- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
iMC EIA LDAP用户Portal短信双因子认证
典型配置举例
资料版本:5W108-20221110
产品版本:EIA 7.3 (E0623)
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
在已经部署了应用系统的场景中,用户的应用系统使用LDAP服务器来管理终端用户的帐号。为了减少引入iMC系统的工作量和时间,同时保护用户的已有投资,仅需引入EIA组件来负责接收终端用户的认证请求。通过实时认证(LDAP服务器认证)或者本地认证(iMC本地认证)的方式验证用户合法性,从而实现入网帐号和LDAP服务器中帐号的统一。
适用于用户的应用系统使用LDAP服务器来管理终端用户的帐号,并引入iMC系统的EIA组件对终端用户接入网络进行认证的场景。
接入设备需支持Portal协议且EIA组件需包含LDAP特性。
某公司计划启用Portal短信双因子认证,用户接入网络时需要进行身份验证,具体的组网如图1所示。
· EIA服务器IP地址为192.168.7.220。
· 接入设备用户侧GigabitEthernet1/0/29对应VLAN虚接口的IP地址为172.18.76.1。
· PC的IP地址可以通过DHCP服务器进行获取,本文档获取到的IP地址为172.18.76.9。
注:本案例中各部分使用的版本如下:
· EIA版本:EIA 7.3 (E0623)
· 接入设备:H3C S5820V2-54QS-GE
· iNode版本:iNode PC 7.3 (E0589)
配置步骤如下:
· 配置EIA服务器
¡ 增加接入设备
¡ 增加接入策略
¡ 增加接入服务
· 增加接入用户
¡ 配置LDAP服务器
¡ 配置LDAP同步策略
¡ 同步LDAP用户作为接入用户
· 配置Portal服务
¡ 服务器配置
¡ IP地址组配置
¡ 设备配置
· 配置短信业务
· 配置接入设备
增加接入设备是为了建立iMC服务器和接入设备之间的联动关系。
增加接入设备的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面,如图2所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图3所示。
(3) 配置接入设备。
配置接入设备有两种方法:
· 在设备列表中单击<选择>按钮从iMC平台中选择设备。
· 在设备列表中单击<手工增加>按钮,手工配置接入设备。
无论采用哪种方式接入设备的IP地址都必须满意以下要求:
· 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
· 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
从iMC平台中选择设备时,设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求,则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。
单击设备列表中的<手工增加>按钮,弹出手工增加接入设备窗口,如图4所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
图4 手工增加接入设备
(4) 配置公共参数。
公共参数的配置要求如下:
· 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
· 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
· 业务类型:接入设备所承载的业务类型。
· 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
· 接入设备类型:在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种,包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)、HP(ProCurve)和ARUBA(General)。
· 业务分组:在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。
· 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果“用户 > 接入策略管理 > 业务参数配置 > 系统配置 >系统参数配置”中的密钥显示方式设置为明文时,只需输入一次共享密钥即可。
· 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组,接入位置分组是区分终端用户的接入条件之一。
· 其他参数保持默认。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持默认即可,如图5所示。
(5) 单击<确定>按钮,增加接入设备完毕,进入结果显示页面。单击“返回接入设备列表”链接,返回接入设备配置页面,可在接入设备列表中查看新增的接入设备,如图6所示。
配置一个不进行任何接入控制的接入策略。
