Verhindern, Captive Portal, auto-close nach der Authentifizierung (Android)

Also die einfache Idee ist, dass wir einen RADIUS-server-setup zu ermöglichen, Benutzer zu authentifizieren, die mit unseren Ruckus controller via Benutzer-Anmeldeinformationen. Bei der Authentifizierung sollte der Benutzer auf eine Seite umgeleitet werden, die ermöglicht Ihnen die Verwaltung von MAC-authentifizierte Geräte.

Alles, was wir bisher getestet haben, auch "ältere" Android-Geräte scheint dies kein Problem und die Dinge laufen, wie Sie sollten. Aber mit Lollipop (5.0+) Android-Versionen das captive portal hat sich ziemlich geändert, und Teil dieser Veränderung ist, schließen Sie automatisch mit der captive portal -, die gestartet wird, wenn Sie dem Netzwerk beitreten. Weil wir wollen, dass Sie umgeleitet werden, um ein MAC-device-management-Seite nach der Authentifizierung, so dass Sie können fügen Sie das Gerät, das Sie derzeit angemeldet mit und vermeiden, dass Sie sich nicht erneut anmelden, das ist schlecht.

Was ich versucht habe:

  1. Erkennen, wenn der browser gestartet wird in einem mobilen Gerät und knallen eine Warnung in onbeforeunload, die versucht zu halten, den browser öffnen.

  2. Öffnen Sie ein neues browser-Fenster, die auf die Umleitungs-URL, wenn eine erfolgreiche Authentifizierung erkannt wird (im wesentlichen die Verwaltung der redirect selbst).

  3. Durchführung von Option 2 und Option 1 auf die umgeleitete URL

Was nicht:

  • Fragen, die Benutzer zu deaktivieren, die captive portal-option auf Ihrem Gerät. Nicht versuchen, Punkt Allgemeine Benutzer erweiterte Steuerelemente.

  • Schaffung einer offenen Netzwerk Zugriff auf die MAC-manager, es muss sich hinter einigen Authentifizierung.

Lösung Für Jetzt:

Wir sind zufrieden mit dieser Lösung, aber für jetzt, wir sind einfach zu Fragen, Benutzer zu authentifizieren, die mit dem Netzwerk und öffnen Sie Ihren browser und gehen Sie zu dem basic-login-portal-Seite (nicht-Netzwerk-Authentifizierung), die die Benutzer verwenden, um Geräte manuell hinzuzufügen, Sie können nicht verbinden mit (wie Drucker, Spielekonsolen, etc.). Wenn das funktioniert, ist ein Schmerz für die Benutzer anmelden müssen, öffnen Sie einen browser, geben Sie manuell eine url ein und melden Sie sich wieder.

Dies ist nicht ein problem, dass die Menschen noch nicht, siehe hier, habe ich einfach nicht in der Lage gewesen, eine Lösung zu finden, die von jedermann ausgeführt wurde, das problem. Sicherlich gibt es einige Möglichkeit der Nutzung von javascript oder etwas zu halten Sie öffnen des Browsers in dieser situation. Wenn nicht, wer keine besseren Ideen für die Verwaltung der Dinge?

  • Hast du eine Lösung finden ? Ich bin auf der Suche für das gleiche Verhalten
  • kein Glück noch. Ich werde zu aktualisieren, mit einer Antwort-wenn ich eins finden, wenn Sie bleiben konnten, uns SO folk gepostet, wenn Sie etwas finden, auf Ihr Ende würde es geschätzt werden. Frustrierend, sicher.
  • viel Glück mit diesem Problem?
  • leider nicht. Google ist sich bewusst, dass die Funktionalität, die wissen, dass Leute, die müssen Umleitungen sind nicht zufrieden, und sehe Sie immer noch als beabsichtigte Funktionalität. Sie bieten sehr wenig Kontrolle über den Prozess im Allgemeinen scheint es.
  • es geschafft, zu lösen, indem die Firewall aus die Konnektivität überprüft post-Authentifizierung und reverse-proxing in den 204 wenn wir es brauchen, um zu schließen. check meine Antwort in dem thread.
InformationsquelleAutor zgc7009 | 2016-01-21
  1. 8

    Wir haben es geschafft, zu halten, der UAM-Browser /captive portal browser öffnen auf lollipop durch hinzufügen von firewall-Regeln blockieren :

    • clients3.google.com
    • clients1.google.com ,
    • android.clients.google.com
    • connectivitycheck.android.com
    • connectivitycheck.gstatic.com

    So, nachdem der Benutzer authentifiziert ist, an der UAM /Captive Browser geöffnet bleibt.

