05-Web认证配置
本章节下载: 05-Web认证配置 (270.25 KB)
1.13.1 使用本地AAA认证方式进行Web认证的配置举例
1.13.2 使用RADIUS服务器远程AAA认证方式进行Web认证的配置举例
1.14.1 采用AAA本地认证时,认证接口使用缺省ISP域的情况下,用户上线失败
Web认证是一种在二层以太网接口上通过网页方式对用户身份合法性进行认证的认证方法。在接入设备的二层以太网接口上开启Web认证功能后,未认证用户上网时,接入设备强制用户登录到特定站点,用户可免费访问其中的Web资源;当用户需要访问该特定站点之外的Web资源时,必须在接入设备上进行认证,认证通过后可访问特定站点之外的Web资源。
Web认证是一种灵活的访问控制技术,可以在接入设备的二层接口上实施访问控制,具有如下优势:
· 无需安装客户端软件,直接使用Web页面认证,使用方便。
· 可为网络服务提供者提供方便的管理功能和业务拓展功能,例如网络服务提供者可以在认证页面上开展商业广告、社区服务、信息发布等个性化业务。
Web认证的典型组网方式如图1-1所示,它由四个基本要素组成:认证客户端、接入设备、本地Portal Web服务器、AAA服务器。
图1-1 Web认证系统组成示意图
为运行HTTP协议的浏览器,用于发起Web认证。
提供接入服务的设备,主要有三方面的作用:
· 在认证之前,将用户的所有不符合免认证规则的HTTP请求都重定向到认证页面。
· 在认证过程中,与AAA服务器交互,完成身份认证/授权/计费的功能。
· 在认证通过后,允许用户访问被授权的网络资源。
本地Portal Web服务器集成在接入设备中,负责向认证客户端提供认证页面及其免费Web资源,并将认证客户端的认证信息(用户名、密码等)提交给接入设备的AAA模块进行认证、授权和计费。
与接入设备进行交互,完成对用户的认证、授权和计费。目前RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器可支持对Web认证用户进行认证、授权和计费,LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)服务器可支持对Web认证用户进行认证。关于认证、授权和计费的详细介绍,请参见“安全配置指导”中的“AAA”。
Web认证的具体认证过程如图1-2所示。
图1-2 Web认证流程图
(1) Web认证用户的首个HTTP请求报文经过开启了Web认证功能的二层以太网接口时,若此HTTP报文请求的内容为认证页面或设定的免费访问地址中的Web资源,则接入设备允许此HTTP报文通过;若请求的内容为其它Web资源,则接入设备将此HTTP报文重定向到认证页面。用户在认证页面上输入用户名和密码来进行认证。
(2) 接入设备与AAA服务器之间进行认证报文的交互,对用户身份进行验证。
(3) 若Web认证成功,则接入设备上向客户端发送登录成功页面,通知客户端认证成功。否则,接入设备上向客户端发送登录失败页面。
Web认证支持远程AAA服务器/接入设备下发授权VLAN。当用户通过Web认证后,远程AAA服务器/接入设备会将授权VLAN信息下发给接入设备上用户进行认证的端口,然后此端口上会生成与该用户MAC对应的MAC VLAN表项,该端口被加入到授权VLAN后,用户便可以访问此VLAN中的网络资源。若该VLAN不存在,则接入设备首先创建VLAN,而后端口将允许该VLAN的用户报文以不携带tag的方式通过。
通过支持下发授权VLAN,可实现对已认证用户可访问网络资源的控制。
因为不同VLAN的地址范围不同,所以用户加入授权VLAN后,需要自动申请或者手动更新客户端IP地址,以保证可以与授权VLAN中的资源互通。
Auth-Fail VLAN功能允许用户在认证失败的情况下,可以访问某一特定VLAN中的资源,比如病毒补丁服务器,存储客户端软件或杀毒软件的服务器,进行升级客户端或执行其他一些用户升级程序。这个VLAN称为Auth-Fail VLAN。
Web认证支持基于MAC地址的Auth-Fail VLAN,二层以太网接口上配置了Auth-Fail VLAN后,此接口将认证失败用户的MAC地址与Auth-Fail VLAN进行绑定生成相应的MAC VLAN表项,认证失败的用户将会被加入Auth-Fail VLAN中。加入Auth-Fail VLAN中的用户可以访问该VLAN中免认证IP的资源,但用户的所有访问非免认证IP的HTTP请求会被重定向到接入设备上的认证页面进行认证,若用户仍然没有通过认证,则将继续处于Auth-Fail VLAN内;若认证成功,则回到接口的缺省VLAN中。
因为不同VLAN的地址范围不同,所以用户加入Auth-Fail VLAN后,需要自动申请或者手动更新客户端IP地址,以保证可以与Auth-Fail VLAN中的资源互通。
ACL(Access Control List,访问控制列表)提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时,如果远程AAA服务器上或接入设备的本地用户视图下配置了授权ACL,则设备会根据远程AAA服务器/接入设备下发的授权ACL对用户所在端口的数据流进行控制。由于远程AAA服务器/接入设备上指定的是授权ACL的编号,因此还需要在接入设备上创建该ACL并配置对应的ACL规则。管理员可以通过随时改变远程AAA服务器/接入设备上授权ACL的编号或修改接入设备上对应ACL的规则来灵活调整认证成功用户的访问权限。
