WEB认证配置.docx
《WEB认证配置.docx》由会员分享,可在线阅读,更多相关《WEB认证配置.docx(38页珍藏版)》请在冰豆网上搜索。
WEB认证配置
1.21 Web认证配置
1.21.1 理解Web认证
1.21.1.1 Web认证概述
1.Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法,这种认证方式不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行接入认证。
2.未认证用户上网时,接入设备强制用户登录到特定站点,用户可以免费访问其中的服务。
当用户需要使用互联网中的其它信息时,必须在Web认证服务器进行认证,只有认证通过后才可以使用互联网资源。
3.如果用户试图通过HTTP访问其他外网,将被强制访问Web认证网站,从而开始Web认证过程,这种方式称作强制认证。
4.Web认证可以为用户提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等。
2.21.1.2 Web认证基本概念
5.Web认证的基本概念主要有HTTP拦截、HTTP重定向。
1.21.1.2.1HTTP拦截
6.HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来,不进行转发。
这些HTTP报文是连接在接入设备的端口下的用户所发出的,但目的并不是接入设备本身。
例如,某用户通过IE浏览器上网,接入设备本应该将这些HTTP请求报文转发到网关的,但如果启动HTTP拦截,这些报文可以不被转发。
7.HTTP拦截之后,接入设备需要将用户的HTTP连接请求转向自己,于是接入设备和用户之间将建立起连接会话。
接入设备将利用HTTP重定向功能,将重定向页面推送给用户,用户的浏览器上将弹出一个页面,这个页面可以是认证页面,也可以是下载软件的链接等等。
8.在Web认证功能中,连接在哪些物理端口下、哪些用户所发出的到哪个目的端口的HTTP报文需要进行拦截,哪些不需要,都是可以设置的。
一般地,未经过认证的用户发出的HTTP请求报文会被拦截,已通过认证的用户将不被拦截。
HTTP拦截是Web认证功能的基础,一旦发生了拦截,就会自动触发Web认证的过程。
2.21.1.2.2HTTP重定向
9.根据HTTP协议规定,正常情况下,用户的浏览器发出HTTPGET或HEAD请求报文后,如果接收一方能够提供资源,则以200报文响应,如果本地不能提供资源,则可以使用302报文响应。
在302响应报文中,提供了一个新的站点路径,用户收到响应后,可以向这个新的站点重新发出HTTPGET或HEAD报文请求资源。
10.HTTP重定向是Web认证的重要环节,是发生在HTTP拦截之后的,利用的就是HTTP协议中的302报文的特性。
HTTP拦截过程将使得接入设备和用户之间建立起连接会话,随后用户将(本应发给其他站点的)HTTPGET或HEAD报文发给接入设备,接入设备收到后,回应以302报文,并且在302报文中加入重定向页面的站点路径,这样用户将向这个站点路径重新发出请求,就会获取到重定向的页面。
3.21.1.3 工作原理
11.Web认证的典型组网方式如下图所示,它由三个基本角色组成:
认证客户端、接入设备、WEB认证服务器。
1.图1. Web认证工作原理
Ø Web认证的角色:
1. 认证客户端:
安装于用户终端设备上的客户端系统,为运行HTTP协议的浏览器,上网时将发出HTTP请求;
2. 接入设备:
在网络拓扑中一般是接入层设备(例如在无线网络中可以是无线AP,或无线AC),一般与用户终端设备直接相连接,在接入设备上启动Web认证;
3. Web认证服务器:
包括提供Web服务的portal服务器,以及提供RADIUS认证功能的服务器。
接受认证客户端认证请求的认证服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息;
Ø Web认证过程主要过程:
1. 在认证之前,接入设备将未认证用户发出的所有HTTP请求都拦截下来,并重定向到Web认证服务器去,这样在用户的浏览器上将弹出一个认证页面;
2. 在认证过程中,用户在认证页面上输入认证信息(用户名、口令、校验码等等)与Web认证服务器交互,完成身份认证的功能;
3. 在认证通过后,Web认证服务器将通知接入设备该用户已通过认证,接入设备将允许用户访问互联网资源;
注意
Web认证方案使用限制:
● 只能在如下加密机制中开启Web认证:
OpenAuthentication,OpenAuthentication+WEP或者WPA/WPA2-PSK。
4.21.1.4 协议规范
12.与HTTP重定向相关的功能参照HTTP1.1协议(RFC1945)。
2.21.2 缺省配置
13.下表用来描述Web认证的缺省配置。
功能特性
缺省值
设置HTTP重定向地址
未设置HTTP重定向地址。
设置HTTP重定向主页
未设置HTTP重定向主页。