    Können Sie halten UAM so lange geöffnet, wie Sie benötigen, können Sie es schließen, indem Sie ein reverse-Proxy-204-redirect auf die google-Seite Konnektivität.

    • Hallo, könnten Sie dies erläutern? Ich bin versucht, dies zu tun auf OPNsense. Wenn Sie blockieren diese Domänen der Verbindung interpretiert werden, ohne internet-Recht? Und bis Sie Sie freigeben es wird offen bleiben. Habe es es richtig. Ich verstehe nicht, was Sie bedeuten, durch einen reverse-Proxy-204 umleiten...
    • Sie blockieren müssen, die Sie auf der "authed" Seite des Netzes, nicht der Bann Teil.
    • können wir diese verschieben, zu chatten?
    • wie können wir die reverse-Proxy-204? Danke!
    • Sie müssen auch hinzufügen captive.myspot.zone wir gerade dachte, diese nach einigen Netzwerk-sniffing.
    InformationsquelleAutor Johann Combrink
  2. 3

    Diese scheint neu zu sein, Captive-Portal-Verhalten bei Android-Geräten seit der Veröffentlichung von Lollipop (5.0).

    Haben wir noch nicht entdeckt, dieses Problem zu umgehen. Wenn es einen expliziten Weg, um zu deaktivieren, die auto-Entlassung es ist wohl nur dokumentiert, in die Android-Codebasis zur Verfügung hier (ich habe schon gesucht, aber habe nicht gefunden was definitiv noch nicht):

    https://android.googlesource.com/platform/frameworks/base

    Zur info, wir habe auch bemerkt, dass Android verwendet CloudFront-CDN für seine Gefangenen Netzwerk-Erkennung. Unserer captive-portal-Lösung, die ursprünglich verwendet CloudFront für das Vermögen, so mussten wir eine whitelist CloudFront Subnetze in pre-auth-ACLs. Whitelisting CloudFront anschließend verursacht Gefangenschaft Netzwerk-Erkennung zu Versagen auf den letzten Android-Geräte. Wir hatten zu verlassen CloudFront CDN wiederherstellen captive portal-Funktionalität für Android-Geräte.

    • Vielen Dank für die ausführliche Antwort. Dies ist sicherlich ein Kopfschmerz, werden wir immer wieder auf Sie hoffen wir, Google, oder jemand anderes hat eine Lösung für das problem und es funktioniert einfach nicht scheinen, wie alles, ist auch in diese Richtung bewegt. Es ist nicht das selten leitet ein wichtiger Teil der hotspotting, es ist seltsam für mich, dass dieses "Problem" wurde erlaubt zu Verweilen, ohne wenigstens eine Erklärung warum.
    • Wir haben eine Lösung gefunden in dem, für die Zeit, wir ändern uns, wenn wir leiten, um den controller, den client zu authentifizieren, um verschieben Sie Sie aus der pre-auth, ACL, um den vollen Zugriff auf ACL, bis Sie explizit klicken Sie auf "Durchsuchen das Internet" - button. Diese Lösung erfordert, dass unsere Kunden auf die whitelist aller externen Ressourcen, die Sie in Ihrer Willkommens-Seite, banner-anzeigen und landing pages.
    • Wir haben erkannt und getestet, eine zweite Lösung, wo wir konnten whitelist-Android connectivitycheck.gstatic.com IP (w/ hostname-zu-IP-Auflösung überwachung zum aktualisieren von whitelists auf IP-Zuordnung ändert). Dies bewirkt, dass Android-Geräte fallback auf DNS-redirect-wie Gefangene Methoden. Diese Lösung erfordert auch, unsere Kunden auf die whitelist aller externen Ressourcen, die Sie in Ihrer Willkommens-Seite, banner-anzeigen und landing pages.
    • Wir haben einen Kunden in Sydney und arbeitet mit Cisco zu identifizieren, die einer besseren Weise zu erfassen, die Android-Publikum, vielleicht durch enchancing Cisco captive-bypass-Funktion. Die zweite Lösung oben ist ähnlich wie ein Android-only-captive-bypass. Wir sind vorläufig die Entscheidung für die erste Lösung, denn es bietet im Grunde die gleiche Erfahrung für Android und iOS (wobei Android Gefangenschaft browser verschwindet nach Klick auf "Durchsuchen das Internet", während iOS in Gefangenschaft browser nicht).
    • Wir haben also eine matrix von Lösungen, die mit verschiedenen trade-offs und Verantwortlichkeiten. Ich kann Bearbeiten Sie die obige Antwort besser auf die Szenarien beschreiben. Rückeroberung Optionen: 1) Verzögerung ACL-upgrade-controller leitet, bis Sie klicken Sie auf einige unten auf der Seite "Internet durchsuchen" - Taste; 2) whitelist-Android-captive-Netzwerk-Erkennung-URLs für Android-nur als fallback DNS-redirect-wie Gefangene Methoden; 3) verwenden Sie so etwas wie Cisco captive-bypass für DNS-redirect-wie Methoden auf allen Geräten. Whitelist-Optionen: 1) whitelist externen ad-Ressourcen, blacklist alle anderen; 2) blacklist top-Seiten, whitelist, alles andere.
    • Wenn Ihr nichts dagegen Gliederung jene in der Antwort als Leitfaden für andere, würde es geschätzt werden. Zwar löst es nicht unser problem genau, es ist sicherlich besser als der zucken Antwort, die ich in der Lage gewesen, Menschen zu geben, zu diesem Punkt.
    • Ich schaffte es, eine funktionierende Lösung, die firewall, die verbindungen überprüft, und reverse-proxy, um den 204-check, um es zu schließen, siehe meine Antwort in dem thread