增加接入策略的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图7所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图8所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图9所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如图10所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图11所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。
· 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
· 缺省接入策略:选择之前新增的接入策略。
· 缺省安全策略:接入用户的接入场景与服务中的接入场景均不匹配时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
· 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
· 缺省私有属性下发策略:接入用户的接入场景与服务中的接入场景均不匹配时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
· 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
· 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
· 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
· 其他参数保持默认。
表1 iMC中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图12所示。
本文档以微软活动目录中“h3c.com > h3ctest”目录下的jinice用户为例进行介绍,如图13所示。
(1) 打开H3C智能管理中心,选择“用户”页签,单击左侧导航树中的“接入策略管理 > LDAP业务管理 > 服务器配置”菜单项,进入服务器配置页面。单击<增加>按钮,进入增加LDAP服务器页面,如图14所示。
图14 增加LDAP服务器基本信息
参数说明:
· 服务器名称:LDAP服务器的名称。不能为空,不能与已存在的LDAP服务器名称重复。
· 服务器地址:LDAP服务器的域名或IP地址。该参数和Base DN的组合必须唯一。
· 服务器类型:LDAP服务器的类型,分为通用LDAP服务器和微软活动目录。前者表示所有符合LDAP标准的服务器,后者专指微软活动目录。
· 管理员DN(Distinguished Name):该DN为LDAP服务器的管理员DN,可管理LDAP服务器中用户数据,以微软活动目录为例进行介绍,如图13所示。其中,LDAP服务器的域为“h3c.com”、管理员为“Administrator”、管理员属于“Users”用户组,则管理员DN配置为“cn=Administrator,cn=users,dc=h3c,dc=com”。
· 管理员密码:LDAP服务器管理员密码,系统利用该密码与LDAP服务器建立连接。
· 显示明文:该参数决定管理员密码是否允许明文显示。考虑到管理员密码的安全性,启用该参数时,管理员密码需要重新输入。
· Base DN:LDAP服务器中保存用户数据的根节点名称,必须使用LDAP服务器上的绝对路径。Base DN分为选择及手动输入两种方式。
¡ 选择:单击<选择>按钮,进入选择Base DN页面。单击<查询>按钮,刷新Base DN列表,按需选择相应的Base DN。其中,只有正确填写了服务器地址、管理员DN、管理员密码,才能获取对应服务器下的所有Base DN信息。
¡ 手动输入:以微软活动目录为例进行介绍,LDAP服务器的域为“h3c.com”,域下面有组织(OU) group1,组织group1下有组织单位(OU) test。当需要以group1为根节点新增一个LDAP服务器时,那么Base DN应配置为“ou=group1,dc=h3c,dc=com”;当以test为根节点新增一个LDAP服务器时,则Base DN应配置为“ou=test,ou=group1,dc=h3c,dc=com”。其中,手动输入只能使用“,”或“;”中的一种符号作为分隔符。
(2) 展开“高级信息”区域,配置服务同步方式及实时认证,如图15所示。
参数说明:
· 服务同步方式:从LDAP服务器同步至iMC中的用户,有两种服务同步方式:手工指定及基于AD组。当“服务器类型”设置为通用LDAP服务器时,该参数只能设置为手工指定;当“服务器类型”设置为微软活动目录时,该参数可以设置为手工指定或基于AD组,本文档以手工指定为例进行介绍。
¡ 手工指定:LDAP服务器配置同步策略时,可以为绑定用户手动指定服务。
¡ 基于AD组:LDAP服务器配置同步策略时,只能为LDAP组指定服务,根据绑定用户所属的LDAP组自动为用户分配服务。
