто новое диалоговое окно, в котором необходимо ввести номер телефона и текст сообщения. Поле «Номер телефона» является обязательным, вводимые номера должны иметь следующий формат - <код страны или выход на зоновую/междугороднюю нумерацию> <десятизначный номер абонента в операторской сети>. Все вводимые номера должны содержать только цифры (не менее одиннадцати), без скобок и дефисов (например, +79991112233 или 85554447799). Поле «Текст SMS» является не обязательным и позволяет ввести и отправить любой текст. Если сообщение было успешно отправлено, то будет показано соответствующее сообщение, иначе отображена ошибка отправки с ее кодом. Важно: Отправка тестового смс-сообщения будет произведена с использованием сохраненных настроек и при включенной службе «Captive Portal».

Авторизация по звонку

Поле «Назначать адреса пользователю». Позволяет выбрать одного из Пользователей, заведенных на ИКС. Данному Пользователю, для каждой новой сессии, будут выдаваться динамические IP-адреса.
Поле «Провайдер телефонии для приема звонков». Позволяет задать SIP-провайдера модуля IP-телефонии ИКС, который будет ожидать входящий звонок от авторизуемого Пользователя.
Поле «Номер для звонка». Позволяет задать внешний номер провайдера, на который необходимо совершить звонок авторизируемому Пользователю.
Поле «Время ожидания звонка». Позволяет задать время в секундах, в течении которого авторизируемый Пользователь должен совершить звонок на указанный номер.

Процесс авторизации проходит следующим образом. Авторизуемый Пользователь указывает номер телефона, с которого ему нужно будет позвонить. Далее Пользователь совершает звонок с введенного номера на номер, указанный в приглашении. Если внешний входящий вызов, пришедший на SIP-провайдера модуля IP-телефонии ИКС, пришел с указанного Пользователем номера, то Пользователь успешно авторизуется. Вызов при этом сбрасывается (Hangup), иначе проходит дальше по правилам IP-телефонии ИКС.

Введенный Пользователем номер сохраняется в cookies браузера, чтобы было удобнее его сменить на странице ввода номера. Номер в cookies хранится в течении одной сессии.

Изменение логотипа

Также на данной вкладке возможно изменить приветственный логотип для SMS-авторизации и авторизации по логину/паролю. Для этого необходимо нажать «Изменить логотип». Будет открыто новое диалоговое окно, в котором отобразятся: текущий логотип (по умолчанию - это логотип «ИКС»); кнопка «Загрузить .png», для загрузки нового логотипа в формате png (рекомендуемый размер загружаемого логотипа 316*118 пикселей); кнопка «Восстановить по умолчанию», позволяет вернуть логотип «ИКС»; кнопка «Закрыть», закрывает текущее диалоговое окно.

Для Пользователя, при SMS-авторизации, в браузере будет открыто окно: с установленным логотипом, с полем куда необходимо ввести свой абонентский номер, в формате обозначенном выше, и кнопка «Получить СМС с кодом». При введении номера в указанном формате и нажатии на кнопку «Получить СМС с кодом», Пользователю будет отправлено SMS-сообщение с кодом, полученный код необходимо ввести в поле «Введите код из СМС». При введении правильного кода, Пользователю будет выдан динамический IP, а сам Пользователь авторизован на «ИКС» и получит доступ к сети Интернет. Если Пользователь не смог ввести код за отведенное время, то он может запросить код повторно нажав на кнопку «Отправить СМС повторно» или изменить абонентский номер, нажав на кнопку «Изменить номер».

IP-адреса Пользователей

На вкладке «Активные сессии» отображаются текущие сеансы Пользователей авторизованных через Captive Portal с присвоенными им динамическими ip-адресами в «ИКС».

На вкладке «Заблокированные номера» отображаются номера абонентов, которые исчерпали все попытки ввода кода. Блокировка, на данные номера, устанавливается на время жизни сессии. Блокировка может быть принудительно снята Пользователем «ИКС», имеющим административные права.

Журнал

На вкладке «Журнал» отображается сводка всех системных сообщений соответствующих серверов с указанием даты и времени. Журнал разделен на страницы, кнопками «вперед» и «назад» возможно переходить со страницы на страницу, либо ввести номер требуемой страницы. Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом, сообщения о состоянии системы (включение/выключение, подключение пользователя) - зеленым, предупреждения – желтым, ошибки - красным. В правом верхнем углу журнала находится строка поиска. А также возможность выбора периода отображения журнала событий. По умолчанию журнал отображает события за текущую дату. При необходимости можно сохранить данные журнала в файл, нажав кнопку «Экспорт» или удалить данные журнала, за определенный период, нажав кнопку «Удалить логи».