• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ACG-单点登录认证可以用portal吗?

2024-10-14提问
  • 0关注
  • 0收藏,201浏览
粉丝:0人 关注:2人

问题描述:

ACG-单点登录认证可以用portal吗?有没有配置文档

最佳答案

粉丝:323人 关注:0人

以下是配置案例,请参考:

4  配置举例

4.1  设备参与认证配置举例

4.1.1  组网需求

图1所示,某公司对内网用户实行iMC联动Portal认证上网,认证网段是172.16.4.0/24。内网iMC服务器的IP地址为172.16.0.30/24。使用设备 设备的ge0和ge1接口透明桥模式部署在网络中,设备 设备的bvi1接口地址配置为172.16.5.100。在设备 设备上配置iMC联动Portal认证功能。具体要求如下:

·     设备 设备参与Portal认证和Radius认证,并把所有iMC联动Portal认证用户加入到用户组“2”中。

·     172.16.4.0/24网段中的认证用户在认证之前,只允许访问192.168.3.1的所有服务和iMC服务器,其它访问全部被禁止。

·     172.16.4.0/24网段中的认证用户在认证之后可以正常访问内网和互联网。

图1 IMC联动认证功能配置组网图

 

4.1.2  配置思路

·     在设备 设备上配置iMC对应的Radius服务器。

·     在设备 设备上配置iMC对应的Portal服务器。

·     在设备 设备上配置地址对象,注意在认证目的地址中排除iMC服务器地址和192.168.3.1。

·     在设备 设备上配置用户策略。

·     在设备 设备上配置用户组。

·     配置iMC服务器。

4.1.3  使用版本

设备版本:R6616

iMC版本:iMC PLAT 7.2 (E0403P06)、iMC EIA 7.2 (E0408H01)和iMC EIP 7.2 (E0408H01)

4.1.4  配置注意事项

·     当设备参与Portal和Radius认证时,iMC会自动同步用户组信息到设备上,此时iMC上无需进行额外配置,设备上需要配置用户组,并确保上述用户组的名称与iMC上接入策略中下发用户组的名称保持一致。

·     如果需要实现访问某些资源时免Portal认证,需要在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除,其中iMC服务器和Portal服务器的地址必须排除。目前仅支持排除IP地址,不支持排除域名。

4.1.5  配置步骤

1. 配置设备

(1)     配置iMC对应的Radius服务器

图2所示,进入“用户管理 > 认证管理 > 认证服务器”,点击<新建>,选择<Radius服务器>,配置“服务器地址”为172.16.0.30,“服务器密码”和“端口”需要和iMC服务器的配置保持一致,点击<提交>。

图2 配置iMC对应的Radius服务器

 

 

图3所示,添加完成的iMC服务器配置如下。

图3 iMC对应的Radius服务器配置完成

 

(2)     配置iMC对应的Portal服务器

图4所示,进入“用户管理 > 认证管理 > 认证方式 > Portal Server”,“认证服务器”配置为IMC,“Portal服务器”配置为172.16.0.30,“超时时间”保持默认,“认证URL”将示例中的serverip替换为实际地址为:

http://172.16.0.30:8080/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=172.16.5.100,点击<提交>。

图4 配置iMC对应的Portal服务器

 

(3)     配置地址对象

图5所示,进入“策略配置 > 对象管理 > 地址对象 > Ipv4 地址对象”,点击<新建>,命名为“认证用户网段”,“地址项目”选为子网地址,配置地址为172.16.4.0/24,点击<提交>。

图5 配置认证用户网段地址对象

 

 

图6所示,进入“策略配置 > 对象管理 > 地址对象 > Ipv4 地址对象”,点击<新建>,命名为“认证目的地址”,“地址项目”选为子网地址,配置地址为0.0.0.0/0,“排除地址”配置为172.16.0.30和192.168.3.1,点击<提交>。

图6 配置认证目的地址对象

 

 

(4)     配置用户认证策略

图7所示,进入“用户管理 > 认证管理 > 认证策略”,点击<新建>,源地址配置为“认证用户网段”,目的地址配置为“认证目的地址”,相关行为配置为“Portal Server认证”,其它选项保持默认,点击<提交>。

图7 配置认证策略

 

图8所示,添加完成的用户策略配置如下。

图8 用户认证策略配置完成

 

(5)     配置用户组

图9所示,进入“用户管理 > 用户组织结构”,点击<新建>,选择<用户组>,命名为“2”,点击<提交>。

图9 配置用户组

 

图10所示,添加完成的用户组配置如下。

图10 用户组配置完成

 

