商业源码 普通密码型路由器能改成portal型路由器
普通密码型路由器不能改成portal型路由器。
不能,要路由器本身支持Portal功能。
以TL-AC1000为例:
一 AC基本参数配置。
为了确保AC与WEB服务器、认证服务器能够正常通信,需要给AC管理接口配置网关。
设置方法:在 基本设置 >> 接口设置 中设置管理接口,填写网络中正确的网关(网关路由器的IP地址)。
二 无线射频配置
1、添加SSID。
在AC的管理界面 无线管理 >> 无线服务 中,新增无线SSID,VLAN ID 设置为不绑定(---)。
2、无线设置绑定到AP。
在 无线管理 >> 无线服务 中选中SSID(ABCMall),点击 射频绑定 按钮。、
在 射频绑定列表 中,选择需要绑定AP,点击 绑定。
三 portal服务配置。
选择WEB服务器类型:
AC内置WEB服务器:TL-AC1000自带WEB服务器,如果没有搭建专用的WEB服务器,可以使用内置服务器设置认证界面。
外部WEB服务器:已搭建好的专用WEB服务器。
使用AC内置WEB服务器。
AC管理界面中选择 认证管理 >> Portal认证,设置Portal名称、标题、服务器类型以及其他信息。
服务器类型 选择 本地服务器,标题、欢迎信息以及版权声明根据实际需求添加,完成后点击 确定 新增。
使用外部WEB服务器
1、Portal服务设置
AC管理界面 认证管理 >> Portal认证 中, 服务器类型 选择 远程服务器(POST方式),在Portal登录页面URL中填写WEB服务器的IP地址
2、免认证策略设置。
在AC管理界面 认证管理 >> Portal认证 >> 免认证策略 中,目的IP地址范围 填写外部WEB服务器的IP地址。
四 认证服务配置。
使用AC内置认证服务器。
1、新建用户名和密码。
在AC管理界面 认证管理 >> 本地用户 中,按需求添加用户名、密码。
2、关联认证信息
在 认证管理 >> 认证服务 中,Portal认证 设置为上一步设置的WEB服务器,认证服务器组 选择 LOCAL,VLAN ID与设置的SSID绑定VLAN相同。
PORTAL概述
Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。它提供了一种较为简单的用户认证方法,对用户而言,相对其它认证方式更易于使用。它有两大特色:
• 免客户端
只需要网页浏览器(如IE)支持,即可为用户提供认证服务,不需要安装专门的客户端或者拨号程序。免客户端软件对于像宾馆、酒店等公共网络节点,免客户端软件是一个基本要求。
• 新业务载体
利用Portal认证的门户功能,运营商可以将小区广播、广告、信息查询、网上购物等业务放到Portal上。用户上网时会强制地看到上述信息。
Portal认证的基本方式是通过在Portal页面的显著位置设置认证窗口,用户开机获取IP地址后,通过登录Portal认证页面进行认证,认证通过后即可访问Internet。
对于用户来说有两种方式访问认证页面:
• 主动Portal:用户必须知道PORTAL服务器的IP地址,主动登陆PORTAL服务器进行认证,之后才能访问网络。
• 强制Portal:未认证用户访问网址,都会先强制定向到PORTAL服务器进行认证,用户不需要记忆Portal服务器的IP地址。
Portal业务可以为运营商提供方便的管理功能,基于其门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。
1 PORTAL系统组成
11 Portal的四大主要系统
• 认证客户端
安装于用户终端的客户端系统,如运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机等。对接入终端的安全性检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。
• 接入设备(BAS)
交换机、路由器等宽带接入设备的统称,主要有三方面的作用:
在认证之前,将用户的所有HTTP请求都重定向到Portal服务器。
在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。
在认证通过后,允许用户访问被管理员授权的互联网资源。
• Portal服务器
接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
• 认证/计费服务器
与接入设备进行交互,完成对用户的认证和计费。
以上四个基本要素的交互过程为:
1. 未认证用户访问网络时,在Web浏览器地址栏中输入一个互联网的地址,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;
