服务器SSH Public Key认证指南
服务器SSH Public Key认证指南
一. 引言 (1)
1.编写目的 (1)
2.编写背景 (1)
二.Public Key认证简介 (2)
1.Public Key认证基本原理 (2)
2.Public Key认证相对于其它SSH认证的优点 (2)
三.Public Key认证的设置 (4)
1.Key Pair的生成 (4)
1.1在Windows客户端生成Key Pair (4)
1.2在Unix/Linux系统生成Key Pair (9)
2.部署Key Pair (9)
2.1对已有帐号部署(或更换)Key Pair (9)
2.2新添帐号并部署Key Pair (10)
3.使用Key Pair连接服务器 (11)
4.修改Private Key的保护口令(即Passphrase) (12)
四.SSH其它 (13)
五.参考文献 (14)
一.引言
1.编写目的
本文档是为了在公司推行采用密钥认证方式登录服务器而写的,详细介绍了实现服务器Public Key认证的各个步骤,目的是让公司员工通过Public key认证更加方便、易用、安全地管理服务器。
2.编写背景
目前公司里服务器登录采用的认证方式在不同部门间各有不同,而不同的认证方式各有优缺点。为了更安全地登录服务器,更好地规范管理服务器帐号,我们推荐Public Key 认证方式登录服务器,本指南以OpenSSH为例,OpenSSH是开源软件,在我们公司服务器上广泛应用。
二.P ublic Key认证简介
1.Public Key认证基本原理
Public Key(非对称,asymmetric)认证使用一对相关联的Key Pair(一个公钥Public Key,一个私钥Private Key)来代替传统的密码(或我们常说的口令,Password)。顾名思义,Public Key是用来公开的,可以将其放到SSH服务器自己的帐号中,而Private Key只能由自己保管,用来证明自己身份。
使用Public Key加密过的数据只有用与之相对应的Private Key才能解密。这样在认证的过程中,Public Key拥有者便可以通过Public Key加密一些东西发送给对应的Private Key拥有者,如果在通信的双方都拥有对方的Public Key(自己的Private Key只由自己保管),那么就可以通过这对Key Pair来安全地交换信息,从而实现相互认证。在使用中,我们把自己的Public Key放在通过安全渠道放到服务器上,Private Key 自己保管(用一个口令把Private Key加密后存放),而服务器的Public Key一般会在第一次登录服务器的时候存放到本地客户端(严格地说来服务器的Public Key也应该通过安全渠道放到本地客户端,以防止别人用他自己的Public Key来欺骗登录)。
2.Public Key认证相对于其它SSH认证的优点
在众多SSH登录认证中,传统的单口令(Password)认证用得比较多,所以在这里我们主要对比一下SSH认证中的口令(Password)认证和Public Key认证的区别。
a. 基于主机IP(rhost)的认证:对于某个主机(IP)信任并让之登录,这种认证容易受到IP欺骗攻击。
b. Kerberos认证:一个大型的基于域的认证,这种认证安全性高,但是太大、太复杂不方便部署。
c. PAM认证:类似于传统的密码认证,是绝大多数Unix/Linux系统自带的一个认证和记帐的模块,它的功能比较复杂,配置起来比较麻烦。而且,容易由于配置失误而引起安全问题。
d. 传统的Unix/Linux口令(或密码Password)认证:在客户端直接输入帐号密码,然后让SSH加密传输到服务器端验证。这种认证方式有着如下明显的缺点:1)为了确保密码安全,密码必须很长很复杂,但是这样的密码很难记忆;
2)对于自己所拥有的每个帐号,为了安全,不同的帐号都要设置不同的密码,管理起来很不方便;
3)对于默认帐号,默认密码,例如装机时用的帐号,如果一时疏忽没有改密码,被其它不怀好意的人扫描到帐号和密码,可能会造成安全漏洞;
4)如果远程主机已经被攻击,即使使用SSH安全通道进行保护,在网络上发送的密码在到达远程主机时也可能被截获;
5)对于每个帐号的修改都要人工登录(为了安全,不能把Password放到脚本里),随着服务器数量增多,这项工作会变得十分烦琐。
幸运的是,SSH提供的Public Key认证解决了这些问题:
1)Public Key放在服务器上,Private Key通过用口令(Passphrase自己设定的任意口令,而非传统的Password)加密后放在自己客户端上,只有解密后的Private Key才能登录服务器,这样便提供了两层保护,比Password安全,因为只有加密过的Private Key文件和Private Key的解密口令(Passphrase)同时被其它人获得才会丢失帐号。
2)Key认证避免了简单密码和默认帐号被扫描到的危险,一切的安全都放在客户端的Private Key保密上,充分体现了帐号拥有者的责任感。
3)SSH Key认证的设置和登录非常简单,只需要自己安全地生成一对Key Pair,便可以登录任意数量的服务器(当然,首先必须要管理员给你的帐号安装你的Public Key),而且SSH协议里的Private Key代理(Agent)功能能让Private Key缓存在内存中,每次打开客户端只需输入一次解密Private Key的口令(Passphrase),便能使用Private Key代理自动登录这个Private Key控制的所有服务器。
4)帐号的管理也十分安全和方便,因为认证过程中不需要把Password写在脚本中,而是让客户端缓存的Private Key自动去登录服务器,这样就更安全方便地实现批处理(例如在客户端同时连接并更新所有控制的服务器)。
Key Pair的不对称的特点,使用Key认证时需要注意的地方:解密
Private Key的口令(Passphrase)和Private Key文件必须妥善保管,如果丢失其一则会引起安全隐患,应及时修改加密Private Key的Passphrase(在本地就可以修改,不必修改服务器上的Public Key),如果两者都泄露了,则帐号就不安全了,应该及时更换新的Key Pair。某些客户端(如SecureCRT)默认会把解密后的Private Key 放缓存在内存中,以后登录时若需要用要这个Private Key认证,SecureCRT会自动认证,不用再手工输入口令,所以当有SSH登录的时候,在离开自己的电脑前必须锁定Windows,防止别人接触你的电脑。
实际上是代表你个人身份的关键信息,任何情况下不应该交给他人,包括你的上司,系统管理员等。理论上来说,如果你的个人电脑足够安全,则private key只需要放在自己电脑上,永远不传送给他人即可保证安全。为了进一步保护private key,我们很自然的会要求对private key进行加密保护,passphrase就是打开这个保护的钥匙。这个钥匙只对应于个别的private key文件,跟其他任何系统无关。只需要有必要的工具,你完全可以在自己的电脑上随时任意修改它。但要注意,如果同一个private key文件,用几个不同的文件存储(比如为了备份),而你只修改了其中一个文件的passphrase,那么旧的passphrase依然可以解开用旧的passphrase加密的private key文件。
private key其实代表了你个人在无数系统的身份,它不像password,password只是你在某个系统的身份代表,泄漏了一个系统的密码并不代表你泄漏了你在所有系统的身份安全(前提是你在不同的系统使用了不同的password)。由于实际应用中,private key
对应的public key会部署在很多很多系统上,因此,泄漏private key是极其危险的。为了保护private key,有些系统(比如许多网上银行系统:招行、工行的网上银行系统)都提供一个USB硬件用以存储你的private key,而这个硬件刻意做到private key 无法拷贝出来,只能参与计算,这就避免了用户因为中木马病毒而泄漏private key的风险。这样的做法实际上用额外的成本,增加了一层物理上的保护(因为要盗取private key首先要物理上得到这个硬件)。即使如此,要访问在这个硬件里的private key还是需要密码的。这些系统里甚至要求private key定期(比如一年)要过期,强制你换一个新的private key。