表1-1 Web认证配置任务简介
配置任务 |
说明 |
详细配置 |
配置Web认证服务器 |
必选 |
|
配置本地Portal Web服务器 |
必选 |
有关本地Portal Web服务器功能的详细配置请参见“安全配置指导”中的“Portal” |
开启Web认证功能 |
必选 |
|
指定Web认证用户使用的认证域 |
可选 |
|
配置Web认证用户免认证IP地址 |
可选 |
|
配置Web认证最大用户数 |
可选 |
|
开启Web认证用户在线探测功能 |
可选 |
|
配置Web认证的Auth-Fail VLAN |
可选 |
|
配置Web认证支持Web代理 |
可选 |
设备上的Web认证功能支持两种方式的AAA认证,在接入设备上进行本地AAA认证和通过RADIUS服务器进行远程AAA认证。
当选用RADIUS服务器认证方式进行Web认证时,设备作为RADIUS客户端,与RADIUS服务器配合完成远程AAA认证方式的Web认证。配置Web认证之前,需要完成以下任务:
· RADIUS服务器已安装并配置成功,如已创建相应的用户名和密码。
· 用户、接入设备和RADIUS服务器之间已路由可达。
· 在接入设备端进行RADIUS客户端的相关设置,保证接入设备和RADIUS服务器之间可进行AAA认证。RADIUS客户端的具体配置请参见“安全配置指导”中的“AAA”。
Web认证使用本地Portal Web服务器对认证用户提供认证页面,因此需要将接入设备上一个与Web认证客户端路由可达的三层接口的IP地址指定为Web认证服务器的IP地址。建议使用设备上空闲的Loopback接口的IP地址,使用LoopBack接口有如下优点:
· 状态稳定,可避免因为接口故障导致用户无法打开认证页面的问题。
· 由于发送到LoopBack接口的报文不会被转发到网络中,当请求上线的用户数目较大时,可减轻对系统性能的影响。
需要注意的是,配置的Web认证服务器的端口号必须与重定向URL中配置的端口号保持一致,同时也必须与本地Portal Web服务器中配置的侦听端口号保持一致。
表1-2 配置Web认证服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建Web认证服务器,并进入Web认证服务器视图 |
web-auth server server-name |
缺省情况下,不存在Web认证服务器 |
配置Web认证服务器的重定向URL |
url url-string |
缺省情况下,Web认证服务器下不存在重定向URL |
配置Web认证服务器的IP地址和端口号 |
ip ipv4-address port port-number |
缺省情况下,不存在Web认证服务器的IP地址和端口号 |
为使Web认证功能正常运行,在接入设备的二层以太网接口上开启Web认证功能后,请不要再在此接口上开启端口安全功能和配置端口安全模式。
表1-3 开启Web认证功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启Web认证功能,并指定引用的Web认证服务器 |
web-auth enable apply server server-name |
缺省情况下,Web认证功能处于关闭状态 |
通过在接入设备的二层以太网接口上配置Web认证用户使用的认证域,可使得所有从该接口接入的Web认证用户都被强制使用指定的认证域来进行认证、授权和计费。管理员可通过该配置对不同接口上的Web认证用户使用不同的认证域,从而增加了管理员部署Web认证接入策略的灵活性。
从指定二层以太网接口接入的Web认证用户将按照如下先后顺序选择认证域:接口上配置的Web认证用户使用的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。关于ISP域的相关介绍请参见“安全配置指导”中的“AAA”。
表1-4 配置Web认证用户使用的认证域
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Web认证用户使用的认证域 |
web-auth domain domain-name |
缺省情况下,接口上未配置Web认证用户使用的认证域 |
通过配置免认证的目的IP地址,可以让Web认证用户无需认证即可访问免认证目的IP中的资源。
表1-5 Web认证用户免认证的目的IP地址
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置Web认证用户免认证的目的IP地址 |
web-auth free-ip ip-address { mask-length | mask } |
缺省情况下,不存在Web认证用户免认证目的IP地址 建议不要同时配置Web认证的免认证目的IP地址和802.1X的Free IP |
若配置的Web认证最大用户数小于当前已经在线的Web认证用户数,则配置可以执行成功,且在线Web认证用户不受影响,但系统将不允许新的Web认证用户接入。
