MPP

Die flexible Zugangslösung

 

Beim Produkt MPP handelt es sich um eine Gäste Access-Portal Lösung, mittels derer sich Benutzer über einen Web-Browser identifizieren. Durch Anlegen individueller Berechtigungsprofile und den dazugehörigen Router/Firewall/Proxy-Regeln für die verschiedenen Nutzergruppen kontrolliert MPP den Netzwerkzugriff detailliert und speichert zudem die gesetzlich notwendigen Randdaten.

Das Gäste Access-Portal MPP ist die flexible Lösung, um Ihren Gästen, Besuchern, externen Mitarbeitern wie auch den privaten Geräten Ihrer Mitarbeiter einen Netzwerkzugriff zu gewähren. Die Zugriffsrechte lassen sich individuell nach Benutzergruppe regeln. MPP agiert als „Gatekeeper“ zwischen den Besuchernetzen und dem Internet, wie das folgende Bild illustrieren soll:

Ihre Gäste verbinden sich über drahtlose oder drahtgebundene Netzwerkanschlüsse und versuchen beispielsweise auf das Internet zuzugreifen. Der Traffic dieser Gäste wird durch VLANs oder VPNs getrennt über das Firmennetz zu den MPP Servern geführt. Je nach Herkunft (z.B. Standort/Gebäude, VLAN, IP-Range etc.) wird dem Nutzer daraufhin ein „Profil“ zugeordnet, welches die folgenden Aspekte festlegt:

  • Welche Portalseite dem Nutzer angezeigt wird. Dies ermöglicht zum Beispiel die Platzierung standortabhängiger Inhalte oder Werbung.
  • Welche Webseiten oder sonstigen Netzwerkressourcen der Gast kostenlos nutzen kann (sogenannte „open gardens“)
  • Welche Authentisierungs- oder Self-Service Möglichkeiten dem Gast zur Verfügung stehen. Neben Eingabe von Usernamen/Passwort ist es möglich, dynamisch Accounts zu kreieren (z.B. durch Eingabe von Handynummer, E-Mail Adresse, Kreditkartendaten usw.)
  • Ob der User zu kommerziellen Service-Providern wie Swisscom, Sunrise, Ipass, Boingo etc. weitergeleitet werden kann

  

Account- & Benutzerverwaltung

 

Dabei lässt sich das Produkt MPP optimal in bestehende Umsysteme einbinden, wie z.B. Radius/LDAP Datenbanken, Klinikinformationssysteme, Besucherbatchsysteme usw. Natürlich lassen sich auch lokale Accounts verwalten, die über eine grosse Flexibilität verfügen, wie das folgende Bild zeigt:

  • Ein Account besteht typischerweise aus einem Login Namen (Usernamen, Mobilnummer, Name des Events usw.) und einem Passwort, dessen Länge ebenfalls definiert werden kann.
  •  Ein Account kann verschiedene Stati haben. „Verified“ (das heisst die Registration ist erfolgt), „Unverified“ (noch keine Registration erfolgt) oder „Suspended“ (Account ist deaktiviert).
  • Mit dem Profile ordnet man dem User ein Template von Routing- und Firewall-Regeln zu; es wird definiert, was der User tatsächlich machen darf und wohin er geroutet wird (aufs Internet, zum Provider X, ins VLAN Y usw.)
  • Accounts können verschiedene Gültigkeitsdauern haben:
  • Fixe Gültigkeit von…bis (z.B. für Events, Monats- oder Jahreskarten
  • Gültig für eine definierte Zeitdauer ab erstem Login (Scratchkarten Prinzip), egal ob der Nutzer die ganze Zeit online ist oder nicht.
  • Ist der Zugang „exclusive“, kann dieser zur gleichen Zeit nur mit einem Gerät (MAC) verwendet werden. Sobald sich ein anderer Benutzer mit dem gleichen Account einloggt, wird der erste ausgeloggt. Ist ein Account „multiple“, kann er von mehreren Geräten gleichzeitig genutzt werden, was z.B. bei Seminaren etc. sinnvoll sein kann.
  • Der User kann gezwungen werden, sein Passwort nach dem ersten Login zu ändern, was vor allem bei persönlichen Accounts sinnvoll sein kann.
  • Der URL definiert, wohin der User nach erfolgreichem Login umgeleitet wird, z.B. auf die Webseite eines Sponsors.
  • Über # kann die Anzahl Zugriffe limitiert werden, die mit diesem Account gemacht werden dürfen. So könnte man z.B. festlegen, dass mit einer Handy Nummer nur z.B. 5 Gratiszugriffe à 30 Minuten bezogen werden dürfen.

Verwaltung der Gäste-Accounts im Intranet

 

Das Sponsoring-/Device Portal ist eine Web-Applikation, die typischerweise im Intranet des Kunden betrieben wird und verschiedenen Gruppen von Administratoren die Möglichkeit gibt, Accounts zu verwalten. Die Authentisierung der Nutzer geschieht direkt über das eigene LDAP der Firma. Die Applikation ist mandantenfähig, das heisst jede Nutzergruppe hat nur eine Sicht auf die eigenen Accounts, kann diese erstellen, aktivieren, deaktivieren usw. Die Freiheit, welche Typen von Accounts erstellt werden, kann pro Mandant festgelegt werden.

 

Erweiterbar

 

Das MPP verfügt über eine sehr flexible XML-RPC API. Somit lassen sich Aufgaben wie beispielsweise Benutzererstellung einfach in bereits bestehende Gast-Applikationen integrieren.

 

Funktionen

 

 

Services

DNS Master / Resolver
DHCP Server / Relay
NTP Client

Authentication

Lokale Datenbank
RADIUS
LDAP (Generic LDAP, Microsoft Active Directory)
Captcha
SMS
CSV Daten
E-Gate

Network

Ethernet-Interfaces (Hardware abhängig)
IEEE 802.1q (VLAN)
GRE, VPN
Routing

Accounting

Syslog
Radius

Administration

Dediziertes Reservationssystem (=Sponsoring-/Device Portal)
Web Interface
Konsole

Landing Page

Frei gestaltbare Portalseite

o   Pro Netzwerk

o   Pro User-Agent (Windows CE, iPhone etc.)

Dynamisch kontrollierte Portalseite (z.B. für die Einblendung von Werbung)
I-Frames
Smart-Client Support (z.B. iPass, Boingo etc.)

Hardware

Appliance oder eigene Hard¬ware (Debian GNU/Linux 5.0 Lenny kompatibel)
VMware ESX

Redundanz

Master/Backup-System (VRRP)
Synchronisierte Benutzer-Datenbank 
Synchronisierbare Systemkonfiguration

Präsenzdetektion

ARP
DHCP Leases / Tracking
Public IP Address Pool

Profile

Source-/Destination-IP
TCP/UDP Source-/Destination- Port 
Next Hop
NAT/PAT
Mehrere Profile pro Provider
Bandbreitenbeschränkung

Monitoring

Sessions
Performance / System-Load
Aktive DHCP-Leases
Daemon / Netzwerk Status

API

XML-RPC

  

Bei der Generierung mehrerer Accounts können diese als .csv-Datei exportiert und auf vordefinierte Etiketten/Karten (z.B. Zweckform) gedruckt und ausgegeben werden.