    InformationsquelleAutor derekm
  3. 0

    Warum gehst du nicht einfach zu halten captive portal geöffnet, nach der Authentifizierung? Sie können immer erlauben den Zugriff auf jede Website, die außer gefangen überprüfung Websites.

    Getestet und funktioniert sowohl auf Android als auch iOS in allen Versionen.
    Wenn Sie brauchen, um den Zugriff auf cookies/shared-storage von Standard-browser (nicht gekoppelten ios - /android-Sandbox-browser), werden Sie gotta hop heraus, dass es vor der Authentifizierung.

    • Meine Frage ist wie halten Sie es öffnen. Die OS schließt sich automatisch mit der captive portal-nach der Authentifizierung.
    • cite: "Sie können immer erlauben den Zugriff auf jede Website, die außer Gefangenschaft überprüfung sites."
    • Das wäre im wesentlichen ein offenes Netzwerk. Wir müssen das captive portal auslösen, jedes mal, wenn der Benutzer mit dem Netzwerk verbindet. Wir sind nicht whitelisting. Vielen Dank für Ihren Beitrag obwohl.
    • Ich meine, nach der Authentifizierung, natürlich. Sorry für das Missverständnis. Unser Fluss: der Benutzer verbindet sich mit dem WLAN, captive portal angezeigt wird, der Benutzer wählt die Authentifizierungsmethode, internet-Zugriff erlaubt ist, user folgt ad - /link - / in Gefangenschaft, schließen Gefangenschaft Wann auch immer er/Sie will.
    • Das problem das wir haben ist, dass sobald der Benutzer authentifiziert ist die captive portal schließt. Es gibt keine Möglichkeit, weiterhin im Rahmen des captive portal-sobald es die Authentifizierung, es wird nicht offen bleiben. Wenn Sie in der Lage sind, offen zu halten, lassen Sie uns bitte wissen, wie. Whitelisting nicht halten das portal offen ist, wird es einfach dem Benutzer zu ermöglichen, durchsuchen, ohne Authentifizierung, zumindest nach meinem besten wissen.
    • Ich denke, dass @lukyer bedeutet, dass deaktivieren Gefangene "internet-detection" - Methode, aber das würde es offen halten, in der lästigen Art und Weise, ist aber eine gute alternative. Außerdem, was ich in der Vergangenheit getan haben, ist zu zeigen, eine spezielle web auf Gefangene, um dem Benutzer die Navigation durch andere browser wie Chrome oder Safari zu sagen, dass "Diese Seite benötigt spezielle Funktionen".
    • Sie können halten UAM so lange geöffnet, wie Sie benötigen, indem Sie das firewalling aus Sie die Konnektivität zu überprüfen-urls, können Sie es schließen, indem Sie ein reverse-Proxy-204-redirect auf die google-Seite, siehe meine Antwort in dem thread.

    InformationsquelleAutor lukyer
Schreibe einen Kommentar