手工指定为所有用户指定相同的服务。在整个LDAP服务器中可能保存了成千上万的网络用户,而且不同的用户需要不同的服务。如果手工指定,显然是很繁琐的工作。由于每个用户都属于LDAP组,因此采用如下方式可以简化管理员的维护工作量:为每个LDAP组关联一个服务,属于某个LDAP组的用户申请该LDAP组关联的服务,这就是基于AD组同步。
· 实时认证:用户认证信息提交到iMC后,确定是在iMC本地认证,还是实时在LDAP服务器上认证。当“服务器类型”设置为微软活动目录时,由于微软活动目录不提供用户密码数据接口,该参数只能设置为实时认证;当“服务器类型”设置为通用LDAP服务器时,由于可以把用户的密码也同步至iMC,因此可以选择到iMC本地认证。
· 其他参数保持默认。
(3) 配置完成后,单击<检测>按钮,检测与LDAP服务器的连通性,如图16所示。
图16 检测LDAP服务器连通性
(4) 检测成功后,单击<确定>按钮,完成配置。
目前仅支持自动同步策略,本文档仅以自动同步策略为例进行介绍。
自动同步策略是在自动同步完成后,可以使LDAP服务器与iMC是保持数据上的同步。
当LDAP同步策略中同步选项勾选了“自动同步”,并且用户未对此同步策略进行同步时,iMC每天会按照“用户 > 接入策略管理 > LDAP业务管理 > 参数配置”页面中“LDAP同步/备份任务”设置的时间点进行自动同步用户。
配置LDAP自动同步策略步骤如下:
(1) 打开LDAP服务器,右键单击需要导入的用户,弹出菜单项,如图17所示。
(2) 选择“属性”菜单项,弹出用户属性页面。切换至“属性编辑器”页签,查看用户电话号码对应的属性并记录该属性,本文档为“homePhone”,如图18所示。
(3) 打开iMC,选择“用户”页签,单击左侧导航树中的“接入策略管理 > LDAP业务管理 > 同步策略配置”菜单项,进入同步策略配置页面。单击<增加>按钮,进入增加LDAP同步策略页面,如图19所示。
参数说明:
· 同步优先级:该参数为1-9999之间的整数,数值越大优先级越高,定时同步任务执行时高优先级的同步策略优先执行,如果不关心同步顺序,可设置成相同优先级。
· 子BaseDN:BaseDN是LDAP服务器中保存用户数据的根节点名称,而子BaseDN则是为了更好的分类管理用户数据,对BaseDN进一步的细化分类,能够起到将BaseDN下的用户数据分类管理的作用,为BaseDN的子集。本文档中与BaseDN保持一致。
· 过滤条件:基本格式为“属性名=值”,值部分支持使用*进行模糊匹配,如cn=He*,表示cn属性的值为He开头的所有节点。可以用多个过滤条件进行组合查询,每个过滤条件使用()括起来,同时在所有过滤条件前加上&、|、!来表示各个过滤条件之间的与、或、非关系,最后整个过滤条件使用()括起来。过滤条件支持处理过期用户。accountExpires>=now表示不同步已过期用户,accountExpires<=now表示仅同步当前已过期用户,accountExpires>=now+n表示不同步n天后将过期和已过期的用户,accountExpires>=now-n表示不同步已过期n天的用户,accountExpires<=now+n表示仅同步n天后将过期和已过期的用户,accountExpires<=now-n表示仅同步已过期大于等于n天的用户,其中“n”代表天数,取值范围为[1,3650]。
· 状态:分为有效和无效。状态为“无效”的同步策略,不支持“按需同步生效”、“同步”等功能,已生成的临时用户不会清除,但已经同步到iMC中的用户不影响其认证上线和使用自助服务。
· 同步的用户类型:增加同步策略时,只有选择接入用户,新增的同步策略才属于接入用户类型的LDAP同步策略。
· 同步选项:
¡ 自动同步:每天按照系统参数中“LDAP同步/备份任务”设置的时间进行同步。
¡ 启用第三方认证:勾选该选项时,该同步策略同步过来的LDAP用户认证时会做第三方认证,当不勾选时,做LDAP认证。该项只有配置了第三方认证配置才可以进行勾选。
¡ 新增用户及其接入帐号:如果在LDAP服务器中存在某个用户,而在iMC中不存在该用户,则同步时会在iMC中新增该用户,并在EIA组件中新增对应的接入用户。
¡ 为已存在用户新增接入帐号:如果在LDAP服务器和iMC中都存在某个用户,而在EIA组件中不存在该用户对应的接入用户,则同步时会在EIA组件中新增对应的接入用户。
¡ 仅同步当前节点下的用户:如果选中该项,则只同步子BaseDN下的用户,不同步子BaseDN下属OU的用户;如果不选中,则同步子BaseDN及其下属OU中的所有用户。
¡ 继承父分组服务:当LDAP用户所属的用户分组没有指定服务时,是否查询其父分组的服务。当所属父分组仍然没有指定服务时,继续向上查询,直至查询到服务或查询到根用户分组为止。仅当启用按用户分组申请服务功能,并且选择的LDAP服务器的用户分组为“按OU同步”,服务同步方式为“手工指定”时,才显示该选项。
¡ 过滤计算机帐号:如果去勾选该项,则计算机帐号会被同步为接入用户。
¡ 用户分组:当选择的LDAP服务器的用户分组为“手工指定”时,可以为当前的同步策略手工指定一个用户分组,同步用户时都同步到该用户分组下。当选择的LDAP服务器的用户分组为“按OU同步”时,不显示该选项,同步用户时不同OU下的用户会同步到和OU相对应的用户分组下。
¡ 其他参数保持默认。
(4) 勾选“自动同步”项,配置完成后,单击<配置检测>按钮,检测连通性。检测完成后,单击<下一步>按钮,进入增加LDAP同步策略页面。将“电话”项修改为上述记录的电话属性值,并选择密码同步方式及服务名,如图20、图21所示。
