ACG 不分用户web认证不弹出
- 0关注
- 0收藏,42浏览
问题描述:
目前部分用户(一个公司所有人)无法认证成功登陆Guest wifi,认证都在ACG上只做了WEB认证,终端报错为证书问题,ACG上没看到异常日志,开启会话日志可以看到会话TCP连接,但终端上下线日志未看到认证失败或者成功日志
针对此类认证问题,能否将ACG的根证书导出安装到终端上?可我在ACG上没看到相关证书,如果有的话在哪里下载;
或者此问题还有其他解决方案
组网及组网描述:
Your connection isn't private
Attackers might be trying to steal your information from x.x.x.x (for example,passwords, messages, or credit cards)
NET:ERR CERT AUTHORITY INVALID
Hide advanced
Refresh
x.x.x.x uses encryption to protect your information. When Microsoft Edge tried toconnect to x.x.x.x this time, the website sent back unusual and incorrectcredentials. This may happen wherfan attacker is trying to pretend to be x.x.x.x or a Wi-Fi sign-in screen has interrupted the connection. Your information is still securebecause Microsoft Edge stopped the connection before any data was exchanged.
You can't visit x.x.x.x right now because the website sent scrambled credentialsthat Microsoft Edge can't process. Network errors and attacks are usually temporary, sothis page will probably work later.
排查步骤:
1. 检查ACG认证策略:
display web-auth policy
display web-auth rule
确认策略是否已正确应用到目标用户网段,且认证方式为Web认证。
2. 检查认证服务器状态:
display local-user
display aaa local-server
确认本地用户或外部认证服务器(如AD)状态正常。
3. 检查终端获取的IP和网关:
确认终端获取的IP地址在认证策略范围内,且网关指向正确(通常为ACG接口地址)。
4. 分析证书告警:
终端提示“证书问题”或“Your connection isn't private”通常是因为ACG使用的HTTPS认证页面证书是自签名证书,不被终端信任。
* 临时方案: 指导用户在浏览器安全警告页面点击“高级”->“继续访问”(或类似选项),强制访问认证页面。
* 根本方案: 为ACG的Web认证服务配置由公共CA签发的可信证书,或部署企业内网CA证书。
关于证书:
ACG Web认证默认使用自签名证书。导出ACG根证书并安装到终端是解决此问题的一种有效方法。
导出证书位置: 在ACG Web管理界面,通常位于 “系统管理” -> “证书管理” 中。查找用于“HTTPS服务”或“Web认证服务”的证书,将其导出(通常为.crt或.cer格式)。
安装证书: 将导出的证书文件分发到终端,并安装到“受信任的根证书颁发机构”存储区。
补充信息需求:
请提供以下信息以便进一步分析:
1. ACG软件版本。
2. `display web-auth policy` 和 `display web-auth rule` 的具体输出。
3. 终端无法认证时的具体IP地址。
4. 网络拓扑简图,特别是终端、ACG、网关之间的连接关系。
看到这个报错 NET:ERR_CERT_AUTHORITY_INVALID,基本可以确认问题的根源:终端不信任ACG用于Portal认证的HTTPS证书。这不是认证流程走到了账号密码那一步失败,而是SSL握手阶段就被浏览器拦截了。
下面针对你提出的问题,以及可能的解决方案,逐一说明:
1. 如何导出ACG的根证书并安装
你提到在ACG上没找到证书,这很可能是因为设备使用的是出厂自带的自签名证书。这种情况下,你可以将ACG作为CA中心,导出它的根证书。
导出步骤
登录ACG的Web管理界面。
找到CA根证书管理页面。导航路径通常为:
策略配置 > 对象管理 > CA服务器 > 根CA配置管理。如果版本不同,也可能在策略配置 > 对象管理 > 本地证书 > 证书 > CA下。导出根证书。在“根证书管理”页面,找到并点击
导出CA根证书按钮。选择格式。导出时通常会让你选择格式,建议选择
CER格式(证书密钥分离)。这种格式的证书可以直接被Windows、macOS、iOS、Android等系统识别并安装。
将导出的.cer文件分发给终端用户,让他们在各自的设备上安装此证书,并设置为“始终信任”。这是从终端侧解决证书信任问题最根本的方法。
2. 如果ACG上没有根证书,可以自己生成
如果在CA服务器或本地证书页面中没有任何证书,说明设备可能还没有生成自己的根证书。你可以手动创建一个:
在
根CA配置管理页面,点击生成CA根证书。填写证书名称、有效期、组织(如公司名)、国家/地区等信息后提交即可。
生成后,再按照上面的步骤导出并安装。
3. 不想折腾证书?试试这条命令,让ACG“放过”HTTPS
如果给所有员工分发并安装证书的操作成本太高,或者只想快速恢复业务,可以在ACG上开启一个功能:允许用户通过HTTP访问Portal页面,不再强制要求HTTPS证书校验。
在ACG的命令行(或部分版本的Web配置中)尝试执行以下命令:
4. 其他可能的原因排查(根据你提到的会话日志)
既然你已经开启了会话日志,并且能看到TCP连接,这说明终端和ACG的网络是通的。如果上述方法无效,可以按以下清单继续排查:
检查认证策略匹配条件:确认
ap-gm-10下无线用户所在的网段、接口,确实匹配了正确的认证策略。确认终端未被“放行”:检查用户是否被不小心加入了“全局白名单”或“认证白名单”。如果之前有临时放行,可能导致不再触发认证。
检查DNS:部分终端在连接Wi-Fi后会先尝试访问一个
captive.apple.com(苹果)或***.***(安卓)的地址来探测网络连通性。如果终端无法解析这个域名,也可能不弹出认证页面。确保ACG或核心交换机上允许终端访问公网DNS(如8.8.8.8),或配置DNS免认证规则。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论