Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
ics70:captive_portal [2019/11/10 17:43] mix ↷ Операцией перемещения обновлены ссылки |
ics70:captive_portal [2020/06/13 10:54] (текущий) misha [Авторизация по звонку] |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
====== Captive Portal ====== | ====== Captive Portal ====== | ||
- | **Данная страница актуальна для версии ИКС 6 и выше!** | + | Модуль «Captive Portal» расположен в Меню «Пользователи и статистика». Данный модуль предоставляет возможность авторизации Пользователей на «ИКС» для доступа к сети Интернет, а также объединяет в себе настройку и функциональность трех сервисов: SMS-авторизации, веб-авторизации и авторизации по звонку. Все TCP запросы на порты 80 и 443 от всех неизвестных Пользователей перехватывает фаервол и перенаправляет в модуль captive portal. Не авторизованному Пользователю выдаётся окно авторизации в браузере, стоит отметить, что не все браузеры способны автоматически выдать окно авторизации captive portal. В данном случае, Пользователь должен обратиться на: <IP_ICS>:81/portal/. |
+ | Данный модуль содержит пять вкладок: «Captive Portal», «Настройки», «Активные сессии», «Заблокированные номера», «Журнал».\\ | ||
+ | {{ .:captiveportal_main.png?nolink& }} | ||
- | Модуль «Captive Portal» расположен в Меню «Пользователи и статистика». Данный модуль предоставляет возможность авторизации Пользователей на «ИКС» для доступа к сети Интернет, а также объединяет в себе настройку и функциональность двух серверов: SMS-авторизации и веб-авторизации. Все TCP запросы на порты 80 и 443 от всех неизвестных Пользователей перехватывает фаервол и перенаправляет в модуль captive portal. Не авторизованному Пользователю выдаётся окно авторизации в браузере, стоит отметить, что не все браузеры способны автоматически выдать окно авторизации captive portal. В данном случае, Пользователь должен обратиться на: <IP_ICS>:81/portal/. Данный модуль содержит пять вкладок: «Captive Portal», «Настройки», «Активные сессии», «Заблокированные номера», «Журнал».\\ | + | //Примечание.// Для удобства, вместо обращения <IP_ICS>:81/portal/ на «ИКС» возможно создать [[.:web#виртуальный_хост_с_перенаправлением|виртуальный хост с перенаправлением]]. Таким образом Пользователь будет обращаться на локально созданное доменное имя, но попадать на <IP_ICS>:81/portal/. |
- | {{ ics70:captiveportal_main.png?nolink& }} | + | |
- | + | ||
- | //Примечание.// Для удобства, вместо обращения <IP_ICS>:81/portal/ на «ИКС» возможно создать [[:web50#виртуальный_хост_с_перенаправлением|виртуальный хост с перенаправлением]]. Таким образом Пользователь будет обращаться на локально созданное доменное имя, но попадать на <IP_ICS>:81/portal/. | + | |
//Примечание.// Перенаправление на Captive Portal из DMZ сетей работать не будет. | //Примечание.// Перенаправление на Captive Portal из DMZ сетей работать не будет. | ||
Строка 14: | Строка 13: | ||
===== Настройки ===== | ===== Настройки ===== | ||
- | На вкладке «Настройки» представлена возможность выбрать режим работы Captive Portal, только в качестве сервера Web-авторизации (флаг «Авторизация по логину/паролю»), только в качестве сервера SMS-авторизации (флаг «SMS-авторизация») или совместная работа в качестве двух серверов. | + | На вкладке «Настройки» представлена возможность выбрать режим работы Captive Portal, в качестве сервиса Web-авторизации (флаг «Авторизация по логину/паролю»), в качестве сервиса SMS-авторизации (флаг «SMS-авторизация»), в качестве сервиса авторизации по звонку (флаг "Авторизация по звонку"), или совместная работа в любой комбинации. |
- | {{ ics70:captive_settings_1.png?nolink& }} | + | {{ .:captive_settings_1.png?nolink& }} |
- | Для корректного перенаправления на страницу авторизации, при обращении Пользователя к https ресурсам, необходимо в поле «Сертификат» установить соответствующий конечный [[:serts50|сертификат]], а также использовать [[ics70:proxy#прозрачный_прокси|прозрачный прокси]]. | + | Для корректного перенаправления на страницу авторизации, при обращении Пользователя к https ресурсам, необходимо в поле «Сертификат» установить соответствующий конечный [[.:serts|сертификат]], а также использовать [[.:proxy#прозрачный_прокси|прозрачный прокси]]. |