(5) 配置完成后,单击<完成>按钮,完成配置。
LDAP同步的主要功能是将LDAP服务器上的帐号同步到iMC上。自动同步可以等待每天凌晨(iMC服务器时间)自动同步任务执行,也可以点击LDAP同步策略列表中“同步”链接触发手工同步,手工同步的结果可通过点击“查看同步结果”链接查看。
同步策略配置完成后,在同步策略配置页面列表中可以查看增加的同步策略,如图22所示。
(1) 单击列表中“同步”列的“同步”链接,同步LDAP用户,如图23所示。
(2) 同步完成后,选择“用户”页签,单击左侧导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面。可在该页面中查看同步的LDAP用户,如图24所示。
图24 同步LDAP用户结果
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > 服务器配置”菜单项,进入服务器配置页面,如图25所示。
(2) 在服务类型列表中,单击<增加>按钮,弹出增加服务类型窗口,如图26所示。
输入服务类型标识和服务类型。
· 服务类型标识必须与之前增加服务的服务后缀相同。
· 服务类型是对服务类型标识的说明和区分。
(3) 单击<确定>按钮,完成增加服务类型。返回服务器配置页面。可在服务类型列表中查看新增的服务类型,如图27所示。
(4) 单击<确定>按钮,完成Portal服务器配置。
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > IP地址组配置”菜单项,进入IP地址组配置页面,如图28所示。
图28 IP地址组配置
(2) 单击<增加>按钮,进入增加IP地址组页面,如图29所示。
图29 增加IP地址组
(3) 输入IP地址组名“portal_Jinice”,起始地址172.18.76.2和终止地址172.18.76.254。IP地址属于该地址段的终端才能进行认证。
(4) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如图30所示。
图30 查看新增的IP地址组
(1) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > 设备配置”菜单项,进入设备配置页面,如图31所示。
(2) 单击<增加>按钮,进入增加设备信息页面,如图32所示。
配置如下信息:
· 设备名:输入设备名称“Jinice-Switch”。
· IP地址:输入Portal设备的IP地址“172.18.76.1”。
· 密钥\确认密钥:输入“iMC123”。密钥要与设备上配置的Portal服务器密钥保持一致。
· 组网方式:在下拉框中选择“直连”。
· 其他参数:保持默认值。
(3) 单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息,如图33所示。
(4) 在设备信息列表中,单击操作列的端口组信息管理图标
,进入端口组信息配置页面,如图34所示。
(5) 单击<增加>按钮,进入增加端口组信息页面,如图35所示。
配置端口组信息:
· 端口组名:输入端口组的名称“port_portal”。
· 认证方式:在下拉框中选择“PAP认证”。
· IP地址组:选择之前配置的“portal_Jinice”。
· 其他参数:保持默认值。
(6) 单击<确定>按钮,完成增加端口组信息。返回端口组信息配置页面,可在端口组信息配置列表中查看新增的端口组信息,如图36所示。
本文档以配置“短信平台”为例进行介绍。使用短信平台功能需保证服务器与短信平台外网连通。
使用短信双因子认证前需配置短信业务,具体配置步骤如下:
(1) 选择“系统配置”页签,单击左侧导航树中的“系统配置 > 短信业务中心配置”菜单项,进入短信业务中心配置页面,如图37所示。
(2) 使能“短信平台”项,进入短信平台页面,如图38所示。
(3) 单击<确定>按钮,将短信业务切换至“短信平台”。
(4) 单击<注册序列号>按钮,进入注册序列号页面,如图39所示。
(5) 根据要求输入序列号等信息后,单击<确定>按钮,完成注册,如图40所示。注册完成后,可在测试号码输入框中输入手机号码,单击<测试>按钮,测试手机连通性。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与2.3.1 1. 增加接入设备的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication 192.168.7.220 1812
[Device-radius-allpermit]primary accounting 192.168.7.220 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]nas-ip 172.19.254.76
[Device-radius-allpermit]quit
(3) 配置domain域“portal”,引用配置好的“allpermit”策略。domain的名称必须与2.3.1 3. 增加接入服务中配置的服务后缀保持一致。
[Device]domain portal
New Domain added.