2. 用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;
3. 然后接入设备再与认证/计费服务器通信进行认证和计费;
4. 认证通过后,则接入设备会打开用户与互联网的通路,允许用户访问被管理员授权的互联网资源。
认证的实现机制
21 发起认证的方式
虽然免客户端认证是Portal认证的一种主流方式,但在需要实现更安全灵活的功能的前提下,也可以采用客户端认证的方式进行认证,这两种方式的认证流程大致如下:
对于通过Web进行认证的用户(免客户端方式),采用对HTTP报文重定向的方式,接入设备对用户连接进行TCP仿冒和认证客户端建立TCP连接,然后将页面重定向到Portal服务器,而从实现向客户推出认证页面。用户通过在该页面登录将用户信息传递给了Portal服务器,随后Portal服务器通过PAP或CHAP的方式向接入设备传递用户信息。接入设备获取到用户信息后,将该信息通过AAA模块完成认证。
对于使用客户端进行认证的用户,直接使用portal协议报文与portal-server进行交互,实现对客户端的相关控制和用户状态的实时上报。随后Portal服务器与接入设备交互,接入设备再通过AAA模块完成认证。
22 用户保活机制
用户通过WEB实现认证时,认证后在线窗口处于开打状态,并采用上层的http协议的get动作实现心跳机制,用户下线时需要在该页面上主动点击下线按钮触发下线动作,如果该页面或用户PC不正常关闭,可能导致用户在一定时间内无法手动下线,直到Portal服务器侧超时后,再触发下线动作,通知接入设备将用户下线。
用户使用专用的客户端时,使用Portal握手报文来确认用户是否在线。对于客户端来说,4个心跳没有收到答复,就认为自己已经下线,重新发起认证;对于Portal服务器,在指定的时间内没有收到心跳报文,就认为用户下线,并通知接入设备将用户下线。
23 产品实现原理
产品对Portal的实现是基于ACL的,通过QACL模块来支持对用户报文的重定向以及限制用户可以使用的相关资源;通常我们把Portal使用的ACL分为4类(对于底层没有什么区别,主要是查找匹配的顺序)
Type1:FreeIP规则,动作是permit(到Portal-Server的规则为第1个freeip)
Type2:用户认证通过后添加的规则,动作是permit
Type3:用户网段重定向规则,对HTTP报文重定向到CPU(实现认证页面的推出)
Type4:用户网段禁止规则,动作是deny
Portal规则在端口上下发,排列需要有严格的顺序,匹配时按照Type1-4的顺序从前往后排列。如果在一个端口上既有普通ACL规则(通过命令行配置的ACL)下发,又启用了portal,则portal所添加的规则会排列在普通ACL之后。
24 PORTAL协议框架
Portal协议主要涉及Portal服务器(Portal Server)和接入设备(BAS),采用C/S结构,基于UDP。
端口定义:
PortalServer通过默认端口(50100)侦听BAS发来的报文;
BAS通过端口2000侦听来自PortalServer的所有报文。
25 对EAD系统的支持
通过EAD的系统中的安全策略服务器,Portal可以实现其扩展认证功能,实现基于客户端与安全策略服务器之间的交互来进行后续的安全检测功能。
Portal对EAD的支持需要用户在终端上安装专用的Portal客户端软件,用户在通过Portal认证后,安全策略服务器通过与Portal客户端、接入设备进行交互,完成对用户的安全认证。若对用户采用了安全策略,则用户的安全检测通过之后,安全策略服务器根据用户的安全策略,授权用户访问非受限资源。
Portal在EAD系统中通过联动的机制主动的实施安全策略,联动的基本方式如下:
• 客户端与安全策略服务器联动
1、客户端上线时Portal服务器会在Login-Response报文中携带EAD服务器的IP地址及端口号;
2、用户上线后客户端和安全策略服务器进行交互,服务器下发检查策略,客户端按策略检查所在PC的安全情况,并上报服务器;
3、用户在线过程中客户端仍会定期上报安全情况,以适应动态检测(即EAD心跳),安全检测使用的报文为UDP,通常端口号是9019(Server)/10102(Client)。
• 接入设备与安全策略服务器的联动
H3C对Radius协议进行了扩展,定义了Type20(Session-Control),当用户上线后,通过该类型的Radius报文下发隔离ACL,等通过安全检查后,再下发安全ACL。
认证方式
31 认证方式分类
不同的组网方式下,可采用不同的Portal认证方式。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。
• 二层认证方式
