Processus d'authentification du portail captif
Le portail captif est une authentification de couche 3, qui nécessite que les appareils se connectent au réseau et obtiennent une adresse IP et les informations DNS associées avant de s'authentifier via le portail captif. Les étapes suivantes expliquent l'intégralité du processus du portail captif lorsque ArubaOS natif est utilisé pour l'authentification du portail captif:
1. Le périphérique qui s'associe au SSID invité se voit attribuer un rôle initial (rôle de connexion invité dans l'exemple de configuration). Ce rôle initial permet DHCP, afin que l'utilisateur obtienne une adresse IP.
2. L'utilisateur ouvre un navigateur et fait une demande HTTP (ou HTTPS) vers une destination (par exemple, www.bbc.com).
3. Le résolveur de l'appareil envoie une demande DNS pour résoudre le site www.bbc.com. Le rôle initial (rôle d'ouverture de session invité) autorise les services DNS, afin que le résolveur puisse communiquer avec le serveur DNS.
4. Le serveur DNS répond avec l'adresse correcte à www.bbc.com.
5. Le résolveur indique au navigateur l'adresse IP à utiliser en fonction de la réponse DNS.
6. Le navigateur établit une connexion TCP au port 80 de l'adresse www.bbc.com.
7. Le contrôleur intercepte la connexion et usurpe les prises de contact TCP initiales du processus HTTP. En ce moment, le navigateur client pense qu'il communique avec le serveur bbc.com.
8. Lorsque le navigateur envoie la demande HTTP GET pour la page Web, le contrôleur répond en disant que bbc.com a «temporairement déménagé» vers.
9. Le navigateur ferme la connexion.
10. Le navigateur tente de se connecter, mais il doit d'abord envoyer une demande DNS pour l'adresse.
11. Le serveur DNS réel répond qu'il ne peut pas résoudre
https://securelogin.arubanetworks.com , mais le contrôleur intercepte cette réponse et modifie le paquet pour dire que securelogin.arubanetworks.com est à l'adresse IP du contrôleur lui-même. N'oubliez pas qu'il est essentiel que le serveur DNS renvoie une réponse à la requête. Ce n'est qu'alors que le contrôleur peut usurper la réponse du serveur DNS. L'envoi d'une demande DNS sans recevoir de réponse n'est pas suffisant, car sans réponse, le contrôleur n'aidera jamais le client à résoudre securelogin.arubanetworks.com.
12. Le navigateur initie une connexion HTTPS à l'adresse du contrôleur, qui répond avec la page de connexion au portail captif, où le client s'authentifie.
13. Une fois l'authentification réussie, l'utilisateur se voit attribuer le rôle de post-authentification (rôle d'invité auth dans l'exemple de configuration). Il s'agit du rôle par défaut dans le profil de portail captif.
14. Après l'authentification, le navigateur est redirigé vers bbc.com à l'adresse initialement résolue par le DNS. Alternativement, si une page d'accueil est configurée, le navigateur est redirigé vers la page d'accueil.
15. Pour réussir la redirection vers la page Web d'origine, le contrôleur usurpe une réponse de bbc.com pour indiquer au client que bbc.com a «définitivement déménagé» vers bbc.com. Cette étape corrige la «réinstallation temporaire» qui s'est produite lors de la connexion au portail captif.
16. Cela oblige le client à réinterroger DNS pour l'adresse de www.bbc.com.
17. Le navigateur commence à communiquer avec le serveur bbc.com réel.