Acerca de la Autenticación en el Hotspot de Invitado Externo

Para configurar el Firebox para que conecte automáticamente a los usuarios del hotspot a un servidor web externo para la autenticación, puede activar habilitar un hotspot de Autenticación de Invitados Externos en el Firebox. Antes de habilitar un hotspot de Autenticación de Invitados Externos en el Firebox, debe configurar el servidor web para la autenticación de invitados externos.

Cuando un usuario se conecta al hotspot de Autenticación de Invitados Externos, el Firebox envía el usuario al servidor web externo, que pide al usuario que proporcione credenciales de autenticación u otra información. En base a la información que el usuario proporciona, el servidor web externo envía una decisión de acceso al Firebox. El Firebox entonces otorga o niega al usuario acceso al hotspot.

La Autenticación de Invitados Externos no está relacionada con otros tipos de autenticación de usuario compatibles con su Firebox.

Esta función se describe en términos de autenticación, pero no requiere que el servidor web externo realice la autenticación de usuario. Puede crear una página de autenticación en su servidor web para solicitar a los usuarios del hotspot cualquier información que desee usar como criterios para el acceso a su hotspot.

Antes de Empezar

Antes de configurar el servidor web externo y de habilitar la autenticación de invitado externo en Firebox, debe seleccionar el secreto compartido, la URL de autenticación y la URL de falla de autenticación que se usará. Estos ajustes afectan la configuración del servidor web externo y la configuración del hotspot en el Firebox.

Secreto Compartido

El servidor web externo usa el secreto compartido para calcular una suma de comprobación que incluye en la decisión de acceso que envía al Firebox. El Firebox usa el secreto compartido para verificar la suma de comprobación recibida. El secreto compartido debe tener entre 1 y 32 caracteres.

URL de autenticación

Esta es la URL en el servidor web externo de la página web donde un usuario del hotspot debe autenticarse. En la configuración del hotspot en el Firebox, la URL de Autenticación debe comenzar con https:// o http://. Puede especificar la dirección IP o el nombre de dominio del servidor web.

URL de falla de autenticación

Esta es la URL en el servidor web externo de la página web que el usuario del hotspot ve si la autenticación del invitado externo no tiene éxito. En la configuración del hotspot en el Firebox, la URL de Falla de Autenticación debe comenzar con https:// o http://. Puede especificar la dirección IP o el nombre de dominio del servidor web.

Configuración

Ya que la configuración del servidor web requiere programación web, recomendamos que primero configure el servidor web. Se incluye un enlace a un ejemplo de código en las instrucciones de configuración del servidor web. Después de configurar el servidor web, configure el hotspot de Firebox para la Autenticación de Invitado Externo.

Para detalles sobre los requisitos y procedimientos de configuración, vea:

Después de configurar su servidor web y hotspot, puede probar la autenticación de invitado externo en su hotspot y revisar los mensajes de registro para identificar cualquier error.

Para un ejemplo del script en el servidor web externo, consulte la Base de Consulta de WatchGuard.

Ejemplo de Autenticación de Invitados Externos

La comunicación entre el Firebox y el servidor externo de autenticación ocurre a través del explorador cliente del hotspot. El Firebox y el servidor de autenticación usan los parámetros especificados en las URL para permitir la comunicación. Este ejemplo brinda algunos ejemplos de URL que muestran a un alto nivel cómo funciona la autenticación externa. Para obtener más detalles y una descripción de todos los parámetros en cada URL, consulte Configurar un Servidor Web para la Autenticación de Invitado Externo en el Hotspot.

Diagrama de red que muestra al usuario del hotspot, el servidor web externo y el dispositivo XTM

Las URL en este ejemplo se basan en estas configuraciones y ajustes:

  • Firebox:
    • Dirección IP de la red de invitados — 10.0.3.1
    • Dirección IP de la interfaz opcional —10.0.2.1
  • Servidor Web Externo:
    • Dirección IP — 10.0.2.80
    • URL de autenticación — http://10.0.2.80:8080/auth.html
    • URL de Falla de Autenticación — http://10.0.2.80:8080/failure.html
  • Usuario de Hotspot:
    • Dirección MAC — 9C:4E:36:30:2D:26
    • El usuario del hotspot inicialmente intenta conectarse a http://www.google.com.

Paso 1 — El Usuario del Hotspot debe Autenticarse

Cuando un usuario intenta obtener acceso a un sitio web, el Firebox recibe una solicitud HTTP del usuario del hotspot. El Firebox verifica la dirección MAC para ver si este usuario ya tiene una sesión abierta en el hotspot. Si hay una sesión abierta en el hotspot para esta dirección MAC, el Firebox permite o rechaza el tráfico en base a la configuración de la política de firewall. Si esta es una nueva dirección MAC, para enviar la URL de solicitud de acceso al servidor web externo, el Firebox envía una redirección al explorador cliente del hotspot.

Ejemplo de URL de solicitud de acceso:

http://10.0.2.80:8080/auth.html?xtm=http://10.0.3.1:4106/wgcgi.cgi&action=hotspot_auth
&ts=1344238620&sn=70AB02716F745&mac=9C:4E:36:30:2D:26&redirect=http://www.google.com/

La página de autenticación en el servidor web externo aparece en el explorador. El usuario del hotspot brinda la información requerida para autenticarse.

Paso 2 — El Servidor Web Externo Envía la Decisión de Acceso

Después de que el servidor web externo autentica al usuario del hotspot, envía la URL de la decisión de acceso al Firebox a través del explorador cliente del hotspot.

Ejemplo de URL de decisión de acceso:

http://10.0.3.1:4106/wgcgi.cgi?action=hotspot_auth&ts=1344238620&success=1
&sig=a05d352951986e5fbf939920b260a6be3a9fffd3&redirect=http://www.google.com/

En esta URL:

  • Success=1 indica que la decisión de acceso del servidor web fue permitir el acceso a esta URL.
  • La URL especificada en la sección redirección de la URL de la decisión de acceso es la URL que el usuario del hotspot originalmente solicitó.
  • El servidor web externo opcionalmente podría reemplazar esta URL con una URL diferente.

Paso 3 — El Firebox Permite o Rechaza el Acceso

El Firebox lee la decisión de acceso (success=1 o success=0), y verifica la suma de comprobación. Si la decisión es success=1 y la verificación de la suma de comprobación tiene éxito, el Firebox crea una sesión de hotspot para el cliente y redirecciona el cliente a la URL especificada en la URL de la decisión de acceso. Si la decisión es success=0, o se detecta algún error de autenticación, el Firebox redirecciona el cliente a la URL de falla de autenticación.

En este ejemplo, la autenticación tiene éxito, de modo que el sitio solicitado originalmente, http://www.google.com, aparece en el explorador.

Si la autenticación falla, o si el acceso es denegado, la URL de falla de autenticación aparece en el explorador.

Ejemplo de URL de falla:

http://10.0.2.80:8080/failure.html?error=510&sn=70A70272B454E&mac=9C:4E:36:30:2D:26

Ver También

Configurar un Hotspot