2. 配置iMC服务器

(1)     配置接入策略

图11所示,进入“用户 > 接入策略管理 > 接入策略管理 > 增加接入策略”,“接入策略名”配置为test,“下发用户组”配置为2,其它选项保持默认,点击<确定>。

图11 配置接入策略

 

图12所示,添加完成的接入策略如下。

图12 接入策略配置完成

 

(2)     配置接入服务

图13所示,进入“用户 > 接入策略管理 > 接入服务管理 > 增加接入服务”,“服务名”配置为test2,“服务后缀”配置为test2,“缺省接入策略”配置为test,其它选项保持默认,点击<确定>。

图13 配置接入服务

 

图14所示,添加完成的接入服务配置如下。

图14 接入服务配置完成

 

(3)     配置用户和接入用户

图15所示,进入“用户 > 增加用户”,“用户姓名”配置为user4,证件号码配置为123456789,其它选项保持默认,点击<确定>。

图15 增加用户

 

图16所示,增加的用户配置如下。在此页面上点击<增加用户>。

图16 增加用户配置完成

 

图17所示,进入“用户 > 接入用户 > 增加接入用户”,“账号名”配置为user4,“密码”和“密码确认”均配置为用户密码,“生效时间”和“失效时间”根据实际情况配置,“接入服务”选择test,其它选项保持默认,点击<确定>。

图17 配置接入用户

 

图18所示,添加完成的接入用户配置如下。

图18 接入用户配置完成

 

(4)     配置接入设备

图19所示,进入“用户 > 接入策略管理 > 接入设备管理 > 接入设备配置 > 增加接入设备”,点击<手工增加>,“共享密钥”和“确认共享密钥”均配置为和设备 A设备匹配的密码,“起始IP地址”和“结束IP地址”均配置为172.16.5.100(设备 A设备的bvi1接口地址),其它选项保持默认,点击<确定>。

图19 配置接入设备

 

图20所示,添加完成的接入设备配置如下。

图20 接入设备配置完成

 

(5)     配置Portal服务器

图21所示,进入“用户 > 接入策略管理 > Portal服务管理 > 服务器配置”,点击<增加>,“服务类型标识”和“服务类型”均配置为test,其它选项保持默认,点击<确定>。

图21 配置Portal服务器

 

(6)     配置IP地址组

图22所示,进入“用户 > 接入策略管理 > Portal服务管理 > IP地址组配置 > 增加IP地址组”,“IP地址组名”配置为portal_ip_group,“起始地址”配置为172.16.4.1,“终止地址”配置为172.16.4.254,其它配置保持默认(如果是NAT组网,需要将“类型”配置为NAT,并配置转换后的起始地址和终止地址),点击<确定>。

图22 配置IP地址组

 

图23所示,添加成功的IP地址组配置如下。

图23 IP地址组配置成功

 

(7)     配置设备信息和端口组信息

图24所示,进入“用户 > 接入策略管理 > Portal服务管理 > 设备配置 > 增加设备”,“设备名”配置为设备1000,“IP地址”配置为172.16.5.100,“密钥”和“确认密钥”配置为和设备 A设备匹配的密码,其它选项保持默认(虽然设备 A透明部署,但“组网方式”仍保持为三层),点击<确定>。

图24 增加设备信息

 

图25所示,添加完成的设备的信息配置如下,并在此页面上单击<端口组信息管理>。

图25 设备的信息添加配置完成

 

图26所示,进入“用户 > 接入策略管理 > Portal服务管理 > 设备配置 > 端口地址信息配置 > 增加端口组信息”,“端口组名”配置为group,“认证模式”配置为PAP认证(设备目前只支持PAP认证),“IP地址组”配置为portal_ip_group,其它选项保持默认,点击<确定>。

图26 配置端口组信息

 

图27所示,添加完成的端口组信息配置如下。

图27 端口组信息配置完成

 

4.1.6  验证配置

图28所示,认证网段用户未进行认证时无法访问互联网,但是可以ping通192.168.3.1。

图28 认证网段用户未认证前测试

 

图29所示,用户上网时会弹出Portal页面,在页面上输入用户名user4和密码,选择服务类型为test2,单击<上线>。

图29 用户上网弹出Portal页面

 

图30所示,认证成功,弹出计时页面。

图30 iMC联动Portal认证成功

 

图31所示,在设备上查看在线用户列表,发现user4已经被正确同步到用户组2中。

图31 用户组同步成功

4.1.7  配置文件

!