[Device-isp-portal]authentication portal radius-scheme allpermit
[Device-isp-portal]authorization portal radius-scheme allpermit
[Device-isp-portal]accounting portal radius-scheme allpermit
[Device-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA,key要与2.3.3 3. 设备配置的配置一致。
[Device]portal server myportal
New portal server added.
[Device-portal-server-myportal]ip 192.168.7.220 key simple iMC123
[Device-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://192.168.7.220:8080/portal,要与2.3.3 1. 服务器配置的“Portal主页”项中的配置一致,具体配置如图25所示。
[Device]portal web-server myportal
New portal web-server added.
[Device-portal-websvr-myportal]url http://192.168.7.220:8080/portal
[Device-portal-websvr-myportal]quit
(6) 将接口GigabitEthernet1/0/29划分至VLAN 21。
[Device]interface gigabitethernet 1/0/29
[Device-gigabitethernet1/0/29]port link-mode brige
[Device-gigabitethernet1/0/29]port access vlan 21
[Device-gigabitethernet1/0/29]quit
(7) 在接口GigabitEthernet1/0/29所属的VLAN 21虚接口上开启直接方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值,该BAS-IP需和2.3.3 3. 设备配置中的Portal设备IP地址保持一致,用户可根据需求配置IP地址获取方式。
[Device]interface Vlan-interface 21
[Device-Vlan-interface21]ip address 172.18.76.1 255.255.255.0
[Device-Vlan-interface21]portal enable method direct
[Device-Vlan-interface21]portal apply web-server myportal
[Device-Vlan-interface21]portal bas-ip 172.18.76.1
[Device-Vlan-interface21]quit
(1) 选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图41所示。
(2) 单击列表中接入策略对应“修改”列的修改图标
,进入修改接入策略页面。展开“授权信息”区域,将“认证密码方式”项修改为“帐号密码+动态密码”方式,如图42所示。
由于动态密码只支持PAP、EAP-MD5、EAP-PEAP/EAP-MD5和EAP-PEAP/EAP-GTCS四种认证方式,所以选择“动态密码”或“帐号密码+动态密码”时,iNode的认证方式只能配置为以上四种方式,此处“帐号密码+动态密码”仅适用于iNode客户端认证。
(1) 打开iNode管理中心,定制iNode客户端,如图43所示。
(2) 勾选“Portal”组件,按需勾选DAM功能,单击<高级定制>按钮,进入高级定制页面。切换至“基本功能项”页签,勾选“启用短信验证码”项,在弹出的短信验证码对话框中,输入服务器IP地址及服务器端口,该地址为EIA Portal组件的IP地址,如图44所示。
(3) 单击<确定>按钮,完成定制。