正是因为private key的保护密码如此重要,要求大家用一个有足够强度的密码来保护它。这个保护密码除了应当包含足够大的字符范围(特殊字符,数字,大小写字母),还应当有足够的长度。为了强调这个区别,习惯上都用passphrase代替password这个说法,因为phrase的意思“短语”,而word是“单词”,前者比后者长。
PGP手册里有专门的章节讲解如何才是足够强的passphrase。希望大家参考一下。
以下时PGP输入passphrase,由此可见人家允许和期待的passphrase有多长:
三.P ublic Key认证的设置
1.Key Pair的生成
不同的客户端生成的Key Pair文件格式可能不一样,但是内容实质是一样的,只需通过微量修改便可部署。
基于安全的理由,请在你个人的,可靠安全的电脑上生成Key Pair。
1.1在Windows客户端生成Key Pair
(以Version5.0为准介绍)在这主要介绍一下SecureCRT中OpenSSH连接的使用。
第一步生成Key Pair
运行SecureCRT,选择菜单栏Tools->Create Public Key,点击“下一步”,选择Key Pair的算法类型为“RSA”(也可以使用“DSA”,但推荐使用RSA)
输入加密Key的保护口令(Passphrase):
Passphrase,如果遗忘,只能重新生成Key Pair。
选择Key的长度(默认的1024已经基本可以满足,可以根据需要增减长度,不过请注意长度越短越低保障,安全强度越低):
生成Key Pair,在如下图的程序框内随意移动鼠标以给它生成Key的足够的随机量:
将Key Pair保存到妥善的地方,如d:\sshkey\id_rsa,Public Key即为id_rsa.pub(建议改成登录的用户名作为区分)
第二步配置需要的连接
点选左上角的Connect按钮,开启Connect对话框,选择需要配置的Session,如图
进入属性页填入要连接的主机名称(或者ip地址),用户名,再选择基于Public Key 方式的认证
点击Properties 进入Public Key Properties对话框,在红色圈所示的位置填入你的Private Key文件
global public key,您可以方便使用一个key登陆不同的服务器,而且只需维护一个key即可;使用 session public key,您需要使用不同的key登陆不同
的服务器,需要维护若干个key。
建议:针对重要的应用系统请使用session public key。
1.2在Unix/Linux系统生成Key Pair
# ssh-keygen -b 1024 -t rsa
Generating public/private rsa key pair。
Enter file in which to save the key (/home/$username/.ssh/id_rsa):(Key Pair将要保存的路径,括号内为默认)
Created directory '/home/$username/.ssh'。
Enter passphrase (empty for no passphrase):(输入口令)
Enter same passphrase again:(再次输入口令,千万不要忘记否则就只有从新生
成密钥了)
Your identification has been saved in /home/$username/.ssh/id_rsa。(你的私钥)
Your public key has been saved in /home/$username/.ssh/id_rsa.pub。(你的公钥)
The key fingerprint is:
bb:1b:f5:1c:77:62:90:21:59:7e:c6:65:e5:24:c6:e5 $username@freebsd 2.部署Key Pair
2.1对已有帐号部署(或更换)Key Pair
将前面生成的Public Key安全地传给Unix/Linux服务端,Private Key要保存
在客户端安全的地方。将Public Key放在/home/$username/.ssh目录中。并改名为authorized_keys。
# su $username
# cd /home/$username/.ssh
# cat id_rsa.pub >> authorized_keys
对于SecureCRT生成的Public Key,还需要在服务器端运行命令修改Public Key
文件,SecureCRT生成的Pubkic Key文件格式如下例:
---- BEGIN SSH2 PUBLIC KEY ----
Subject: somebody
Comment: "somebody@test"
ModBitSize: 1024
AAAAB3NzaC1yc2EAAAADAQABAAAAgQC9s07Uev+qQ8/aYA0GO2f0ltbwt3DTdeqTt KMm7LZi7nEqHPDtxBZDGXoEeim/WYEQTV0kUBtDaX5RwPihHBk4n3Q2zTZ4ypa3cb
Azl48IhVtQlDrUYFnQee+unP0waSykeIrCtDzZVeMrb0WqkeeulYhe6FPBaWHd1q8
Q2VqCpQ==
---- END SSH2 PUBLIC KEY ----
使用ssh-keygen -i –f pubkey.file来转换非OpenSSH的pubkey格式,这样Public Key文件变成如下格式
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAAAgQC9s07Uev+qQ8/aYA0GO2f0ltbwt3DTdeqTt KMm7LZi7nEqHPDtxBZDGXoEeim/WYEQTV0kUBtDaX5RwPihHBk4n3Q2zTZ4ypa3cb Azl48IhVtQlDrUYFnQee+unP0waSykeIrCtDzZVeMrb0WqkeeulYhe6FPBaWHd1q8
Q2VqCpQ==
注意:上面所有内容都在同一行中。
2.2新添帐号并部署Key Pair
将以上任一种方法生成的Key Pair中的Public Key(username_pubkey)传送给管理员,管理员可按以下示例添加用户,其中username为用户的登陆名,可作相应替换:
FreeBSD为例:
username_pubkey="ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQCnL5nGNUasf/LN8SXcO+jGbtq2SYTRQtjKO
K2hnnGhTeFClkgjeYQ2VmHWawdUlnDAHE6M/P1yUmwLNuxZjXKMk1n4fm8GyiXTeZ FOqMNolw7PqOpdvvgpSRqoooNb94uY5DXeyiRCmZIpz2gcgtz3u2gCmbDv5flvQsj YP8SQ3Xm39QTmB/dov3d/TIHTaZaLyFhG75wk7RNKbZDCj2lEhNWwgI67Wu2ECEIn /i9oEfwsumjTxBQGJYbio4g5vSm9kIoEJ/mWeoBB2rqjkW5kmRENECgnq1Ne0g4Lk
5reUJXTDwjERQPnX+qbM7hAqBiTPQtX4GYlf4RHIgH8wvCz"
pw useradd –n $username -m -G wheel -c username –w no –s /bin/csh (假设需要添加一个属于wheel组的用户)
su $username -c "mkdir -p /home/username/.ssh"
su $username -c "echo $username_pubkey >/home/username/.ssh/authorized_keys"
su $username -c "chmod 700 /home/username/.ssh"