二层认证方式支持在接入设备连接用户的二层端口上开启Portal认证功能,只允许源MAC地址通过认证的用户才能访问外部网络资源。目前,该认证方式仅支持本地Portal认证,即接入设备作为本地Portal服务器向用户提供Web认证服务。
• 三层认证方式
三层认证方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:直接认证方式、二次地址分配认证方式和跨三层认证方式。直接认证方式和二次地址分配认证方式下,认证客户端必须通过二层直接连接到接入设备;跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。
直接认证
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal服务器,以及设定的free IP地址;认证通过后即可访问网络资源。认证流程相对二次地址分配认证较为简单。
二次地址分配认证
用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal服务器,以及设定的免费访问地址;认证通过后,用户会重新申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。
跨三层认证
和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。
对于以上三种认证方式,IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证和二次地址分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC地址,接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。
32 二层Portal认证过程
(1) Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP地址,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP地址为接入设备上一个与用户之间路由可达的三层接口IP地址(通常为Loopback接口IP)。
(2) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互,对用户身份进行验证。
(3) 如果RADIUS认证成功,则接入设备上的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。
33 三层Portal认证过程
直接认证和可跨三层Portal认证的流程
直接认证/可跨三层Portal认证流程:
(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。
(2) Portal服务器与接入设备之间进行CHAP(Challenge HandshakeAuthentication Protocol,质询握手验证协议)认证交互。若采用PAP(PasswordAuthentication Protocol,密码验证协议)认证则直接进入下一步骤。
(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。
(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。
(5) 接入设备向Portal服务器发送认证应答报文。
(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。
(7) Portal服务器向接入设备发送认证应答确认。
(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(8)、(9)为Portal认证扩展功能的交互过程
二次地址分配认证方式的流程:
二次地址分配认证流程:
(1)~(4)同直接/可跨三层Portal认证中步骤(1)~(4)。
(5) 用户在接入设备上认证成功后,BAS向Portal-Server发送带有IP-Config属性的认证回应报文,指出用户需要更新IP地址。
(6) Portal-Server再向客户端发送带有IP-Config属性的认证通过报文(Login-Response),要求客户程序释放再申请IP地址。
(7) 客户端成功更新IP地址后,向Portal-Server报告更新IP地址成功。
(8) Portal服务器通知接入设备客户端获得新公网IP地址。
(9) 接入设备通过检测ARP协议报文检测到了用户IP变化,并通告Portal服务器已检测到用户IP变化。
(10) Portal服务器通知客户端上线成功。
(11) Portal服务器向接入设备发送IP变化确认报文。
(12) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。