iNode的具体安装及个性化定制请参见官方网站文档:https://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Management/H3C_iNode/H3C_iNode/Configure/Online_Help/iMC_iNode_OH/?CHID=564788
(1) 打开iNode客户端,选择Portal连接,单击右下角“更多”链接,在弹出的菜单中选择“属性”菜单项,弹出Portal认证页面,如图45所示。
图45 Portal认证页面
(2) 去勾选“运行后自动认证”项,勾选“使用短信验证码”项,配置完成后,单击<确定>按钮,完成配置。
(3) 单击“刷新”项,自动获取服务器地址,输入用户名及密码,按需选择服务类型,并获取验证码,如图46所示。
(4) 单击<连接>按钮,连接成功,如图47所示。
(5) 打开H3C智能管理中心,切换至“用户”页签,单击左侧导航树中的“接入用户管理 > 在线用户”菜单项,进入在线用户页面。在列表中可以看到用户上线成功,如图48所示。
(1) 选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如图49所示。
(2) 单击列表中接入策略对应“修改”列的修改图标
,进入修改接入策略页面。展开“授权信息”区域,将“认证密码方式”项修改为“帐号密码”方式,如图50所示。
使用web方式双因子认证时,接入策略中的“认证密码方式”不能选择“帐号密码+动态密码”或“动态密码”,否则会认证失败。
用户可根据实际情况修改或新增Portal Web认证页面,下述介绍修改和新增两种方式。
修改缺省Web认证页面
(1) 选择“用户”页签,单击左侧导航树中的“接入策略管理 > 终端页面定制 > Portal页面定制”菜单项,进入Portal页面定制页面,如图51所示。
图51 Portal页面定制
(2) 单击列表中“缺省Web认证(PC)”项对应的修改图标
,进入修改Portal定制页面中,如图52所示。
图52 修改Portal定制页面
(3) 将认证密码方式修改为“帐号密码+动态密码”,修改完成后,单击<确定>按钮,完成配置。
新增Portal定制页面
(1) 选择“用户”页签,单击左侧导航树中的“接入策略管理 > 终端页面定制 > Portal页面定制”菜单项,进入Portal页面定制页面,如图53所示。
图53 Portal页面定制
(2) 在PC区域,按需选择需新增的模板,本文档以增加空白模板为例进行介绍。单击空白模板后的“增加”链接,进入增加Portal定制页面,如图54所示。
图54 增加Portal定制页面
(3) 输入定制名称,认证类型选择“普通认证”,单击<确定>按钮,完成配置,如图55所示。
图55 完成增加Portal定制页面
(4) 单击列表中定制名称为“双因子认证”项对应“绘制”列的“绘制登录页面”图标
,弹出Portal PC定制页面,如图56所示。
图56 Portal PC定制页面
(5) 单击页面右侧工具栏中的<设置>按钮,进入设置页面,将认证密码方式修改为“帐号密码+动态密码”,如图57所示。
(6) 单击<确定>按钮,完成配置,单击右侧工具栏中的<保存>按钮,保存配置,配置完成后,单击<关闭>按钮,关闭页面,新增Portal定制页面完成。
(7) 选择“用户”页签,单击导航树中的“接入策略管理 > Portal服务管理 > 设备配置”菜单项,进入设备配置页面。在设备信息列表中,单击操作列的端口组信息管理图标
,进入端口组信息配置页面,如图58所示。
(8) 单击列表中“修改”列的修改图标
,进入修改端口组信息页面。将“缺省认证页面”修改为定制的页面,本文档为PC-双因子认证,如图59所示。
(9) 修改完成后,单击<确定>按钮,保存配置。
(1) 打开浏览器,首次认证时,在浏览器中访问任意网址,即可被重定向至Portal认证页面,如图60所示。
(2) 输入LDAP用户名获取短信验证码(用户必须配置有电话号码否则无法收到短信验证码),输入用户密码、动态密码及服务类型,单击<上线>按钮,显示连接成功,如图61所示。
(3) 打开H3C智能管理中心,切换至“用户”页签,单击左侧导航树中的“接入用户管理 > 在线用户”菜单项,进入在线用户页面。在列表中可以看到用户上线成功,如图62所示。
支持
售前咨询
售后咨询
人工在线咨询