su $username -c "chmod 600 /home/username/.ssh/authorized_keys"
Linux为例:
username_pubkey="ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQCnL5nGNUasf/LN8SXcO+jGbtq2SYTRQtjKO
K2hnnGhTeFClkgjeYQ2VmHWawdUlnDAHE6M/P1yUmwLNuxZjXKMk1n4fm8GyiXTeZ FOqMNolw7PqOpdvvgpSRqoooNb94uY5DXeyiRCmZIpz2gcgtz3u2gCmbDv5flvQsj YP8SQ3Xm39QTmB/dov3d/TIHTaZaLyFhG75wk7RNKbZDCj2lEhNWwgI67Wu2ECEIn /i9oEfwsumjTxBQGJYbio4g5vSm9kIoEJ/mWeoBB2rqjkW5kmRENECgnq1Ne0g4Lk
5reUJXTDwjERQPnX+qbM7hAqBiTPQtX4GYlf4RHIgH8wvCz"
/usr/sbin/useradd $username -m -G root -c username (假设需要添加一个
属于root组的用户)
su $username -c "mkdir -p /home/username/.ssh"
su $username -c "echo $username_pubkey >/home/username/.ssh/authorized_keys"
su $username -c "chmod 700 /home/username/.ssh"
su $username -c "chmod 600 /home/username/.ssh/authorized_keys" passwd –f -u username (默认状态下Linux下面的Account是Locked的,需要打开)
3.使用Key Pair连接服务器
第一步修改OpenSSH服务端配置
确定您机器中的sshd_config的位置,一般在/etc/ssh/下,我们以此为例。脚本中的注释仅供阅读使用,输入命令的时候请去掉。
sed -e ‘s/^Port/#Port/’ -e ‘s/^Protocol/#Protocol/’ \
-e ‘s/^PermitRootLogin/#PermitRootLogin/’ \
-e ‘s/^PubkeyAuthentication/#PubkeyAuthentication/’ \
-e ‘s/^AuthorizedKeysFile/#AuthorizedKeysFile/’ \
-e ‘s/^PasswordAuthentication/#PasswordAuthentication/’ \
-e
‘s/^ChallengeResponseAuthentication/#ChallengeResponseAuthenticat ion/’ \
-e ‘s/^PermitEmptyPasswords/#PermitEmptyPasswords/’ \
-e ‘s/^UsePAM/#UsePAM/’
/etc/ssh/sshd_config > /etc/ssh/sshd_config.new
if [ -f /etc/ssh/sshd_config.new ]; then
cat << _EOF >> /etc/ssh/sshd_config.new
Port 18822 # 使用非常用的ssh服务端口,减低被扫描的可能性
Protocol 2 # 要求使用较为新并且安全的版本2的ssh协议
PermitRootLogin no#不允许直接以root用户登陆。需要以普通用户登陆后再su PubkeyAuthentication yes # 打开Public Key认证的支持
AuthorizedKeysFile .ssh/authorized_keys # 用户默认public key的位置。这里可以根据情况自行设置恰当的值,但每个用户必须有独立的key文件。共享帐号是错误的。
PasswordAuthentication no # 建议禁止使用Password的认证方式登陆
PermitEmptyPasswords no # 不允许使用空密码登陆
ChallengeResponseAuthentication no # 不允许使用ChallengeResponse 方式的认证。在FreeBSD下,打开ChallengeResponse会打开PAM认证。并且,ChallengeResponse方式的认证存在较多漏洞,容易受到DoS攻击。
UsePAM no # 不允许使用 PAM 认证。上文中提到PAM是一种配置较为复杂而且容易因为配置失误而产生安全漏洞的机制,因此不允许使用。
UseDNS no # 禁止SSHD使用反向域名解析,判断用户登陆位置,容易收到DNS欺骗攻击而失效。同时,如果服务器域名解析出错,将会导致认证超时而不能登陆服务器。所以应该关闭。
_EOF
cp -f /etc/ssh/sshd_config.new /etc/ssh/sshd_config
if [ $? ]; then
echo “Fail to modify sshd_config. Please check!!”
else
echo “Finish modifing sshd_config.”
else
echo “Fail to modify sshd_config. Please check!!”
fi
重新启动OpenSSH进程sshd,使配置文件生效。(可使用系统自带的sshd脚本来重启,也可使用kill –HUP `head -1 /var/run/sshd.pid`进程来重启,以免当前连接中断)
第二步测试连接
用设置好的SecureCRT连接,将会出现如下登陆框,输入保护Private Key的密码,即可。
在第一次连接服务器时,会弹出服务器主机Key(服务器的Public Key)对话框,这时我们点击接受并保存这个Public Key,如果在以后使用的过程中再次出现这样的对话框,表明服务器Public Key已经被修改了,此时应该向服务器管理员咨询是否修改了服务器Public Key,否则怀疑服务器受到攻击。
4.修改Private Key的保护口令(即Passphrase)
当Private Key文件或Private Key口令(Passphrase)存在安全隐患时(如被泄漏),应该及时修改Private Key保护口令(Passphrase),重新加密Private Key。
Unix平台:
ssh-keygen -p [-P old_passphrase] [-N new_passphrase] [-f keyfile]
Windows平台:
以SecureCRT为例
进入Public Key属性页,选择Change Passphrase,修改即可,
四.S SH其它
SSH提供了很多强大的安全功能,上面我们已经描述了它的Key认证功能,在SSH 家族里,还有scp(for SSH1.X), sftp(for SSH2.X),密钥转发,端口转发,X 转发等等安全功能,其中scp和sftp是用SSH协议安全地传输文件(文件被加密压缩传输),密钥转发可以通过服务器连接服务器(类似于proxy),端口转发是用SSH协议封装其它协议(如POP3)来进行安全通信。。。。。。
这里简要介绍scp和sftp两个常用命令拷贝文件的使用方式:
用scp拷贝文件
SSH提供了一些命令和shell用来登录远程服务器,在默认情况下它不允许你拷贝文件,但是还是提供了一个scp命令。
假定你想把本地计算机当前目录下的一个名为“dumb”的文件拷贝到远程服务器https://www.wendangku.net/doc/c518241489.html,上你的家目录下。而且你在远程服务器上的帐号名为“somebody”。可以用这个命令:
scp dumb somebody@https://www.wendangku.net/doc/c518241489.html,:
把文件拷贝回来用这个命令:
scp somebody@https://www.wendangku.net/doc/c518241489.html,:dumb .