(13) 安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。
步骤(12)、(13)为Portal认证扩展功能的交互过程
portal取不到设备信息,这是无线网络提供者的设备出了问题,当你连接校园网时,首先手机连到路由器,路由器判断是否有权限,如果没有权限就跳转到portal服务器的认证页面,portal服务器会通过req_info命令查询手机的IP/mac地址等信息,然后进行认证。
你这里的问题,就出在portal服务器向路由器请求查询你手机的相应信息时,路由器没有返回,因此,报错。
解决方法:由于问题出在路由器没有向portal返回手机相关信息,很可能是路由器未获取到手机的信息,很可能是手机发送的消息存在问题,这时,清空缓存,或重启一下智能手机,应该可以解决问题
Portal服务器也就是接收Portal客户端认证请求的服务器端系统,其主要作用是提供免费的门户服务和基于Web认证的界面,以及接入设备交互认证客户端的认证信息。其中的Web认证方案首先需要给用户分配一个地址,用于访问门户网站。
扩展资料:
Portal业务可以为运营商提供网络管理功能。未认证用户可以通过门户网站或者使用Portal客户端进行认证。认证通过后,用户可以在运营商的管理下访问网络资源。
基于门户服务器建设企业门户的基本好处是开发商可以利用门户服务器提供的构筑门户应用的基础组件工具"portlet"小程序。应用开发商可以开发很多这样的"门户组件"同时集成别人开发的"门户组件"来搭构企业门户。
参考资料:
在热点覆盖区域,在IE内输入任意网站地址,会自动跳转至Portal登录界面,在此界面输入WLAN的用户名和密码,即可开始计费上网。了解更多服务优惠点击下方的“官方网址”客服218为你解答。
用户是指访问网络资源的主提,表示“谁”在进行访问,是网络访问行为的重要标识。
用户分类:
上网用户
内部网络中访问网络资源的主体,如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。
接入用户
外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工。接入用户需要先通过SSL ***、L2TP ***、IPSec ***或PPPoE方式接入到FW,然后才能访问企业总部的网络资源。
管理用户
认证分类:
防火墙通过认证来验证访问者的身份,防火墙对访问正进行的认证方式有:
本地认证
访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW,FW上存储了密码,验证过程在FW上进行,该方式称为本地认证。
服务器认证(Radius,LDAP等)
访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW,FW上没有存储密码,FW将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行,该方式称为服务器认证。
RADIUS(Remote Authentication Dial In User Service)、HWTACACS(HuaWei Terminal Access Controller Access Control System)、AD、LDAP(Lightweight Directory Access Protocol)认证服务器,并在认证服务器上存储了用户/组和密码等信息。对于RADIUS、HWTACACS服务器,管理员需要根据现有的组织结构,在FW上手动创建或者使用文件批量导入相应的用户/组。对于AD或LDAP服务器,管理员可以将AD或LDAP服务器中的用户信息导入到FW上,以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。
单点登录
访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三方认证服务器将访问者的身份信息发送给FW。FW只记录访问者的身份信息不参与认证过程,该方式称为单点登录(Single Sign-On)。
短信认证
访问者通过Portal认证页面获取短信验证码,然后输入短信验证码即通过认证。FW通过校验短信验证码认证访问者。
认证的目的:
在FW上部署用户管理与认证,将网络流量的IP地址识别为用户,为网络行为控制和网络权限分配提供了基于用户的管理维度,实现精细化的管理:
基于用户进行策略的可视化制定,提高策略的易用性。基于用户进行威胁、流量的报表查看和统计分析,实现对用户网络访问行为的追踪审计。解决了IP地址动态变化带来的策略控制问题,即以不变的用户应对变化的IP地址。上网用户访问网络的认证方式:
免认证:
FW通过识别IP/MAC和用户的双向绑定关系,确定访问者的身份。进行免认证的访问者只能使用特定的IP/MAC地址来访问网络资源。
会话认证:
当用户访问HTTP业务时,FW向用户推送认证页面,触发身份认证。
一般指的都是本地认证) ----内置Portal认证
先发起HTTP/HTTPS业务访问-------防火墙推送重定向认证页面-----------客户输入用户名和密码----------认证成功,如果设置跳转到最近的页面,就跳转。如果没有设置跳转,就不跳转
事前认证
当用户访问非HTTP业务时,只能主动访问认证页面进行身份认证。
单点认证
AD单点登录:企业已经部署了AD(Active Directory)身份验证机制,AD服务器上存储了用户/组和密码等信息。管理员可以将AD服务器上的组织结构和账号信息导入到FW。对于AD服务器上新创建的用户信息,还可以按照一定的时间间隔定时导入。以便后续管理员可以在FW上通过策略来控制不同用户/组对网络的访问行为。
认证时,由AD服务器对访问者进行认证,并将认证信息发送至FW,使FW能够获取用户与IP地址的对应关系。访问者通过AD服务器的认证后,就可以直接访问网络资源,无需再由FW进行认证,这种认证方式也称为“AD单点登录”。
Agile Controller单点登录
RADIUS单点登录
RADIUS认证原理:
图:旁路模式下RADIUS单点登录示意图
RADIUS单点登录交互过程如下:
访问者向接入设备NAS发起认证请求。
NAS设备转发认证请求到RADIUS服务器,RADIUS服务器对用户账号和密码进行校验,并将认证通过的结果返回给NAS设备。NAS设备向RADIUS服务器发送计费开始报文,标识用户上线。
FW解析计费开始报文获取用户和IP地址的对应关系,同时在本地生成在线用户信息。不同部署方式,FW获取计费开始报文的方式不同:
直路:FW直接对经过自身的RADIUS计费开始报文进行解析。
旁路:NAS设备向RADIUS服务器发送计费开始报文的同时还会向FW发送一份,FW对计费开始报文进行解析并对NAS设备做出应答。
此种部署方式需要NAS设备支持向FW发送计费开始报文的功能。
镜像引流:NAS设备和RADIUS服务器之间交互的计费开始报文不经过FW,需要通过交换机镜像或分光器分光的方式复制一份计费开始报文到FW。FW对计费开始报文进行解析后丢弃。
访问者注销时,NAS设备向RADIUS服务器发送计费结束报文,标识用户下线。FW获取计费结束报文并解析用户和IP对应关系,然后删除本地保存的在线用户信息,完成注销过程。
另外在用户在线期间,NAS设备还会定时向RADIUS服务器发送计费更新报文维持计费过程,FW获取计费更新报文后将刷新在线用户的剩余时间。
接入用户访问网络资源的认证方式:
使用SSL *** 技术
访问者登录SSL ***模块提供的认证页面来触发认证过程,认证完成后,SSL ***接入用户可以访问总部的网络资源。
使用IPSec ***技术
分支机构与总部建立IPSec ***隧道后,分支机构中的访问者可以使用事前认证、会话认证等方式触发认证过程,认证完成后,IPSec ***接入用户可以访问总部的网络资源。
L2TP ***接入用户
用户认证原理用户组织结构:
用户是网络访问的主体,是FW进行网络行为控制和网络权限分配的基本单元。
认证域:用户组织结构的容器。区分用户,起到分流作用
用户组/用户:分为: 父用户组 子用户组 。
注意:一个子用户组只能属于一个父用户组
用户: 必配: 用户名 密码,其它都可以可选
用户属性:账号有效期 允许多人登录 IP/MAC绑定(不绑定 单向 双向)
安全组:横向组织结构的跨部门群组。指跨部门的用户
规划树形组织结构时必须遵循如下规定:default认证域是设备默认自带的认证域,不能被删除,且名称不能被修改。设备最多支持20层用户结构,包括认证域和用户,即认证域和用户之间最多允许存在18层用户组。每个用户组可以包括多个用户和用户组,但每个用户组只能属于一个父用户组。一个用户只能属于一个父用户组。用户组名允许重名,但所在组织结构的全路径必须确保唯一性。用户和用户组都可以被策略所引用,如果用户组被策略引用,则用户组下的用户继承其父组和所有上级节点的策略。用户、用户组、安全的来源:手动配置CSV格式导入(批量导入)服务器导入设备自动发现并创建在线用户:
用户访问网络资源前,首先需要经过FW的认证,目的是识别这个用户当前在使用哪个IP地址。对于通过认证的用户,FW还会检查用户的属性(用户状态、账号过期时间、IP/MAC地址绑定、是否允许多人同时使用该账号登录),只有认证和用户属性检查都通过的用户,该用户才能上线,称为在线用户。
FW上的在线用户表记录了用户和该用户当前所使用的地址的对应关系,对用户实施策略,也就是对该用户对应的IP地址实施策略。