设置接入设备与认证服务器之间的SNMP网管参数
未设置SNMP网管参数。
设置重定向的HTTP端口
默认对用户发出的目的端口为80的HTTP报文进行重定向。
设置每个未认证用户的最大HTTP会话数
默认为3个。
设置维持重定向连接的超时时间
默认为3秒。
设置免认证的网络资源范围
未设置免认证的网络资源范围。
设置在线用户信息的更新时间间隔
默认为60秒。
设置用户下线检测模式
未设置基于用户流量来检测用户是否下线。
3.21.3 配置Web认证基本特性
14.Web认证配置需要在接入设备上进行配置,在未作任何配置的情况下,接入设备的Web认证处在缺省状态,即没有开启Web认证。
必须完成了所有的基本特性的配置,Web认证才能正常工作,以下章节描述如何配置Web认证的基本特性:
1.⏹ 设置HTTP重定向地址
2.⏹ 设置认证页面的主页
3.⏹ 设置接入设备与认证服务器之间的通信密钥
4.⏹ 设置接入设备与认证服务器之间的SNMP网管参数
5.⏹ 在端口上开启Web认证功能
1.21.3.1 设置HTTP重定向地址
15.要成功应用Web认证功能,必须设置HTTP重定向的IP地址。
当接入设备发现未认证用户试图通过HTTP访问网络资源时,接入设备将用户的访问请求重定向到认证页面,通过认证页面,引导用户向认证服务器发起认证。
16.一般情况下,认证页面是认证服务器所提供的,因此HTTP重定向的地址就应该是认证服务器的地址。
设置了这个HTTP重定向地址以后,这个地址将被设置为一个特殊的免认证的网络资源,未认证用户才可以直接与这个地址进行HTTP通讯。
17.缺省情况下,没有设置HTTP重定向的IP地址。
若要设置HTTP重定向的IP地址,请按如下的步骤:
命令
作用
Step1
Ruijie#configureterminal
进入全局配置模式。
Step2
Ruijie(config)#httpredirectip-address
设置HTTP重定向的IP地址。
Step3
Ruijie(config)#showhttpredirect
查看HTTP重定向的配置。
18.如果要清除HTTP重定向的IP信息,在全局配置模式下,执行nohttpredirect。
19.配置举例:
20.#设置认证服务器的IP地址为176.10.0.1。
Ruijie#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Ruijie(config)#httpredirect176.10.0.1
Ruijie(config)#showhttpredirect
说明
认证服务器也可以是个综合门户服务器,综合门户服务器除了能够提供Web认证外,还能够提供SU客户端软件的下载。
当一个用户需要使用802.1x认证上网时,在未安装SU客户端软件情况下,只要通过浏览器上网就能被重定向到这个综合门户服务器,下载并按照SU客户端后,就可以使用802.1x认证上网了。
具体详见“802.1X配置”中相关的章节。
2.21.3.2 设置HTTP重定向主页
21.要成功应用Web认证功能,必须配置HTTP重定向的主页,也就是认证页面(或者是综合门户主页)。
当用户在进行Web认证时,将向用户弹出这个页面的信息,用户通过这个页面进行Web认证。
22.缺省时,没有设置HTTP重定向主页。
设置HTTP重定向主页URL,请按照如下的步骤:
命令
作用
Step1
Ruijie#configureterminal
进入全局配置模式。
Step2
Ruijie(config)#httpredirecthomepageurl-string
设置认证页面的主页URL为url-string,必须以“http:
//”或“https:
//”开头,不区分大小写,最大长度为255个字符。
Step3
Ruijie(config)#showhttpredirect
查看HTTP重定向的配置。
23.如果要清除认证页面的主页地址,在全局配置模式下,执行nohttpredirecthomepage。
24.配置举例:
25.#设置认证页面的主页为http:
//www.web-
Ruijie#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Ruijie(config)#httpredirecthomepagehttp:
//www.web-
Ruijie(config)#showhttpredirect
说明
主页地址也可以是个综合门户服务器,综合门户服务器除了能够提供Web认证外,还能够提供SU客户端软件的下载。
当一个用户需要使用802.1x认证上网时,在未安装SU客户端软件情况下,只要通过浏览器上网就能被重定向到这个综合门户服务器,下载并按照SU客户端后,就可以使用802.1x认证上网了。
详见“802.1X配置”中相关章节。
注意
如果用户在浏览器的地址栏上直接输入服务器的主页地址,则可以不经过重定向直接访问该主页,也可以下载该页面上的资源。