scp调用SSH进行登录,然后拷贝文件,最后调用SSH关闭这个连接。(scp假定你在远程主机上的/home/somebody目录为你的工作目录。如果你使用相对目录就要相对于/home/somebody目录。)
用sftp拷贝文件
如果你习惯使用ftp的方式拷贝文件,可以试着用sftp。sftp建立用SSH加密的安全的FTP连接通道,允许使用标准的ftp命令。
例如:sftp somebody@https://www.wendangku.net/doc/c518241489.html,
五.参考文献
《SSH权威指南》O’REILLY 中国电力出版社
网络管理部
2006-4-19
portal认证介绍
Portal认证技术 认证技术就是AAA(认证,授权,计费)得初始步骤,AAA一般包括用户终端、AAAClient、AAA Server与计费软件四个环节。用户终端与AAA Client之间得通信方式通常称为"认证方式"。目前得主要技术有以下三种:PPPoE、Web+Portal、IEEE802、1x。 基于web方式得认证技术最广为人知得一点就是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议,在网络应用日益复杂得形势下,很多复杂得管理要求已经涉及到高层协议,面对这些要求,基于2、3层得认证技术入PPPoE,802、1x就无能为力。 1.PPPoE 通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议得主要功能,包括采用各种灵活得方式管理用户。 PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户得简单以太网桥启动一个PPP对话。 PPPoE得建立需要两个阶段,分别就是搜寻阶段(Discovery stage)与点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端得以太网MAC地址,并建立一个PPPoE得对话号(SESSION_ID)。 在PPP协议定义了一个端对端得关系时,搜寻阶段就是一个客户-服务器得关系。在搜寻阶段得进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信得可能有不只一个网络设备。在搜寻阶段,主机可以发现所有得网络设备但只能选择一个。当搜索阶段顺利完成,主机与网络设备将拥有能够建立PPPoE得所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机与网络设备都必须为点对点对话阶段虚拟接口提供资源 (1)PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较低,由于宽带接入服务器要终结大量得PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能得“瓶颈”。(2)由于点对点得特征,使组播视频业务开展受到很大得限制,视频业务大部分就是基于组播得。 (3)PPPoE在发现阶段会产生大量得广播流量,对网络性能产生很大得影响 2、802、1x 802、1x认证,起源于802、11协议,后者就是标准得无线局域网协议,802、1x协议提出得主要目得:一就是通过认证与加密来防止无线网络中得非法接入,二就是想在两层交换机上实现用户得认证,以降低整个网络得成本。其基本思想就是基于端口得网络访问控制,即通过控制面向最终用户得以太网端口,使得只有网络系统允许并授权得用户可以访问网络系统得各种业务(如以太网连接,网络层路由,Internet接入等)。 802、1x认证仅仅在认证阶段采用EAPOL(EAP encapsulation over LANs)报文,认证之后得通信过程中采用TCP/IP协议。EAP(Extensible Authentication Protocol扩展认证协议)就是对PPP协议得扩展,EAP对PPP得扩展之一就就是让提供认证服务得交换机从认证过程中解脱出来,而仅仅就是中转用户与认证服务器之间得EAP包,所有复杂得认证操作都由用户终端与认证服务器完成。 802、1x最大得优点就就是业务流与控制流分离,一旦认证通过,所有业务流与认证系统相分离,有效地避免了网络瓶颈得产生。 802、1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802、1q得VLAN,对设备得整体性能要求不高,可以有效降低建网成本。 缺点: *需要特定客户端软件
Portal(WEB)及802.1X认证
青岛大学Portal(WEB)及802.1X认证 使用说明书 一、Portal(web)认证使用说明 (2) 1.1 登录 (2) 1.2 退出 (7) 1.3 修改密码 (8) 1.4 查询上网明细 (9) 二、802.1x认证使用说明 (10) 2.1 802.1x客户端安装 (10) 2.2 创建连接 (12) 2.3 登录 (16) 2.4 退出 (18) 2.5 修改密码 (18) 2.6 查询上网明细 (19)
在教学及办公区人员上网使用的是Portal(web)认证模式;在宿舍区上网使用的是802.1x认证模式! 一、P ortal(web)认证使用说明(教学及办公区使用) 1.1 登录 打开IE浏览器,在地址栏中输入网站地址,这时IE将会出现认证窗口,也可以直接在浏览器地址栏中输入http://172.20.1.1/portal,见图1-1: 图1-1 Portal认证方法:用户名还是原来使用的用户名(教工为身份证号码后10位,学生为学号),密码统一为123456,请各位用户首先按下面的方法修改自己的密码。 (1)、输入用户名和密码后,如果不选择“客户端”方式,直接点击<连接>,在认证成功后将会为您打开一个在线网页窗口。见图1-2:
图1-2 如果不想下线请不要关闭此窗口,如果想下线请点击<断开>,正常断开后在关闭此窗口。 (2)、输入用户名和密码后,如果选择客户端方式,在认证时将会为您下载一个插件,认证成功后认证窗口将会最小化到系统托盘中。见图1-3 注:如果在下载插件过程中出现图1-4的信息时,请按照要求操作(见图1-5至1-8):
WIFI+Portal认证解决方案_高可靠性
宽带连接世界,信息改变未来 WIFI+Portal认证解决方案 2013年02月
目录 1 概述 (3) 2 安朗WIFI+Portal认证系统解决方案 (3) 2.1 系统拓扑 (4) 2.2 系统容量估算 (4) 2.3 防火墙 (5) 2.4 负载均衡 (5) 2.5 Portal系统 (5) 2.6 AAA系统 (5) 2.7 Oracle数据库 (6) 2.8 磁盘阵列 (6) 3 方案特点 (6) 4 典型案例 (6) 4.1 广州电信本地WIFI认证平台 (6) 4.2 广交会WiFi+Portal 认证平台 (8) 广州安朗通信科技有限公司 2 / 9
1概述 随着智能手机和手持终端的不断普及,使用者需要随时随地上网获取信息。为了给客户更好的服务,越来越多的商家开始提供免费或者收费的WIFI接入服务。在酒店、餐饮、汽车4S店等行业,都开始都提供WIFI服务。 目前随着WIFI的接入增加,对于WIFI的认证也逐渐开始收到了更多的关注。特别是对于WIFI的Portal认证方式收到了越来越多的应用。对于电信运营商这一类的WIFI接入提供商来说,Portal认证系统的稳定可靠是优先考虑的,这就需要提供一个具有高可靠性的Portal 认证系统。 2安朗WIFI+Portal认证系统解决方案 为了满足高可靠性的需要,安朗WIFI+ Portal系统解决方案中包括防火墙、负载均衡、Portal系统、AAA系统、Orcale数据库(负载均衡工作模式)、磁盘阵列等部分。 广州安朗通信科技有限公司 3 / 9
广州安朗通信科技有限公司 4 / 9 2.1 系统拓扑 2.2 系统容量估算 这里的系统容量主要是指各个系统需要采用的Portal 服务器和AAA 服务器的计算以及系统所需带宽估算,负载均衡设备和防火墙容量的估算请参考各个厂家的估算公式。 系统带宽=页面文件大小×并发用户数 页面的连接数×并发用户数=Portal 系统需要支持的连接数 并发用户数/超时时间5秒(认证超时)=AAA 系统每秒需要处理认证请求数 需要的Portal 硬件数量= Portal 需要支持的连接数/单台Portal 支持的连接数
