ClearPass Captive Portal Login
Sie kennen das aus eigener Erfahrung: Man ist auf Geschäftsreise im Hotel oder beim Kunden und erwartet schon fast automatisch ein Gäste-WLAN. Damit jedoch der Zugang nicht ganz unkontrolliert ist, verwenden viele Unternehmen eine Gästeverwaltung mit einem Login über ein Captive Portal. Das bedeutet, man kann sich als Gast zwar mit einer offenen SSID verbinden, bevor man jedoch ins Internet kommt, muss man sich auf eine Webseite anmelden. Meist bekommt man die Anmeldedaten vom Gastgeber, manchmal kann man sich aber auch mit einer E-Mailadresse oder einer Handynummer selbst registrieren.Eine mögliche Gästeverwaltung ist Aruba ClearPass mit einem Captive Portal.
Es stellt verschiedene Möglichkeiten zur Selbstregistrierung, Registrierung durch einen Administrator, verschiedene Captive Portals und auch Anbindung an Bezahldienste wie PayPal bereit. Doch was genau passiert eigentlich bei einem Captive Portal? Wo genau meldet sich der Gast eigentlich an und warum merkt ein Smartphone, dass ein Captive Portal vorhanden ist, ein Laptop aber nicht? Um diese Fragen zu klären soll hier der Ablauf einer Captive Portal Anmeldung detailliert beschrieben werden. Dabei wird angenommen, dass es sich um einen ClearPass Server und einen Aruba WLAN Controller handelt.
Ablauf eines Logins
Zuerst verbindet sich ein Gast mit der offenen Gast-SSID und bekommt per DHCP eine IP-Adresse zugewiesen. Da er noch nicht angemeldet ist, hat er im WLAN Controller eine spezielle Login-Rolle. Diese Rolle enthält unter anderem die Information, dass der DHCP-Traffic erlaubt ist, dass DNS-Traffic erlaubt ist und dass alle http Request mit einem Redirect beantwortet werden.
Wenn ein nicht angemeldeter Client versucht eine Webseite aufzurufen (Schritt 1), antwortet der Controller mit einem http 302 Redirect (Schritt 2). In diesem Redirect steht die URL des Captive Portal auf dem ClearPass Server. Der Client wird also dorthin umgeleitet (Schritt 3). Die Seite enthält eine Anmeldemaske oder eine Möglichkeit der Selbstregistrierung. Wenn der Gast seine Anmeldedaten eingegeben hat (Schritt 4), prüft der ClearPass Server ob die Angaben korrekt sind (Schritt 5). Das Captive Portal muss daher unbedingt über https angesprochen werden. Doch auch wenn die Daten korrekt sind, ist der Gast noch nicht angemeldet, denn der WLAN Controller weiß noch nichts von einer Anmeldung.
Wenn die Anmeldedaten korrekt sind erfolgt daher noch eine Weiterleitung auf den WLAN Controller (Schritt 6). In der URL dieser Weiterleitung stehen neben anderen Informationen auch der Benutzername und das Passwort des Gastes. Daher muss auch der Controller mit https angesprochen werden. Mit den Anmeldedaten aus der URL wird vom Controller eine RADIUS Anmeldung an ClearPass vorgenommen (Schritt 8). Bei korrekten Daten sendet ClearPass ein RADIUS Accept an den Controller, zusammen mit Informationen wie der Rolle des Gastes (Schritt 9). Erst dann ist der Gast wirklich am WLAN angemeldet. Danach erfolgt ein Redirect auf die Ursprünglich aufgerufene Seite (Schritt 10). Es besteht auch die Möglichkeit den Gast auf eine andere Seite, wie zum Beispiel die Firmen Homepage, umzuleiten.
Erkennung eines Captive Portals
Damit ist geklärt, was genau bei einer Captive Portal Anmeldung passiert und wer die eigentliche Anmeldung des Gastes übernimmt. Aber warum merkt ein Smartphone, dass ein Captive Portal vorhanden ist, ein Computer aber nicht?
Sobald sich ein Smartphone mit einem WLAN verbindet, wird im Hintergrund versucht eine bestimme Webseite aufzurufen. Bei Android Geräten ist das (ab Android 6) http://connectivitycheck.gstatic.com/generate_204 und bei iOS Geräten http://captive.apple.com/hotspot-detect.html. Liefern diese Webseiten nicht den erwarteten wert, vermutet das Smartphone, dass ein Captive Portal vorhanden ist. Ein Browser, der das Captive Portal anzeigt, öffnet sich automatisch.
Auch Windows-Computer prüfen Regelmäßig eine Ressource im Internet um festzustellen, ob eine Internet Verbindung vorhanden ist. Falls diese Überprüfung fehlschlägt, erkennt man das an einem gelben Ausrufezeichen in der Taskleiste, bzw. an dem Zusatz „Kein Internet“ in den Netzwerkdetails. Allerdings wird hier nicht automatisch ein Browser geöffnet, weshalb man auf einem Computer händisch eine Webseite aufrufen muss um zum Captive Portal zu gelangen.
Wie Sie sehen, ist ein Captive Portal eine gute Möglichkeit, Gästen ein WLAN bereit zu stellen, ohne dabei die Kontrolle darüber zu verlieren, wer sich im Netzwerk befindet.