Каждый авторизованный Пользователь в Captive Portal сохраняется как сессия на основе MAC-адреса Пользователя. Идентификация по MAC-адресу используется вместо идентификации по ip-адресу, чтобы избежать случаев с подменой ip-адреса или случаев, когда ip-адрес ещё не истёкшей сессии выдаётся другому Пользователю по DHCP. Каждая сессия имеет время жизни, по истечении которого Пользователь автоматически разлогинивается. Также Captive Portal каждую 1 минуту проверяет ARP кэш операционной системы. Если MAC-адрес авторизованного Пользователя отсутствует в кэше, то Captive Portal считает, что Пользователь неактивен и автоматически разлогинивает его. Если MAC-адресу был присвоен другой IP-адрес, то служба Captive Portal обновляет у сессии IP-адрес, при этом сессия не закрывается. | Каждый авторизованный Пользователь в Captive Portal сохраняется как сессия на основе MAC-адреса Пользователя. Идентификация по MAC-адресу используется вместо идентификации по ip-адресу, чтобы избежать случаев с подменой ip-адреса или случаев, когда ip-адрес ещё не истёкшей сессии выдаётся другому Пользователю по DHCP. Каждая сессия имеет время жизни, по истечении которого Пользователь автоматически разлогинивается. Также Captive Portal каждую 1 минуту проверяет ARP кэш операционной системы. Если MAC-адрес авторизованного Пользователя отсутствует в кэше, то Captive Portal считает, что Пользователь неактивен и автоматически разлогинивает его. Если MAC-адресу был присвоен другой IP-адрес, то служба Captive Portal обновляет у сессии IP-адрес, при этом сессия не закрывается. | ||
Строка 24: | Строка 23: | ||
==== Авторизация по логину/паролю ==== | ==== Авторизация по логину/паролю ==== | ||
- | {{ ics70:captive_auth.png?nolink& }} | + | {{ .:captive_auth.png?nolink& }} |
Если установлен флаг «Авторизация по логину/паролю», то это означает, что в модуле «Captive Portal» включен и запущен сервер веб-авторизации. При первом обращении Пользователя к какому-либо ресурсу, ему будет предложено ввести логин и пароль, закрепленный за его учетной записью в «ИКС». | Если установлен флаг «Авторизация по логину/паролю», то это означает, что в модуле «Captive Portal» включен и запущен сервер веб-авторизации. При первом обращении Пользователя к какому-либо ресурсу, ему будет предложено ввести логин и пароль, закрепленный за его учетной записью в «ИКС». | ||
Строка 30: | Строка 29: | ||
==== SMS-авторизация ==== | ==== SMS-авторизация ==== | ||
- | {{ ics70:captive_settings_sms1.png?nolink&671x338 }}Если установлен флаг «SMS-авторизация», то Пользователи будут проходит авторизацию через SMS. | + | {{ .:captive_settings_sms1.png?nolink&671x338 }}Если установлен флаг «SMS-авторизация», то Пользователи будут проходит авторизацию через SMS. |
Поле «Назначать адреса пользователю» является обязательным и требует выбора одного из Пользователей, заведенных на «ИКС». Данному Пользователю, для каждой новой сессии, будут выдаваться динамические IP-адреса. Поле «Время действия кода, отправленного в SMS» позволяет задать время действительности кода в секундах от 60 до 999999. Если время действия кода истекло и код не был введен, то Пользователю необходимо вновь запросить код, нажав соответствующую кнопку в форме веб-авторизации. По умолчанию в данном поле установлено 180 секунд. Поле «Интервал между повторными попытками отправки SMS» позволяет задать время блокировки кнопки «Отправить СМС повторно» (см. ниже) для Пользователя при SMS-авторизации. Значение, задаваемое в данном поле, не должно превышать время действия кода, отправленного в SMS. Поле «Максимальное число попыток повторной отправки SMS для одного номера» позволяет задать число попыток повторной отправки SMS-сообщений, которое может совершить Пользователь для одного абонентского номера. При этом время между попытками будет вычисляться по формуле: номер попытки * «Интервал между повторными попытками отправки SMS». Если Пользователь исчерпал указанное число попыток отправки SMS-сообщений, то ему будет доступна возможность сменить абонентский номер для отправки SMS. При смене абонентского номера число попыток обнулится. Поле «Текст SMS» - содержит текст отправляемого сообщения Пользователю при авторизации. Данное сообщение обязательно должно содержать шаблон - {code}. Вместо этого шаблона SMS-сервер вставит четырехзначное число. | Поле «Назначать