H3C AC进行Portal认证
一、组网需求: 在BYOD组网方案下,我们主要通过iNode客户端、HTTP网页、终端Ma c地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息,实现终端识别以便完成相应的权限策略控制。其中DHCP的Option属性方式可普遍用户各种场景。由于部署DHCP服务器并安装Agent插件的方式比较繁琐,这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55(终端操作系统)和option 60(终端厂商)信息并通过Radius属性上报给iMC服务器的典型配置。 WX系列AC、Fit AP、交换机、便携机(安装有无线网卡)、iMC服务器及其他智能终端。 二、组网图: 三、配置步骤: 1、AC版本要求 WX系列AC从B109D012合入该特性,因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55(终端操作系统)和opti on 60(终端厂商)信息并通过Radius属性上报给iMC服务器。WX系列AC可通过下面的命令查看内部版本号:
V7iMCportal认证典型配置案例解析
V7 iMC portal认证典型配置案例 一、组网需求: 某公司计划启用Portal认证,用户接入网络时需要进行身份验证,具体的组网如图所示。EIA服务器IP地址为192.168.1.120,接入设备用户侧IP地址为192.168.2.1。PC IP地址为192.168.2.15,安装了Windows操作系统,并安装iNode客户端。 注:本案例中各部分使用的版本如下: EIA版本为iMC EIA 7.1 (E0302) 接入设备为H3C MSR3020 version 5.20, Release 2509, Standard iNode版本为iNode PC 7.1(E0302P02) 说明:通用Portal认证不包含任何接入控制和安全检查。用户身份验证成功后便可接入网络。 二、组网图:
三、配置步骤: 1、配置接入设备 接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。具体的命令及其说明如下:配置RADIUS策略“portalpermit”。认证、计费服务器均指向EIA口、计费端口、共享密钥要与EIA接入设备时的配置保持一致。[router]radius scheme portalpermit New Radius scheme [router-radius-portalpermit]primary authentication 192.168.1.120 1812
[router-radius-portalpermit]primary accounting 192.168.1.120 1813 [router-radius-portalpermit]key authentication admin [router-radius-portalpermit]key accounting admin [router-radius-portalpermit]user-name-format with-domain [router-radius-portalpermit]nas-ip 192.168.2.1 [router-radius-portalpermit]qui [router]domain portal [router-isp-portal]authentication portal radius-scheme portalpermit [router-isp-portal]authorization portal radius-scheme portalpermit [router-isp-portal]accounting portal radius-scheme portalpermit [router-isp-portal]qui [router] portal free-rule 0 source ip any destination 221.10.1.1 mask 255.255.255.255 //放通访问dns,例如dns的地址为221.10.1.1。
WebPortal无线接入认证解决方案
WebPortal无线接入认证解决方案 1 2020年4月19日
蓝海卓越WebPortal无线接入认证解决方案 科技开创蓝海专业成就卓越
目录 一、项目背景 (1) 二、需求分析 (1) 三、方案设计原则 (2) 四、方案详细说明 (3) 4.1 方案拓扑图 (4) 4.2 方案特色说明 (5) 五、产品介绍 (7) 5.1 蓝海卓越室外型无线AP NS712-POE (7) 5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (11) 5.3 蓝海卓越Portal服务器产品 (14) 六、典型客户案例 (16) 6.1 合肥某商场 (16) 6.2 XX市建设银行 (19) 6.3 XX省图书馆 (21) 6.4 郑州某宽带运营商 (23)
一、项目背景 随着移动终端设备的快速发展,越来越多的人随身携带者手机、平板、笔记本等移动终端。人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈,不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。商家企业经过提供易用的无线网络不但能够使顾客方便的访问互联网,也能够使顾客驻足停留吸引人气增加消费。提供WIFI已经成为商家企业提升服务水平,提高品牌知名度的一种方式。 可是传统的无线网络的接入方式,用户上网需要得知无线密码或者不需要密码直接接入到无线网络中,不但在安全上存在一定的隐患,网络运行也不够稳定更不能对接入用户进行管理控制,实际操作起来也不够方便。更重要的是商家企业并没有经过无线网络跟顾客建立一种良性互动,没有发挥其应有的作用,使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。 二、需求分析 针对当前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题,商场、连锁酒店的无线接入认证解决方案需要满足以下需求:
直接portal认证实验总结
无线直接portal认证 1.组网需求 ●用户通过无线SSID接入,根据业务需求,接入用户通过vlan20、vlan30和vlan40,3 个网段接入,AP管理地址使用vlan10网段,所有网关在AC上,并且通过AC上的DHCP 获取地址。 ●用户接入时需要启用portal认证。 2.组网图 3.配置思路 ●在WX3024E上配置portal功能 ●配置IMC服务器 4.配置信息 ●AC配置如下: [H3C_AC-1]disp cu # version 5.20, Release 3507P18 #
sysname H3C_AC-1 # domain default enable h3c # telnet server enable # port-security enable # portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc # oap management-ip 192.168.0.101 slot 0 # password-recovery enable # vlan 1 # vlan 10 description to_AP # vlan 20 description _User # vlan 30 description to_User # vlan 40 description to_User # vlan 100 description to_IMC # vlan 1000 description to_Router # radius scheme imc server-type extended primary authentication 192.168.1.11 primary accounting 192.168.1.11 key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1 key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38i nas-ip 192.168.1.254 # domain h3c