但是,由于未经重定向,接入设备中没有该用户的信息,以及缺少接入设备和认证服务器之间必要的安全参数,用户的认证操作将会失败。
因此,如果是要进行认证的话,不要直接访问服务器的页面。
3.21.3.3 设置接入设备与认证服务器之间的通信密钥
26.要成功应用Web认证功能,必须设置接入设备与认证服务器进行通信的密钥。
当接入设备发现未认证用户在访问网络资源时,接入设备将通过重定向功能,向用户弹出认证页面,通过认证页面,引导用户向认证服务器发起认证。
在认证过程中,接入设备与认证服务器间通过密钥对部分数据进行加密,以加强安全性。
27.缺省情况下,没有设置接入设备与认证服务器进行通信的密钥。
如果要设置接入设备与认证服务器进行通信的密钥,请按如下的步骤:
命令
作用
Step1
Ruijie#configureterminal
进入全局配置模式。
Step2
Ruijie(config)#web-authportalkeykey-string
设置接入设备与认证服务器进行通信的密钥;密钥最大长度为255个字符。
Step3
Ruijie(config)#showweb-auth
查看Web认证全局配置信息和统计信息。
28.如果要清除接入设备与认证服务器进行通信的密钥,在全局配置模式下,执行noweb-authkey。
29.配置举例:
30.#设置接入设备与服务器进行通信的密钥为web-auth。
Ruijie#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Ruijie(config)#web-authportalkeyweb-auth
Ruijie(config)#showweb-auth
4.21.3.4 设置接入设备与认证服务器之间的SNMP网管参数
31.接入设备和认证服务器之间通过SNMP/MIB对认证用户进行管理,在接入设备上,使用MIB来管理认证用户表,认证服务器通过访问这个MIB,可以获取用户相关的统计信息,以及进行控制用户的上线、下线的操作。
当用户下线时,接入设备将发送SNMP-Inform消息给认证服务器。
32.因此要成功应用Web认证功能,必须设置接入设备与认证服务器之间的SNMP网管通信参数。
请按如下的步骤:
命令
作用
Step1
Ruijie#configureterminal
进入全局配置模式。
Step2
Ruijie(config)#snmp-servercommunitycommunity-stringrw
设置SNMPCommunity,认证服务器可以使用这个Community管理接入设备上的在线用户。
community-string:
Community字符串;
rw:
由于需要对MIB进行Set操作,因此需要设置成RW,支持读写操作;
Step3
Ruijie(config)#snmp-serverenabletrapsweb-auth
设置接入设备允许向外发送Web认证的消息,消息类型包括Trap和Inform。
web-auth:
即Web认证的消息;
Step4
Ruijie(config)#snmp-serverhostip-addressinformversion2ccommunity-stringweb-auth
设置发送Web认证消息的目的主机,类型、版本、Community等参数。
ip-address:
目的主机地址,也就是认证服务器的地址;
inform:
设置发送SNMP-Inform类型的消息。
由于接入设备在用户下线的时候向认证服务器发送消息,为了防止消息丢失,所以采用SNMP-Inform而不是SNMP-Trap。
version2c:
SNMPv2以后的版本才支持SNMP-Inform类型,因此这里不能设置为SNMPv1。
community-string:
发送SNMP-Inform消息使用的Community字符串。
web-auth:
指明发送Web认证消息采用上述的参数;
33.SNMP的配置命令和其他具体内容参见“SNMP配置”中的相关章节。
34.配置举例:
35.#设置接入设备与服务器(IP地址为176.10.0.1)的SNMP网管通信参数,设置SNMPCommunity为web-auth,以及发送SNMP-Inform消息使用的参数。
Ruijie#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Ruijie(config)#snmp-servercommunityweb-authrw
Ruijie(config)#snmp-serverenabletrapsweb-auth
Ruijie(config)#snmp-serverhost176.10.0.1informversion2cweb-authweb-auth
说明
这里列出的SNMP通信参数是以SNMPv2的设置为例的,如果要求接入设备和认证服务器之间的SNMP网管通信有更高的安全性,可以考虑采用SNMPv3。