адреса пользователю» является обязательным и требует выбора одного из Пользователей, заведенных на «ИКС». Данному Пользователю, для каждой новой сессии, будут выдаваться динамические IP-адреса. Поле «Время действия кода, отправленного в SMS» позволяет задать время действительности кода в секундах от 60 до 999999. Если время действия кода истекло и код не был введен, то Пользователю необходимо вновь запросить код, нажав соответствующую кнопку в форме веб-авторизации. По умолчанию в данном поле установлено 180 секунд. Поле «Интервал между повторными попытками отправки SMS» позволяет задать время блокировки кнопки «Отправить СМС повторно» (см. ниже) для Пользователя при SMS-авторизации. Значение, задаваемое в данном поле, не должно превышать время действия кода, отправленного в SMS. Поле «Максимальное число попыток повторной отправки SMS для одного номера» позволяет задать число попыток повторной отправки SMS-сообщений, которое может совершить Пользователь для одного абонентского номера. При этом время между попытками будет вычисляться по формуле: номер попытки * «Интервал между повторными попытками отправки SMS». Если Пользователь исчерпал указанное число попыток отправки SMS-сообщений, то ему будет доступна возможность сменить абонентский номер для отправки SMS. При смене абонентского номера число попыток обнулится. Поле «Текст SMS» - содержит текст отправляемого сообщения Пользователю при авторизации. Данное сообщение обязательно должно содержать шаблон - {code}. Вместо этого шаблона SMS-сервер вставит четырехзначное число. | ||
- | {{ ics70:captive_settings_sms2.png?nolink&671x325 }} | + | {{ .:captive_settings_sms2.png?nolink&671x325 }} |
Блок «Параметры SMPP». SMPP (Short Message Peer-to-Peer) – это протокол, используемый в «ИКС» для передачи SMS-сообщений, являющийся универсальным и наиболее широко используемым протоколом при передаче SMS-сообщений между SMSC (Short Message Service Centers) и SMS application systems. Большинство сервисов, предоставляющих возможность отправки SMS-сообщений, поддерживают SMPP-протокол при передаче коротких сообщений. Для настройки подключения необходимо заполнить обязательные поля: «SMPP-сервер», «Порт», «Логин/system_id» и «Пароль». | Блок «Параметры SMPP». SMPP (Short Message Peer-to-Peer) – это протокол, используемый в «ИКС» для передачи SMS-сообщений, являющийся универсальным и наиболее широко используемым протоколом при передаче SMS-сообщений между SMSC (Short Message Service Centers) и SMS application systems. Большинство сервисов, предоставляющих возможность отправки SMS-сообщений, поддерживают SMPP-протокол при передаче коротких сообщений. Для настройки подключения необходимо заполнить обязательные поля: «SMPP-сервер», «Порт», «Логин/system_id» и «Пароль». | ||
Строка 45: | Строка 44: | ||
Для проверки правильности введенных настроек, возможно воспользоваться функцией тестовой отправки. Для этого необходимо нажать «Проверка отправки SMS». Будет открыто новое диалоговое окно, в котором необходимо ввести номер телефона и текст сообщения. Поле «Номер телефона» является обязательным, вводимые номера должны иметь следующий формат - <код страны или выход на зоновую/междугороднюю нумерацию> <десятизначный номер абонента в операторской сети>. Все вводимые номера должны содержать только цифры (не менее одиннадцати), без скобок и дефисов (например, +79991112233 или 85554447799). Поле «Текст SMS» является не обязательным и позволяет ввести и отправить любой текст. Если сообщение было успешно отправлено, то будет показано соответствующее сообщение, иначе отображена ошибка отправки с ее кодом. **Важно: Отправка тестового смс-сообщения будет произведена с использованием сохраненных настроек и при включенной службе «Captive Portal».** | Для проверки правильности введенных настроек, возможно воспользоваться функцией тестовой отправки. Для этого необходимо нажать «Проверка отправки SMS». Будет открыто новое диалоговое окно, в котором необходимо ввести номер телефона и текст сообщения. Поле «Номер телефона» является обязательным, вводимые номера должны иметь следующий формат - <код страны или выход на зоновую/междугороднюю нумерацию> <десятизначный номер абонента в операторской сети>. Все вводимые номера должны содержать только цифры (не менее одиннадцати), без скобок и дефисов (например, +79991112233 или 85554447799). Поле «Текст SMS» является не обязательным и позволяет ввести и отправить любой текст. Если сообщение было успешно отправлено, то будет показано соответствующее сообщение, иначе отображена ошибка отправки с ее кодом. **Важно: Отправка тестового смс-сообщения будет произведена с использованием сохраненных настроек и при включенной службе «Captive Portal».** | ||