#配置iMC Radius服务器

radius-server IMC 172.16.0.30 secret Q0NUkwOilc2vLvLWPeQFTxwVj3qGRKHk2Lqncf1NMisZGuGGuG78y9acNNl+IBV 1812 chap

!

#配置桥接口

interface bvi1

 ip address 172.16.5.100/24

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

 allow access center-monitor

!

interface ge0

 bridge-group 1

 allow access https

 allow access ping

!

interface ge1

 bridge-group 1

 allow access https

 allow access ping

!

#配置地址对象

address 认证用户网段

 ip subnet 172.16.4.0/24

!

#配置认证目的地址

address 认证目的地址

 ip subnet 0.0.0.0/0

 exclude ip address 172.16.0.30

 exclude ip address 192.168.3.1

!

#配置用户组2

user-group 2 parent /organization

!

#配置用户策略

user-policy ge1 ge0 认证用户网段 认证目的地址 always portal-server-webauth enable portalauth /organization forever

q!

#配置默认策略为允许

policy default-action permit

!

#配置Portal服务器和认证URL

user-portal-server server ip 172.16.0.30

user-portal-server radius IMC

user-portal-server mac-sensitive disable

user-portal-server portal-url http://172.16.0.30:8080/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=172.16.5.100

!

 

 

4.2  设备不参与认证配置举例

4.2.1  组网需求

图32所示,某公司对内网用户实行iMC联动Portal认证上网,认证网段是172.16.4.0/24。内网iMC服务器的IP地址为172.16.0.30/24。使用设备的ge0口和出口路由器互连,配置ge0口的IP地址为10.8.8.1/24。在设备上配置iMC联动Portal认证功能。具体要求如下:

·     设备不参与Portal认证和Radius认证,只被动接收iMC发送的用户组同步消息,把所有iMC联动Portal认证用户加入到用户组“2”中。

图32 设备不参与认证功能配置组网图

4.2.2  配置思路

·     在设备上配置用户组。

·     配置iMC服务器。

4.2.3  使用版本

设备版本:R6616

iMC版本:iMC PLAT 7.2 (E0403P06)、iMC EIA 7.2 (E0408H01)和iMC EIP 7.2 (E0408H01)

 

4.2.4  配置注意事项

·     当设备不参与Portal和Radius认证时,iMC必须配置用户上下线通知参数才会同步用户信息到设备上。

·     第三方用户同步的用户组只支持选择本地用户结构或者其子组。

·     第三方用户同步的同一用户支持同时使用IPv4和IPv6地址上线。

·     第三方用户同步成功后,录入本地的用户均为临时用户,下线后会进行删除。

·     第三方用户同步接口服务器1与服务器2共用一个用户组。

4.2.5  配置步骤

1. 配置设备

(1)     配置用户组

图33所示,进入“用户管理 > 用户组织结构”,点击<新建>,命名为2,点击<提交>。

图33 配置用户组

 

图34所示,添加完成的用户组配置如下。

图34 用户组配置完成

 

(2)     配置第三方用户同步接口

图33所示,进入“用户管理 > 认证管理>高级选项>第三方用户同步>第三方用户同步接口”,配置IMC服务器地址为172.16.2.1,密钥为123456,点击<提交>。

图35 配置第三方用户同步接口

 

注意

设备中的配置密钥要与服务器上配置密钥完全相同。

 

2. 配置iMC服务器

(1)     配置用户上下线通知参数

图36所示,进入“用户 > 接入策略管理 > 业务参数配置 > 系统配置 > 用户通知参数配置 >增加用户通知”,“服务器IP”配置为10.8.8.1(设备的IP地址),“服务器端口”配置为9999,“共享密钥”和“确认共享密钥”配置为123456,点击<确定>。

图36 配置用户上下线通知参数

 

4.2.6  验证配置

图37所示,在设备上查看在线用户列表,发现user4已经被正确同步到用户组2中且上线成功。

图37 用户同步上线成功

 

4.2.7  配置文件

!

interface ge0

 ip address 10.8.8.1/24

 allow access https

 allow access ping

!

#配置用户组2

user-group 2 parent /organization

!

!

#配置iMC服务器及录入组

imc-server1 test 172.16.2.1 secret kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN

user-imc group-path /organization/2

哥,你这个是啥啊。不是单点登录啊

BlackQAQ 发表时间:2024-10-14 更多>>

哥,你这个是啥啊。不是单点登录啊

BlackQAQ 发表时间:2024-10-14
1 个回答
粉丝:160人 关注:1人

参考:

https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/


没有啊

BlackQAQ 发表时间:2024-10-14 更多>>

没有啊

BlackQAQ 发表时间:2024-10-14

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明