Processo di autenticazione del portale captive
Captive portal è un'autenticazione di livello 3, che richiede che i dispositivi si connettano alla rete e ottengano un indirizzo IP e le informazioni DNS correlate prima di eseguire l'autenticazione tramite il portale captive. I seguenti passaggi spiegano l'intero processo del portale captive quando ArubaOS nativo viene utilizzato per l'autenticazione del portale captive:
1. Al dispositivo associato al SSID guest viene assegnato un ruolo iniziale (ruolo di accesso guest nella configurazione di esempio). Questo ruolo iniziale consente DHCP, quindi l'utente ottiene un indirizzo IP.
2. L'utente apre un browser e invia una richiesta HTTP (o HTTPS) a una destinazione (ad esempio, www.bbc.com).
3. Il resolver nel dispositivo invia una richiesta DNS per risolvere www.bbc.com. Il ruolo iniziale (ruolo di accesso guest) consente i servizi DNS, in modo che il resolver possa comunicare con il server DNS.
4. Il server DNS risponde con l'indirizzo corretto a www.bbc.com.
5. Il resolver indica al browser quale indirizzo IP utilizzare in base alla risposta DNS.
6. Il browser avvia una connessione TCP alla porta 80 dell'indirizzo www.bbc.com.
7. Il controller intercetta la connessione e falsifica gli handshake TCP iniziali del processo HTTP. In questo momento, il browser client pensa che stia comunicando con il server bbc.com.
8. Quando il browser invia la richiesta HTTP GET per la pagina Web, il controller risponde dicendo che bbc.com si è "temporaneamente spostato" in.
9. Il browser chiude la connessione.
10. Il browser tenta di connettersi, ma deve prima inviare una richiesta DNS per l'indirizzo.
11. Il server DNS effettivo risponde che non è in grado di risolvere
https://securelogin.arubanetworks.com , ma il controller intercetta questa risposta e modifica il pacchetto per dire che securelogin.arubanetworks.com si trova all'indirizzo IP del controller stesso. Ricorda che è fondamentale che il server DNS rispedisca una risposta alla query. È solo allora che il controller può falsificare la risposta dal server DNS. L'invio di una richiesta DNS senza ricevere una risposta non è sufficiente, poiché senza una risposta il controller non aiuterà mai il client a risolvere securelogin.arubanetworks.com.
12. Il browser avvia una connessione HTTPS all'indirizzo del controller, che risponde alla pagina di accesso del portale captive, in cui il guest esegue l'autenticazione.
13. Al termine dell'autenticazione corretta, all'utente viene assegnato il ruolo di post autenticazione (ruolo di autenticazione-ospite nella configurazione di esempio). Questo è il ruolo predefinito nel profilo del portale captive.
14. Dopo l'autenticazione, il browser viene reindirizzato a bbc.com all'indirizzo originariamente risolto dal DNS. In alternativa, se viene configurata una pagina di benvenuto, il browser viene reindirizzato alla pagina di benvenuto.
15. Per reindirizzare correttamente alla pagina Web originale, il controller invia una risposta da bbc.com per comunicare al client che bbc.com si è "spostato permanentemente" su bbc.com. Questo passaggio corregge il "trasferimento temporaneo" che si è verificato durante l'accesso al portale captive.
16. Questo fa sì che il client richieda nuovamente il DNS per l'indirizzo di www.bbc.com.
17. Il browser inizia a comunicare con l'attuale server bbc.com.