用户上线后,如果在线用户表项超时时间内(缺省30分钟)没有发起业务流量,则该用户对应的在线用户监控表项将被删除。当该用户下次再发起业务访问时,需要重新进行认证。
管理员可以配置在线用户信息同步,查看到已经通过认证的在线用户,并进行强制注销、全部强制注销、冻结和解冻操作。
用户认证总体流程:
图:认证流程示意图认证策略:
认证策略用于决定FW需要对哪些数据流进行认证,匹配认证策略的数据流必须经过FW的身份认证才能通过。
缺省情况下,FW不对经过自身的数据流进行认证,需要通过认证策略选出需要进行认证的数据流。
如果经过FW的流量匹配了认证策略将触发如下动作:
会话认证:访问者访问HTTP业务时,如果数据流匹配了认证策略,FW会推送认证页面要求访问者进行认证。事前认证:访问者访问非HTTP业务时必须主动访问认证页面进行认证,否则匹配认证策略的业务数据流访问将被FW禁止。免认证:访问者访问业务时,如果匹配了免认证的认证策略,则无需输入用户名、密码直接访问网络资源。FW根据用户与IP/MAC地址的绑定关系来识别用户。单点登录:单点登录用户上线不受认证策略控制,但是用户业务流量必须匹配认证策略才能基于用户进行策略管控。
认证匹配依据:
源安全区域、目的安全区域、源地址/地区、目的地址/地区。
注意:认证策略在匹配是遵循从上往下的匹配策略。
缺省情况下,FW通过8887端口提供内置的本地Portal认证页面,用户可以主动访问或HTTP重定向至认证页面(https://接口IP地址:8887)进行本地Portal认证。
在线用户信息同步功能的服务端口,缺省值是8886。
用户认证配置思路会话认证配置思路:第一步: 基本配置(通信正常) 第二步:新建用户(供本地认证使用) 第三步:认证选项设置重定向跳转到最近的页面 注意:要点应用 第四步:默认重定向的认证端口为8887,需要放行安全策略 ip service-set authro_port type object service 0 protocol tcp source-port 0 to 65535 destination-port 8887 sec-policy rule name trust_loacl source-zone trust destination-zone local service authro_port action permit 第五步:配置认证策略 auth-policy rule name trust_untrust source-zone trust destination-zone untrust source-address 10110 mask 2552552550 action auth -------------------默认不认证,修改为认证 第六步:检查 成功以后必须要有在线用户 12345678910111213141516171819202122232425262728291234567891011121314151617181920212223242526272829免认证配置思路:配置: auth-policy rule name no_auth source-zone trust destination-zone untrust source-address 10112 mask 255255255255 action no-auth 12345671234567AD单点登录配置流程:
插件
Server服务器部分
第一步:安装AD域
第二步:安装DNS服务器----配置转发器
第三步:下载AD SSO(在防火墙下载)
第四步:AD域新建组织单元,新建组,新建用户(关联权限)
第五步:PC 加域(DNS修改为服务器地址)
第六步:安装AD SSO (建议安装二次AD SSO)
联动AD域联动FW
第七步:组策略配置登录和注销脚本
调用AD SSO产生的login
格式;
服务器地址 运行端口(AD SSO是一样) 0/1 设置密钥(Huawei@123)
第八步:PC刷新组策略
防火墙部分
第一步:新建防火墙与AD服务器联动
第二步:新建认证域
第三步:把AD服务器用户导入FW ,新建导入策略
第四步: 修改认证域新用户,新用户调用导入策略
第五步:导入用户,到用户列表检查
第六步:配置认证策略
Trust区域到服务器区域(DMZ)不能做认证
第七步:配置安全策略,匹配条件只能是AD域的用户
注意:
FW本地到AD服务器的安全策略
AD服务器到FW本地安全策略
DNS的策略
检查:
一定要看到在线用户-----采用单点登录
参考文档:华为HedEx防火墙文档。
可以直接用一台PORTAL认证的设备, 对接AC, 单独在互联网上部署一台WEB服务器,把所有的要推送的页面都存储在这台WEB服务器上面, 用户一接入无线以后,会由AC重定向到PORTAL,PORTAL从WEB服务器中调取页面下发给用户 蓝海卓越的方案里面有这种组网,
0条评论