开启Web认证功能后,如果Web认证用户过多,可能导致CPU利用率过高,建议用户根据实际情况通过本功能调整Web认证最大用户数。
表1-6 配置Web认证最大用户数
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Web认证最大用户数 |
web-auth max-user max-number |
缺省情况下,Web认证最大用户数为1024 |
在二层以太网接口上开启此功能后,接入设备会以此命令指定的时间间隔定期检测此接口上所有在线Web认证用户的MAC地址表项是否被刷新过。若检测到某Web认证用户的MAC地址表项未被刷新过或者已经老化,则认为对此Web认证用户一次检测失败。若连续两次检测失败,则设备认为该Web认证用户已离开,并将此用户置为下线状态,同时通知AAA服务器停止对此用户进行计费。
由于设备进行检测时若发现Web认证用户MAC地址表项已经老化,则认为对此Web认证用户探测失败,因此,为避免这种无效检测,请配置的探测时间间隔不要大于设备上MAC地址表项的老化时间。
表1-7 开启Web认证用户在线探测功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启Web认证用户在线探测功能 |
web-auth offline-detect interval interval |
缺省情况下,Web认证用户在线探测功能处于关闭状态 |
接口上配置此功能后,认证失败的Web认证用户可以访问Auth-Fail VLAN中的资源。
需要注意的是:
· 开启Web认证的端口必须配置为Hybrid方式,并开启MAC VLAN功能,Auth-Fail VLAN功能才生效。
· Auth-Fail VLAN的网段需设为Web认证用户免认证的目的IP地址。
· 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个接口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个接口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。
· 禁止删除已被配置为Web认证Auth-Fail VLAN的VLAN。若要删除该VLAN,需先通过undo web-auth auth-fail vlan命令取消Web认证的Auth-Fail VLAN配置。
表1-8 配置Web认证的Auth-Fail VLAN
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置Web认证的Auth-Fail VLAN |
web-auth auth-fail vlan authfail-vlan-id |
缺省情况下,不存在Web认证的Auth-Fail VLAN |
设备默认只允许未配置Web代理服务器的浏览器发起的HTTP请求才能触发Web认证。当用户上网使用的浏览器配置了Web代理服务器时,用户的HTTP请求报文将被丢弃,而不能触发Web认证。在这种情况下,网络管理员可以通过在设备上添加Web认证代理服务器的TCP端口号,来允许配置了Web代理服务器的浏览器发起的HTTP请求也可以触发Web认证。
配置Web认证代理服务器的TCP端口号时,需要注意的是:
· 如果用户浏览器采用WPAD(Web Proxy Auto-Discovery,Web代理服务器自动发现)方式自动配置Web代理,则不仅需要网络管理员在设备上添加Web代理服务器端口,还需要将WPAD主机的IP地址配置为Web认证用户免认证的目的IP地址。
· 除了网络管理员需要在设备上添加指定的Web代理服务器端口,还需要用户在浏览器上将接入设备上Web认证服务器的IP地址加入到Web代理服务器的例外情况中,使Web认证服务器的IP地址不使用Web代理服务器,避免Web认证用户发送给Web认证页面的HTTP报文被发送到Web代理服务器上,从而影响正常的Web认证。
表1-9 配置允许触发Web认证的Web代理服务器端口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
|
配置允许触发Web认证的Web代理服务器端口 |
web-auth proxy port port-number |
缺省情况下,不存在允许触发Web认证的Web代理服务器端口 多次配置本命令可以添加多个Web认证代理服务器的TCP端口号 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后Web认证功能的运行情况,通过查看显示信息验证配置的效果。
表1-10 Web认证显示和维护
操作 |
命令 |
显示接口上Web认证的配置信息 |
display web-auth [ interface interface-type interface-number ] |
显示所有Web认证用户免认证的目的IP地址 |
display web-auth free-ip |
显示所有Web认证服务器信息 |
display web-auth server [ server-number ] |
显示在线Web认证用户的信息和总数 |