portal认证介绍
P o r t a l认证技术认证技术是AAA(认证,授权,计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种:PPPoE、Web+Portal、。 基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议,在网络应用日益复杂的形势下,很多复杂的管理要求已经涉及到高层协议,面对这些要求,基于2、3层的认证技术入PPPoE,就无能为力。 1.PPPoE 通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。 PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE 的对话号(SESSION_ID)。 在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信的可能有不只一个网络设备。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源 (1)PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较低,由于宽带接入服务器要终结大量的PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能的“瓶颈”。 (2)(2)由于点对点的特征,使组播视频业务开展受到很大的限制,视频业务大部分是基于组播的。 (3)PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响 2、 认证,起源于协议,后者是标准的无线局域网协议,协议提出的主要目的:一是通过认证和加密来防止无线网络中的非法接入,二是想在两层交换机上实现用户的认证,以降低整个网络的成本。其基本思想是基于端口的网络访问控制,即通过控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接,网络层路由,Internet接入等)。 认证仅仅在认证阶段采用EAPOL(EAP encapsulation over LANs)报文,认证之后的通信过程中采用TCP/IP 协议。EAP(Extensible Authentication Protocol扩展认证协议)是对PPP协议的扩展,EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来,而仅仅是中转用户和认证服务器之间的EAP包,所有复杂的认证操作都由用户终端和认证服务器完成。 最大的优点就是业务流与控制流分离,一旦认证通过,所有业务流与认证系统相分离,有效地避免了网络瓶颈的产生。 协议为二层协议,不需要到达三层,而且接入层交换机无需支持的VLAN,对设备的整体性能要求不高,可以有效降低建网成本。 缺点: *需要特定客户端软件 *网络现有楼道交换机的问题:由于是比较新的二层协议,要求楼道交换机支持认证报文透传或完成认证过程,因此在全面采用该协议的过程中,存在对已经在网上的用户交换机的升级处理问题; *IP地址分配和网络安全问题:协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机+,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题; *计费问题:协议可以根据用户完成认证和离线间的时间进行时长计费,不能对流量进行统计,因此无法开展基于流量的计费或满足用户永远在线的要求。 Web+ Portal
portal 认证技术实现方式
Portal认证方式具有:不需要安装认证客户端,减少客户端的维护工作量、;便于运营,可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。 目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用. 方法/步骤 用户连接到网络后,终端通过DHCP由BAS做DHCP-Relay,向DHCP Server要IP地址(私网或公网);(也可能由BAS直接做DHCP Server)。 用户获取到地址后,可以通过IE访问网页,BAS为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问portal server和一些内部服务器,个别外部服务器如DNS),并将用户访问其他地址的请求强制重定向到强制Web认证服务器进行访问。表现的结果就是用户连接上但不认证的情况下,只能访问指定的页面,浏览指定页面上的广告、新闻等免费信息。 Portal server向用户提供认证页面,在该页面中,用户输入帐号和口令,并单击"log in"按钮,也可不输入由帐号和口令,直接单击"Log in"按钮;
该按钮启动portal server上的Java程序,该程序将用户信息(IP地址,帐号和口令)送给网络中心设备BAS; BAS利用IP地址得到用户的二层地址、物理端口号(如Vlan ID, ADSL PVC ID,PPP session ID),利用这些信息,对用户的合法性进行检查,如果用户输入了帐号,使用用户输入的帐号和口令到Radius server对用户进行认证,如果用户未输入帐号,则认为用户是固定用户,网络设备利用Vlan ID(或PVC ID)查用户表得到用户的帐号和口令,将帐号送到Radius server进行认证; Radius Server返回认证结果给BAS; 认证通过后,BAS修改该用户的ACL,用户可以访问外部因特网或特定的网络服务;BAS 开始计费。 用户离开网络前,连接到portal server上,单击"断开网络"按钮,系统停止计费,删除用户的ACL和转发信息,限制用户不能访问外部网络; 注意事项 二次地址分配问题: 二次地址分配是指在802.1X或Web Portal接入方式中,初始DHCP时为用户预分配IP 地址(通常为私网地址),在用户通过认证后,重新为用户分配地址(通常为公网地址)的技术。这是因为如果在用户开机后未经过认证,DHCP时全部为用户分配公网IP地址,显然是对IP地址资源的极大浪费。采用二次地址分配则可以较为有效的解决公网地址不足的问题,提高公网地址的利用率。 二次地址分配的配置是在BRAS上配置认证域时配置的,需要启用二次地址分配功能并
H3C无线本地portal认证
本地portal认证 组网: 实验环境: [WX5540E]dis version H3C Comware Platform Software Comware Software, Version 5.20, Release 2609P55 Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX5540E uptime is 2 weeks, 1 day, 4 hours, 26 minutes H3C WX5540E with 1 RMI XLP 432 1400MHz Processor 8192M bytes DDR3 16M bytes Flash Memory 4002M bytes CFCard Memory Hardware Version is Ver.B FPGA1 Hardware Version is Ver.A FPGA2 Hardware Version is Ver.A CPLD 1 CPLD Version is 006
CPLD 2 CPLD Version is 004 FPGA1 Logic Version is 323 FPGA2 Logic Version is 323 Basic Bootrom Version is 1.12 Extend Bootrom Version is 1.12 [Slot 0]WX5540ELSW Hardware Version is NA [Slot 1]WX5540ERPU Hardware Version is Ver.B
