Добрый день адепты Хабра-Тостера, самураи сетей и монахи ордена системного администрирования!
Есть задача! На территории мед. учреждения нужно организовать общедоступный WiFi для пациентов.
Для решения задачи имеется в наличии:
Unifi AP с конвертерами питания - 6шт.
Windows 2k8 сервер - 1шт.
HP 2530 POE switch - 1шт.
гостевой Vlan организованный на Cisco (управление которым, впрочем, крайне ограниченно) - 1шт.
Из всего этого, как следует из темы вопроса, нужно организовать рабочий и при этом "кошерный" с точки зрения РКН (Роскомнадзора) доступ в интернет.
Собственно, вопрос в том как это сделать? При попытке "яндексирования" или "гугления" данного вопроса, лезут ссылки на всякие юридические док-ты, из которых впрочем, ничто не полезно. Каким образом, все-таки, должен авторизоваться пользователь в системе? Паспортные данные? Или может номер телефона? Дак ведь ничто не помешает юзеру вбить левый номер и ввести паспортные данные "Василия Пупкина"! Более того, какие из этих данных нужно хранить и в течение какого времени?
И чуть более технический вопрос.
Я вижу ситуацию так:
На Вин2к8 добавляем еще одну сетёвку, подключаем её к нашему гостевому Vlan'у, на этом-же сервере поднимаем RADIUS+IIS и что-же далее? Как прикрутить интерфейс в том виде в каком он нам нужен? Со всеми полями для паспортных данных и прочих "credentials"? И более того, как сверхзадача! Как сделать так, чтоб после ввода всех интересующих РКН данных, наш гость попадал на рекламную страничку организации?
Буду крайне признателен как за ссылки на читабельные мануалы и примеры готовых решений, так и за советы на тему как это все должно выглядеть в юр.плоскости (только не ссылки на законы и статьи из оных! от этого УГ меня тошнит и хочется спать... боюсь повторить подвиг Джимми Хендрикса).
На винде без суровых самописных костылей вы вряд ли это организуете. Так что необходим какой-нибудь Unix-сервер, ну или на крайняк -- виртуалка с юниксом на винде, куда будет проброшен гостевой VLAN и VLAN для выхода в интернет.
А в целом, схема довольно проста -- при подключении нового пользователя ему отдаётся страничка с требованием авторизации. Проще всего авторизацию по номеру телефона сделать (так как ХЗ как проверять паспортные данные :-) ). Клиент вводит номер своего мобильника, туда клиенту высылается СМС-ка с кодом подтверждения. Клиент вводит код на страничке и получает доступ в интернет на N минут.
не очень у меня с *nix системами, только если с мануалом... нет случаем ссылки на статью под рукой как это все организовать можно? что-то типа how-to...
Anton Zheltyshev: там можно проверить актуальность номера паспорта, не более. Если знаешь, по каким принципам генерируются номера паспортов, то можно любой придуманный номер паспорта вводить.
Roman Kuznetsov: Ну, самое время начать осваивать юникс-системы :-) Гуглить для начала по ключевым словам "captive portal". Я бы это ручками сделал, так как сейчас мало какой софт с captive portal'ами реализует авторизацию по SMS, как минимум потребуется доработка напильником. Captive portal реализован, например, в такой штуке, как pfSence. Думаю, там можно каким-то несложным способом добавить функционал отправки пароля по SMS, но это в любом случае нужно будет внутрь лезть.
athacker: это я знаю. поэтому на рынке очень актуальны готовые приложения для автоматизации процесса идентификации пользователя. Там в основном все заключается на проверке номера телефона и не более.
Дело не в страхе перед штрафами, дело в организации работы, ибо особое внимание уделяется со стороны кучи контролирующих органов, если предприятие, в этой стране, пытается развивать и двигать науку, тоесть вести наукоёмкий бизнес. Очень хотелось-бы оградить себя и компанию от возможных притязаний... а тем более, что с первого квартала 2016го РКН предлагают брать штрафы за неисполнение данной нормы в размере от 100 000 рэ. Глупость конечно, но сколько глупостей за последнее время произошло...
спасибо за линки на сервисы... =)
PS:
из с виду вменяемого, приглядываюсь к zentyal'у.. судя по заявленному функционалу, возможно подойдет. Но по простоте решения, возможно запользую один из сторонних сервисов, ибо времени как всегда в край не хватает =(
На хабре была статья, которая освещала проблему с публичными точками доступа, что они все должны быть с идентификацией личности. Везде проходит авторизация по номеру телефона, Mc или метро, так же большое количество кафе. Номер мобильного телефона можно вбить любой, но изначально считается что у каждого гражданина свой номер, поэтому этот вопрос в законодательстве не освещается. Лучше начать с вопроса "Какую информацию Вы будете собирать?"
Оборудование выбирали сами. Если сами, то почему выбор пал именно на эти модели?
Оборудование, это то что есть, и никак иначе. Ничего сам не выбирал. =(
Моя бы воля, я бы никакие данные не собирал... Но есть требования к этому вопросу, и мне бы хотелось понять что нужно собирать... ненужное я собирать не намерен =)
Собираются данные для товарищей из правоохранительных органов. Т.е. Вам на до хранить данные о том, кто и когда выходил в сеть интернет с Вашего адреса. Т.е. Вам надо хранить данные об IP адресе (получается сером) и авторизованном пользователе, т.е. номер телефона, чтобы Вы в любой момент времени смогли предоставить данные о пользователе, который выходил в сеть интернет 01.01.2015г. в 00:01, когда пил в НГ и совершал противоправные поступки в сети интернет.
Хранить данные лучше как можно дольше, так как запрос может поступить по данным и прошлого года. Если позволяют средства, то храните данные за год.
Контроллер у UniFi позволяет делать гостевой портал, вот собственно через него и делать смс авторизацию например. Единственные минусы - для этого сам контроллер должен торчать в интернет, и заворот на гостевой портал именно по IP, по доменному имени не прокатит. Собственно сам портал уже пишите как хотите, в документации к UniFi написано, что портал должен контроллеру сообщить в случае успешной авторизации.
Не по делу, но хочу высказаться. Лично я организовал у себя дома общедоступный ВайФай для соседей, без этих дурацких норм.
Я не понимаю почему у нас люди так отгораживаются друг от друга. Ведь достаточно одному купить роутер и на этаж сделать общий интернет, скидываясь по 100 рублей... Народ, давайте дружить ;-)
Этот товарищ Медведев самый главный воинствующий чайник, который пытается еще и чем то рулить. Доменные имена на русском? Идиоты! Перевод зимнего время - маразматики! Ограничения Вайфай - скоты!
А теперь по делу ... Недавно конфигурил роутер от Билайн, в нем общедоступная сеть - сама запрашивает авторизационные данные провайдера. Инетересное решение. Раньше не сталкивался.
дома, это одно, а вот то что с 2016го года для юр.лиц штрафы от 100 тыщ, это уже совсем другое. И повторюсь, это всё для мед. учреждения (для больнички тоесть), а к нам, у контролирующего органа, повышенный интерес (намеренно избегаю мата и всего негатива который во мне копиться на эту тему).