display web-auth user [ interface interface-type interface- number | slot slot-number ] |
用户主机与Device直接相连,在Device的接口GigabitEthernet1/0/1上对用户进行Web认证。具体要求如下:
· 使用本地认证方式进行认证和授权。
· Web认证服务器的监听IP地址为LoopBack 0接口IP地址,TCP端口号为80。设备向Web认证用户推出自定义的认证页面,并使用HTTP协议传输认证数据。
(1) 配置各接口加入相应VLAN、对应VLAN接口的IP地址和接口类型(略)
(2) 配置本地用户
# 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。
<Device>system-view
[Device] local-user localuser class network
[Device-luser-network-localuser] password simple localpass
# 配置本地用户localuser的服务类型为lan-access。
[Device-luser-network-localuser] service-type lan-access
# 配置本地用户localuser的授权用户角色为network-admin。
[Device-luser-network-localuser] authorization-attribute user-role network-admin
[Device-luser-network-localuser] quit
(3) 配置ISP域
# 创建一个名称为local的ISP域,使用本地认证、授权和计费方法。
[Device] domain local
[Device-isp-local] authentication lan-access local
[Device-isp-local] authorization lan-access local
[Device-isp-local] accounting lan-access none
[Device-isp-local] quit
(4) 配置本地Portal Web服务器
# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。
[Device] portal local-web-server http
# 配置本地Portal Web服务器提供的缺省认证页面文件为abc.zip。(该自定义认证页面文件需符合编辑规范,并存在于设备存储介质的根目录下。有关自定义认证页面文件编写的详细规范请参见“安全配置指导”中的“Portal”。)
[Device-portal-local-websvr-http] default-logon-page abc.zip
# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为80。
[Device–portal-local-websvr-http] tcp-port 80
[Device-portal-local-websvr-http] quit
(5) 配置Web认证
# 创建名称为user的Web认证服务器,并进入其视图。
[Device] web-auth server user
# 配置Web认证服务器的重定向URL为http://20.20.0.1:80/portal/。
[Device-web-auth-server-user] url http://20.20.0.1:80/portal/
# 配置Web认证服务器的IP地址为20.20.0.1,端口为80。
[Device-web-auth-server-user] ip 20.20.0.1 port 80
[Device-web-auth-server-user] quit
# 指定Web认证用户使用的认证域为local。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain local
# 开启Web认证,并指定引用的Web认证服务器为user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
以上配置完成且Web认证用户认证通过后,通过执行以下显示命令可查看在线Web认证用户的信息。
[Device] display web-auth user
Online web-auth users: 1
User Name: localuser
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 1
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
用户主机与接入设备Device直接相连,接入设备在接口GigabitEthernet1/0/1上对用户进行Web认证。具体要求如下:
· 使用远程RADIUS服务器进行认证、授权和计费。