36-本地转发 + Portal认证典型配置举例
本地转发 + Portal认证典型配置举例 Copyright ? 2014 杭州华三通信技术有限公司版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目录 1 简介 (1) 2 配置前提 (1) 3 配置举例 (1) 3.1 组网需求 (1) 3.2 配置思路 (2) 3.3 配置注意事项 (2) 3.4 配置步骤 (3) 3.4.1 AC的配置 (3) 3.4.2 Switch的配置 (6) 3.4.3 RADIUS服务器的配置 (7) 3.4.4 Portal服务器的配置 (11) 3.5 验证配置 (14) 3.6 配置文件 (15) 4 相关资料 (17)
1 简介 本文档介绍了使用AC的Portal认证支持本地转发特性的典型配置举例。 2 配置前提 本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解Portal认证、MAC地址认证和WLAN的本地转发特性。 3 配置举例 3.1 组网需求 如图1所示,Client通过无线网络访问Internet,AP和Client通过DHCP服务器获取IP地址。现要求当Client接入无线网络时,当MAC地址认证不通过时,配置Portal认证使得Client安全接入,再进行MAC地址认证,使Client进行本地转发。具体实现如下: ?Client初始访问网络时,当MAC地址认证不通过时,Client进入Guest VLAN,进行集中转发。 ?Client进入Guest VLAN并获取IP地址后进行Portal认证,Portal认证通过后,AC会强制Client下线并重新触发MAC地址认证。 ?Client通过MAC地址认证后会重新获取IP地址,进行本地转发。
信锐技术Portal服务器统一认证运营解决方案
信锐无线Portal统一运营解决方案 一、市场背景 2015年,工信部公布移动互联网用户总数规模达9.05亿。移动互联网的快速发展,无线需求旺盛,数据显示,WiFi上网接入占比持续扩大,接近七成,成为排名第一的上网方式。 目前主流的国内企业级无线厂商有华为、华三、锐捷、信锐,国外厂商思科、Aruba、Ruckus。还有一些不知名厂商。无线网络易扩展性的特点,使多期模式建设项目中存在多家厂商的无线网络设备。技术实现方式的差异导致,部署无线后很难实现统一的认证接入、用户管理、数据采集等。 信锐无线控制器内置Portal服务器,可以实现所有厂商无线的统一认证,包括支持Portal2.0协议以及不支持Portal2.0协议,有AC的廋AP组网或者没有AC的胖AP。 二、解决方案 2.1整体解决方案 新建的无线网络与一期已上线的无线网络统一整合,部署信锐无线Portal统一运营平台,
对整个网络的用户上网进行统一认证,达到各网络切换无需重新认证、简单管理的效果。信锐Portal运营平台还提供丰富的无线增值功能,包括多种认证方式、丰富的认证前广告推送、精准营销推送(可选定制),大数据分析(可选定制)等增值功能,为运营提供更多的利润点和决策支持。 信锐无线Portal统一运营解决方案网络架构如下图所示: 网络架构优势:信锐技术提供双机备份机制,通过部署2台控制器,实现整个无线网络的双机热备冗余,当主AC宕机后,备AC立即接替工作,减少单个设备故障带来的客户业务中断问题,提升了客户业务的可靠性,增加网络可靠性,避免单点故障,让无线网络更稳定。 2.2接入规则 Portal认证,是一种强制门户,强制用户在web页面上输入用户名密码校验后上网的一种认证形式。Portal认证的核心为其使用的Portal协议,现今,大多数运营商通过Portal2.0协议与其Radius服务器对接,实现认证、计费的功能。新建的无线网络与一期已上线的无线网络需统一SSID(无线网络名称),统一认证方式(web认证)。
portal认证介绍(DOC)
Portal认证技术 认证技术是AAA(认证,授权,计费)的初始步骤,AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种:PPPoE、Web+Portal、IEEE802.1x。 基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议,在网络应用日益复杂的形势下,很多复杂的管理要求已经涉及到高层协议,面对这些要求,基于2、3层的认证技术入PPPoE,802.1x就无能为力。 1.PPPoE 通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议的主要功能,包括采用各种灵活的方式管理用户。 PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。 PPPoE的建立需要两个阶段,分别是搜寻阶段(Discovery stage)和点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端的以太网MAC地址,并建立一个PPPoE的对话号(SESSION_ID)。 在PPP协议定义了一个端对端的关系时,搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信的可能有不只一个网络设备。在搜寻阶段,主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成,主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机和网络设备都必须为点对点对话阶段虚拟接口提供资源 (1)PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较低,由于宽带接入服务器要终结大量的PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能的“瓶颈”。(2)由于点对点的特征,使组播视频业务开展受到很大的限制,视频业务大部分是基于组播的。 (3)PPPoE在发现阶段会产生大量的广播流量,对网络性能产生很大的影响 2、802.1x 802.1x认证,起源于802.11协议,后者是标准的无线局域网协议,802.1x协议提出的主要目的:一是通过认证和加密来防止无线网络中的非法接入,二是想在两层交换机上实现用户的认证,以降低整个网络的成本。其基本思想是基于端口的网络访问控制,即通过控制面向最终用户的以太网端口,使得只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接,网络层路由,Internet接入等)。 802.1x认证仅仅在认证阶段采用EAPOL(EAP encapsulation over LANs)报文,认证之后的通信过程中采用TCP/IP协议。EAP(Extensible Authentication Protocol扩展认证协议)是对PPP协议的扩展,EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来,而仅仅是中转用户和认证服务器之间的EAP包,所有复杂的认证操作都由用户终端和认证服务器完成。
(完整)酒店行业portal认证解决措施(共享运营商无线AP设备)
(完整)酒店行业portal认证解决措施(共享运营商无线AP设备) 编辑整理: 尊敬的读者朋友们: 这里是精品文档编辑中心,本文档内容是由我和我的同事精心编辑整理后发布的,发布之前我们对文中内容进行仔细校对,但是难免会有疏漏的地方,但是任然希望((完整)酒店行业portal认证解决措施(共享运营商无线AP设备))的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈,这将是我们进步的源泉,前进的动力。 本文可编辑可修改,如果觉得对您有帮助请收藏以便随时查阅,最后祝您生活愉快业绩进步,以下为(完整)酒店行业portal认证解决措施(共享运营商无线AP设备)的全部内容。