+ | ==== Авторизация по звонку ==== | ||
+ | |||
+ | {{ .:captive_settings_call1.png?nolink }} | ||
+ | |||
+ | //Поле "Назначать адреса пользователю".// Позволяет выбрать одного из Пользователей, заведенных на ИКС. Данному Пользователю, для каждой новой сессии, будут выдаваться динамические IP-адреса.\\ | ||
+ | //Поле "Провайдер телефонии для приема звонков".// Позволяет задать SIP-провайдера модуля IP-телефонии ИКС, который будет ожидать входящий звонок от авторизуемого Пользователя.\\ | ||
+ | //Поле "Номер для звонка".// Позволяет задать внешний номер провайдера, на который необходимо совершить звонок авторизируемому Пользователю.\\ | ||
+ | //Поле "Время ожидания звонка".// Позволяет задать время в секундах, в течении которого авторизируемый Пользователь должен совершить звонок на указанный номер. | ||
+ | |||
+ | Процесс авторизации проходит следующим образом. Авторизуемый Пользователь указывает номер телефона, с которого ему нужно будет позвонить. Далее Пользователь совершает звонок с введенного номера на номер, указанный в приглашении. Если внешний входящий вызов, пришедший на SIP-провайдера модуля IP-телефонии ИКС, пришел с указанного Пользователем номера, то Пользователь успешно авторизуется. Вызов при этом сбрасывается (Hangup), иначе проходит дальше по правилам IP-телефонии ИКС. | ||
+ | |||
+ | Введенный Пользователем номер сохраняется в cookies браузера, чтобы было удобнее его сменить на странице ввода номера. Номер в cookies хранится в течении одной сессии. | ||
==== Изменение логотипа ==== | ==== Изменение логотипа ==== | ||
Строка 53: | Строка 64: | ||
===== IP-адреса Пользователей ===== | ===== IP-адреса Пользователей ===== | ||
- | {{ ics70:captive_active.png?nolink& }} | + | {{ .:captive_active.png?nolink& }} |
На вкладке «Активные сессии» отображаются текущие сеансы Пользователей авторизованных через Captive Portal с присвоенными им динамическими ip-адресами в «ИКС». | На вкладке «Активные сессии» отображаются текущие сеансы Пользователей авторизованных через Captive Portal с присвоенными им динамическими ip-адресами в «ИКС». | ||
Строка 61: | Строка 72: | ||
===== Журнал ===== | ===== Журнал ===== | ||
- | {{ ics70:captive_log.png?nolink& }} | + | {{ .:captive_log.png?nolink& }} |
На вкладке «Журнал» отображается сводка всех системных сообщений соответствующих серверов с указанием даты и времени. Журнал разделен на страницы, кнопками «вперед» и «назад» возможно переходить со страницы на страницу, либо ввести номер требуемой страницы. Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом, сообщения о состоянии системы (включение/выключение, подключение пользователя) - зеленым, предупреждения – желтым, ошибки - красным. В правом верхнем углу журнала находится строка поиска. А также возможность выбора периода отображения журнала событий. По умолчанию журнал отображает события за текущую дату. При необходимости можно сохранить данные журнала в файл, нажав кнопку «Экспорт» или удалить данные журнала, за определенный период, нажав кнопку «Удалить логи». | На вкладке «Журнал» отображается сводка всех системных сообщений соответствующих серверов с указанием даты и времени. Журнал разделен на страницы, кнопками «вперед» и «назад» возможно переходить со страницы на страницу, либо ввести номер требуемой страницы. Записи в журнале выделяются цветом в зависимости от вида сообщения. Обычные сообщения системы отмечены белым цветом, сообщения о состоянии системы (включение/выключение, подключение пользователя) - зеленым, предупреждения – желтым, ошибки - красным. В правом верхнем углу журнала находится строка поиска. А также возможность выбора периода отображения журнала событий. По умолчанию журнал отображает события за текущую дату. При необходимости можно сохранить данные журнала в файл, нажав кнопку «Экспорт» или удалить данные журнала, за определенный период, нажав кнопку «Удалить логи». |