W pierwszej części artykułu nadmieniłem, że zdecydowana większość odwiedzających naszą instytucję osób skorzysta zapewne z połączenia bezprzewodowego. Trend ten zauważają także producenci systemów WLAN - mechanizmy uwierzytelniania przez WWW są dostępne na wielu tego typu platformach, często oferując także możliwość personalizacji ekranów powitalnych (aby gościa nie witało logo producenta, ale naszej firmy). Siłą rzeczy ostatnie stwierdzenie dotyczy systemów sterowanych centralnie (z kontrolerem WLAN i "lekkimi" AP) - mechanizmy autoryzacji (web-auth) są realizowane na poziomie kontrolera sieci bezprzewodowej. Nieco trudniej jest w przypadku gości korzystających z przewodowego Ethernetu. Pomocny może się tu okazać... kontroler sieci bezprzewodowej. Niektóre rozwiązania potrafią bowiem zapewnić autoryzację WWW także dla użytkowników podłączonych do określonych segmentów przewodowych. Jeżeli używane przez nas rozwiązanie nie ma takiej funkcjonalności, można wesprzeć się dedykowanymi rozwiązaniami do brzegowej kontroli usług. Funkcje takie są często implementowane również w systemach kontroli dostępu do sieci (typu Network Admission Control) - jak widać wybór jest spory.

Kończąc dygresję, wracamy do procesu autoryzacji. Podstawowym problemem, jaki musimy rozwiązać, jest dostarczenie danych uwierzytelniających (czyli w większości przypadków nazwy użytkownika i hasła lub określonego kodu). Baza tych danych będzie oczywiście zależna od miejsca wymuszenia autoryzacji - może to być lokalny zasób kontrolera WLAN czy innego urządzenia brzegowego, a także zewnętrzny serwer autoryzacyjny. W każdym z tych przypadków ktoś musi jednak takie dane wygenerować (nie chcemy tego przecież zrzucać na administratora systemu). Część rozwiązań pozwala na utworzenie dedykowanego konta administracyjnego o bardzo wąskim zakresie uprawnień, umożliwiającego jedynie tworzenie danych autoryzacyjnych (i ewentualnie wysłanie ich e-mailem do zainteresowanych). Dobrze, jeżeli administrator może dodatkowo narzucić ograniczenia na ilość możliwych do wygenerowania kodów czy utworzyć profile określające jak długo gość będzie mógł korzystać z naszej sieci. Bardziej zaawansowane rozwiązania pozwalają dodatkowo na określenie np. obszaru biura, w jakim nasz gość będzie mógł uzyskać dostęp albo integrację możliwości generowania kodów z bazą użytkowników wewnętrznych (kod dostępu może wygenerować każdy pracownik z określonej grupy, stając się "sponsorem" dostępu gościa).

Polska gościnność

Bezpieczny i wygodny sposób na dostęp do sieci dla gości z perspektywy technicznej można stworzyć dość łatwo. Odpowiednie mechanizmy są implementowane przez wielu producentów rozwiązań sieciowych. Jednak jak zwykle - wymaga to nieco pracy i pomysłu. Mam nadzieję, że Wam, drodzy Czytelnicy ani jednego, ani drugiego nie zabraknie i będziecie mogli cieszyć się komfortem Waszych gości.