这样,SNMPCommunity的设置需要改为SNMPUser,并且SNMP-Inform的版本也需要改为SNMPv3版本的,另外还需要设置和SNMPv3相关的安全参数,具体参见“SNMP配置”中相关的章节,这里不再进行详细介绍。
5.21.3.5 在WLAN上开启Web认证功能
36.Web认证是基于WLAN的,默认情况下,WLAN未开启Web认证功能,此时这个端口下所连接的用户不进行Web认证。
37.在端口上启动Web认证功能,将该端口设置为Web认证受控口,请按照如下步骤:
命令
作用
Step1
Ruijie#configureterminal
进入全局配置模式。
Step2
Ruijie(config)#wlansecwlan-id
进入WLAN安全配置模式。
Step3
Ruijie(wlansec)#webauth
开启Web认证功能。
38.如果要在WLAN上关闭Web认证功能,在WLAN安全配置模式下,使用nowebauth。
39.配置举例:
40.#在端口WLAN1上启动Web认证功能。
Ruijie#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Ruijie(config)#wlansec1
Ruijie(wlansec)#webauth
4.21.4 配置Web认证可选特性
41.除了Web认证的基本特性外,其他选项是可选的,但也可能为特定的应用所必需。
当未对可选选项进行配置时,这些可选选项将使用默认配置值。
以下章节描述如何配置Web认证的可选特性:
6.⏹ 设置重定向的HTTP端口
7.⏹ 设置每个未认证用户的最大HTTP会话数
8.⏹ 设置维持重定向连接的超时时间
9.⏹ 设置免认证的网络资源范围
10.⏹ 设置在线用户信息的更新时间间隔
11.⏹ 设置无需认证用户IP范围
12.⏹ 设置用户下线检测模式
1.21.4.1 设置重定向的HTTP端口
42.当用户访问网络资源时(例如使用浏览器上网),此时用户会发出HTTP报文,接入设备通过拦截来自用户的HTTP报文,来判断用户是否在访问网络资源。
当接入设备检测到未认证的用户在访问网络资源时,将阻止用户访问网络资源,并向用户弹出认证页面。
43.缺省情况下,接入设备通过拦截用户发出的端口号为80的HTTP报文,来检测用户是否在访问网络资源。
44.要新增接入设备拦截用户发出的特定端口号的HTTP报文,请按照如下步骤:
命令
作用
Step1
Ruijie#configureterminal
进入全局配置模式。
Step2
Ruijie(config)#httpredirectportport-num
设置对用户发出的特定目的端口号的HTTP请求进行重定向。
最大允许配置10个不同的目的端口号,端口号80也含在该总数量范围内。
Step3
Ruijie(config)#showhttpredirect
查看HTTP重定向的配置。
45.如果要在删除对用户发出的特定目的端口号的HTTP请求进行重定向,在全局配置模式下,使用nohttpredirectportport-num。
46.配置举例:
47.#设置对用户发出的特定目的端口号为8080的HTTP请求进行重定向。
Ruijie#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Ruijie(config)#httpredirectport8080
Ruijie(config)#showhttpredirect
48.#设置不对用户发出的特定目的端口号为80的HTTP请求进行重定向。
Ruijie#configureterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Ruijie(config)#nohttpredirectport80
Ruijie(config)#showhttpredirect
注意
接入设备上常用的管理协议端口(例如22、23、53)以及系统内部保留的端口,不允许被设置为重定向端口。
实际上,除了80端口外,HTTP协议很少会使用小于1000的端口号。
为了避免与知名TCP协议端口冲突,除非必要,尽量不要设置较小端口号的端口作为重定向端口。
2.21.4.2 设置每个未认证用户的最大HTTP会话数
49.未认证的用户在访问网络资源时,用户PC会发出HTTP会话连接请求,HTTP报文会被接入设备拦截,并通过重定向要求用户进行Web认证。
为了防止同一个未认证用户发起过多的HTTP连接请求,以节约接入设备的资源,需要在接入设备上限制未认证用户的最大HTTP会话数。
50.由于用户在认证时,会占用一个HTTP会话,而用户的其他应用程序也可能占用着HTTP会话,因而不建议设置未认证用户的最大HTTP会话数为1。
缺省情况下,未认证用户的最大HTTP会话数为255。
51.要更改未认证用户的最大HTTP会话数,请按照如下步骤:
命令
作用
Step1
Ruijie#configureterminal
进入全局配置模式。
Step2
Ruiji
升级会员 