目录 一.工程背景3 二.需求分析3 三.组网拓扑图5 3.1改造后网络拓扑图5 四.产品功能6 4.1 基本网络功能6 4。2 高级管理功能6 五.管理功能〈部分)7 5。1用户上网日志:7 六.方案优势9 一. 工程背景 随着智能手机、平板电脑成为出行的必备,酒店业为提升品牌管理与服务意识,纷纷上马无线网络工程,为住客提供优质的WIFI 接入服务。 酒店无线网络建设分为两种情况:酒店自建无线网络与电信运营商圈地建设。 电信运营商“圈地建设”是指前期电信运营商自己投入费用〈包括无线网络设备费用、安装调试维护费用、互联网接入费用及前期与酒店接触所产生的营销费用等),利用酒店现有的经营场所免费给酒店建设无线网络,作为酒店方面不需要出具任何费用,就能让客人使用电信运营商建设的无线网络,后期电信运营商会向使用无线网络的客人收取上网费用以达到收回前期各种费用投资并在今后实现持续盈利的目的。 从表面上来看,受益的确实是酒店方,既不用自己出任何费用又解决了让客人无线上网的实际需求,何乐而不为呢?部分酒店都爽快地签订了“圈地协议”,但运营一段时间后发现运营商的无线网络存在着严重的弊 共用运营商无线AP 设备 自定义展示广告 短信验证码认证<实名制) 酒店行业portal 认证解决方案
web portal认证流程描述
流程描述: 1)用户通过标准的DHCP协议,通过AC获取到规划的IP地址。 2)用户打开IE,访问某个网站,发起HTTP请求。 3)AC截获用户的HTTP请求,由于用户没有认证过,就强制到Portal服务器。 4)Portal服务器向WLAN用户终端推送WEB认证页面。 5)用户在认证页面上填入用户名、密码等信息,提交到Portal服务器。
6)Portal服务器接收到用户信息,必须按照CHAP(挑战握手认证协议)流程,向AC请求 Challenge。 7)AC返回Challenge,包括Challenge ID和Challenge。 8)Portal将密码和Challenge ID和Challenge做MD5算法后的Challenge-Password,和 用户名一起提交到AC,发起认证。 9)AC将Challenge ID、Challenge、Challenge-Password和用户名一起送到RADIUS用户 认证服务器,由RADIUS用户认证服务器进行认证。 10)RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文 到AC。(如果成功,携带协商参数,以及用户的相关业务属性给用户授权。) 11)AC返回认证结果给Portal服务器。(以及相关业务属性。) 12)Portal服务器根据认证结果,推送认证结果页面,如果成功,推送中国移动门户页面 给用户。 13)Portal服务器回应AC收到认证结果报文。如果认证失败,则流程到此结束。 14)认证如果成功,AC发起计费开始请求给RADIUS用户认证服务器。 15)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕,开始上网。
OpenPortalServer 开源Portal协议 WEB认证服务器 支持华为 H3C 锐捷---说明
OpenPortalServer开源Portal协议WEB认证服务器 作者:LeeSon QQ:25901875 E-Mail:LeeSon@https://www.wendangku.net/doc/c518241489.html, OpenPortal官方交流群119688084 该软件是基于华为AC/BAS PORTAL协议的服务端程序,Java编写,开源。 最新源代码下载地址:https://https://www.wendangku.net/doc/c518241489.html,/lishuocool https://https://www.wendangku.net/doc/c518241489.html,/SoftLeeSon/ 支持Huawei H3C Portal V1 V2协议PAP CHAP认证方式的Portal服务器 ------------------------------------------------------------------------------------------- 新手安装配置说明: ------------------------------------------------------------------------------------------- windows环境下: 1.首先保证已有JDK1.7环境,MySQL环境,tomcat7 2.解压路径无中文及空格 3.配置文件说明\webapps\ROOT\WEB-INF\classes\jdbc.properties 首先修改该数据库配置文件 创建openportalserver数据库UTF-8字符集 导入数据库文件OpenPortalServer.sql 后台账号:admin 密码:admin 4.配置AC设备安装和配置Radius服务 如果使用AC模拟器进行模拟测试则可忽略这步 如果使用页面展示、本地接入用户认证方式不用配置radius 5.运行bin/startup.bat 快捷方式 6.浏览器http://服务器IP 7.如果使用AC模拟器测试用户名密码随意如果真实环境(不用我废话了) ------------------------------------------------------------------------------------------- Linux环境: 安装jdk1.7 mysql tomcat7 将解压目录下的webapps目录替换
portal认证页面模板
竭诚为您提供优质文档/双击可除portal认证页面模板 篇一:portal认证时无法推送portal认证页面问题的解决办法 问题描述: portal网页认证时认证页面无法弹出; 解决方案: 1.页面提示“portalserver获取不到设备信息或者没有回应req_info报文”时,请参考百度 文库“portalserver获取不到设备信息或者没有回应req_info报文时的解决办法”; 2.浏览器的http报文头不符合规范时会导致portal页面无法弹出,表现为部分终端正常, 部分终端弹出空白页面,对于v7版本imc需要将如下选项改成“否” 对于V5版本imc需要修改配置文件 imc\portal\conf\portal.properties解决,将如下参数修改为“false”即可; 3.使用ie8有问题,使用其他浏览器没有问题;ie8浏
览器本身有些问题,建议更换浏览器 使用; 4.确认认证终端是否可以ping通portalserver服务器的ip地址;portal认证时,确认认证终端 可以ping通服务器地址,否则页面无法弹出; 5.确认jserver(plat与eia集中式部署)或者webserver(分布式部署)进程是否正常; 6.确认中间网络防火墙有无放开对应的端口,portal页面认证时需要放通终端到imc服务器 的8080或者80端口; 7.输入ip地址可以弹出,输入域名无法弹出portal页面,这是由于认证终端不能访问 dns 20xx-01-20 h3c机密,未经许可不得扩散第1页,共14页 服务器导致,在设备侧增加一条到ndsserver的 free-rule即可; 8.确认设备侧配置的重定向uRl是否正确,正确配置为: portalserverxxipx.x.x.xkeyxxxurl 附:portal认证典型配置 imcuam结合wx3010做无线portal认证并基于不 同ssid/操作系统推送不同认证页面的典型配置
- (完整)酒店行业portal认证解决措施(共享运营商无线AP设备)
- H3C AC进行Portal认证
- Portal认证用户使用说明
- portal认证介绍
- portal 认证技术实现方式
- Portal认证网络结构部署方案
- (完整版)portal认证介绍
- Portal认证技术介绍
- 如何构建自己的网页认证PORTAL服务器
- portal认证介绍(DOC)
- Portal认证过程解析
- wlan的Portal认证过程详解
- Portal(WEB)及802.1X认证
- 36-本地转发 + Portal认证典型配置举例
- portal认证时无法推送portal认证页面问题的解决办法
- portal认证介绍
- IMC portal快速认证
- 直接portal认证实验总结
- web portal认证流程描述
- portal认证故障排查