· Web认证服务器的监听IP地址为LoopBack 0接口IP地址,TCP端口号为80。设备向Portal用户推出自定义的认证页面,并使用HTTP协议传输认证数据。
· 按照组网图配置设备各接口的IP地址,保证启动Web认证之前主机、服务器和设备之间路由可达。
· 完成RADIUS服务器上的配置,添加用户账户,保证用户的认证/计费功能正常运行。
· 按照自定义认证页面文件编辑规范,完成认证页面的编辑,并上传到设备存储介质的根目录下。有关自定义认证页面文件编写的详细配置请参见“安全配置指导”中的“Portal”。
(1) 配置各接口加入相应VLAN、对应VLAN接口的IP地址和接口类型(略)。
(2) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
<Device> system-view
[Device] radius scheme rs1
# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。
[Device-radius-rs1] primary authentication 192.168.0.112
[Device-radius-rs1] primary accounting 192.168.0.112
[Device-radius-rs1] key authentication simple radius
[Device-radius-rs1] key accounting simple radius
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(3) 配置认证域
# 创建并进入名称为dm1的ISP域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
(4) 配置本地Portal Web服务器
# 创建本地Portal Web 服务器,进入本地Portal Web服务器视图,并指定使用HTTP协议和客户端交互认证信息。
[Device] portal local-web-server http
# 配置本地Portal Web服务器提供的缺省认证页面文件为abc.zip(设备的存储介质的根目录下必须已存在该认证页面文件,否则功能不生效)。
[Device-portal-local-websvr-http] default-logon-page abc.zip
# 配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为80。
[Device–portal-local-websvr-http] tcp-port 80
[Device-portal-local-websvr-http] quit
(5) 配置Web认证
# 创建名称为user的Web认证服务器,并进入其视图。
[Device] web-auth server user
# 配置Web认证服务器的重定向URL为http://20.20.0.1:80/portal/。
[Device-web-auth-server-user] url http://20.20.0.1:80/portal/
# 配置Web认证服务器的IP地址为20.20.0.1,端口号为80。
[Device-web-auth-server-user] ip 20.20.0.1 port 80
[Device-web-auth-server-user] quit
# 指定Web认证用户使用的认证域为dm1。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] web-auth domain dm1
# 开启Web认证,并指定引用的Web认证服务器为user。
[Device-GigabitEthernet1/0/1] web-auth enable apply server user
[Device-GigabitEthernet1/0/1] quit
以上配置完成且Web认证用户认证通过后,通过执行以下显示命令可查看在线Web认证用户的信息。
[Device] display web-auth user
Online web-auth users: 1
User Name: user1
MAC address: acf1-df6c-f9ad
Access interface: GigabitEthernet1/0/1
Initial VLAN: 1
Authorization VLAN: N/A
Authorization ACL ID: N/A
Authorization user profile: N/A
在接口下未配置ISP域且其他配置均正确的情况下,用户通过浏览器上线,上线失败。
缺省情况下,开启Web认证的接口上未配置Web认证用户使用的认证域时,设备使用系统缺省的system域,其缺省认证方式是本地(local)。所以本地认证失败原因可能有两个,一个是修改了系统缺省system域的认证方案,另一个是更改了系统缺省的ISP域。
使用display domain命令查看缺省域下是否配置了正确的Portal认证方案。如果不正确,请重新配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!