iMC EIA Portal认证+自研令牌多因素认证

典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

资料版本：5W131-20251211

产品版本：iMC EIA 7.3 (E0633)

 

目  录

1 介绍

1.1 使用场合

1.2 注意事项

2 配置举例

2.1 组网需求

2.2 配置步骤

2.2.1 EIA服务器配置

2.2.2 配置Portal服务

2.2.3 接入设备配置

2.2.4 生成动态口令

2.3 配置验证

2.3.1 使用iNode PC客户端完成Portal认证接入验证

 

1 介绍

自研令牌功能是一种基于新华三e盾APP与iMC平台配合实现的双因素认证方案。系统为每个绑定的接入账户随机生成动态口令，默认每30秒自动变换一次，且默认动态口令一次有效，大幅提升认证的安全性。相比传统的手机动态密码认证，自研令牌认证不仅安全性更高，能有效规避多种易被破解的漏洞，还不依赖手机号，从而保护使用者隐私，并且无需向第三方支付使用费用。

再结合 Portal认证时，用户在访问网络时会首先到Portal认证页面，通过输入用户名、密码以及自研令牌APP生成的动态口令进行身份验证。Portal认证作为统一的网络入口，能够灵活支持多种认证方式，结合自研令牌后实现了账户密码+动态口令的双因素认证，有效防止账号被盗用或非法接入。

使用自研令牌+Portal认证的模式，既保留了Portal认证用户体验直观、部署灵活的优势，又融合了自研令牌的高安全性和隐私保护能力，为用户提供更安全、更可靠的网络接入保障。

1.1  使用场合

自研令牌+Portal认证适用于所有需要对账号安全、隐私保护有较高要求的网络环境，能提升安全性和可管理性。

·     企业园区网络接入：员工通过Portal进行身份验证，结合自研令牌生成的动态口令，防止内部账户被盗用。

·     校园网络认证：学生或教职工在连接校园网时，通过Portal页面输入账户密码+动态令牌，防止账号共享、盗用。

·     远程办公与VPN接入：在VPN或远程Portal认证中加入自研令牌，确保跨公网访问的安全性。

1.2  注意事项

新华三e盾APP的时间需要和EIA服务器的时间保持一致。

 

2 配置举例

2.1  组网需求

某公司计划使用新华三e盾与iMC平台配合的双因素认证，并使用iNode客户端进行Portal认证方式控制员工接入公司网络的权限。

图2-1 组网图

 

·     PC为某公司内部使用的电脑终端。

·     EIA服务器IP地址为10.144.195.126

·     接入设备管理IP地址为192.168.30.100，计算机接入交换机的GE 1/0/5接口。

·     接入设备用户侧GE1/0/2所在VLAN的虚接口Vlan-interface 108的IP地址为192.168.40.2

注：本案例中各部分使用的版本如下：

·     EIA版本为iMC EIA 7.3 (E0633)

·     接入设备为H3C S5560X-34C-HI Comware Software, Version 7.1.070, ESS 6515P06

·     iNode版本为iNode PC 7.3 (E0585)

2.2  配置步骤

总体配置步骤如下：

·     接入设备

·     接入策略

·     接入服务

·     接入用户

·     启用动态令牌认证

·     服务器配置

·     IP地址组配置

·     设备配置

·     接入设备配置

·     生成动态口令

2.2.1  EIA服务器配置

1. 接入设备

增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下：

(1)     在“用户”菜单下，选择“接入策略管理>接入设备管理>接入设备配置”菜单项，进入接入设备配置页面，如图2-2所示。

图2-2 接入设备配置

 

(2)     单击<增加>按钮，进入增加接入设备页面，如图2-3所示。

图2-3 增加接入设备页面

 

(3)     接入设备配置参数说明：

¡     认证端口：EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。

¡     计费端口：EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。

 

¡     共享密钥/确认共享密钥：输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置]系统参数中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可，本例配置为“fine”。

¡     其他参数：保持默认。

(4)     配置接入设备：

配置接入设备有两种方法：

¡     在设备列表中单击<选择>按钮，弹出选择设备窗口，根据IP地址从系统中选择设备。单击<确定>按钮，增加设备成功，返回增加接入设备页面。

¡     在设备列表中单击<手工增加>按钮，弹出手工增加接入设备窗口，如图2-4所示。在起始IP地址处输入接入设备的IP地址。单击<确定>按钮，增加设备成功，返回增加接入设备页面。

图2-4 增加设备

 

无论采用哪种方式接入设备的IP地址都必须满足以下要求：

¡     如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡     如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

参数设置完成后的效果图如图2-5所示。

图2-5 接入设备参数配置

 

(5)     单击<确定>按钮，接入设备增加完毕。单击返回接入设备列表页面，可在接入设备列表中查看新增的接入设备，如图2-6所示。

图2-6 查看增加的接入设备

 

2. 接入策略

增加接入策略的方法如下：

(1)     在“用户”菜单下，选择“接入策略管理>接入策略管理”菜单项，进入接入策略管理页面，如图2-7所示。

图2-7 接入策略管理页面

 

(2)     单击<增加>按钮，进入增加接入策略页面。输入接入策略名称，本例中策略名配置为“自研令牌接入策略”，认证密码方式选择“动态密码”或“帐号密码+动态密码”，本例为“帐号密码+动态密码”。其他参数保持缺省值即可，如图2-8所示。

 

图2-8 增加接入策略

 

(3)     单击<确定>按钮，接入策略增加完毕。返回接入策略管理页面，可在接入策略列表中查看新增的接入策略，如图2-9所示。

图2-9 查看增加的接入策略

 

3. 接入服务

接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制，因此只需增加一个简单的接入服务即可。增加接入服务的方法如下：

(1)     在“用户”菜单下，选择“接入策略管理>接入服务管理”菜单项，进入接入服务管理页面，如图2-10所示。

图2-10 接入服务管理页面

 

(2)     单击<增加>按钮，进入增加接入服务页面，如图2-11所示。

图2-11 增加接入服务页面

 

配置服务的各个参数：

¡     服务名：输入服务名称，在EIA中必须唯一。本例中服务名为“自研令牌接入服务”。

¡     服务后缀：如何设置服务后缀与接入设备中的配置密切相关，具体请参见表2-1。本例中，设备RADIUS相关命令配置为不携带domain，因此不需要配置服务后缀。

¡     缺省接入策略：选择之前配置的接入策略“自研令牌接入策略”。

¡     其他参数：保持缺省值。

表2-1 服务后缀与接入设备配置的搭配关系

用户名	设备用于认证的Domain	设备RADIUS配置的相关命令	EIA中的服务后缀
计算机全名	[Default Domain] （设备上指定的缺省域）	user-name-format with-domain	[Default Domain]
		user-name-format without-domain	无后缀

 

 

(3)     单击<确定>按钮，接入服务增加完毕。返回接入服务管理页面，可在接入服务列表中查看新增的接入服务，如图2-12所示。

图2-12 查看新增的接入服务

 

4. 接入用户

接入用户是用户接入网络时使用的身份证，包含帐号名、密码和使用的服务等信息。

增加接入用户的方法如下：

(1)     选择“用户”页签，单击导航树中的“接入用户管理>接入用户”菜单项，进入接入用户页面，如图2-13所示。

图2-13 接入用户页面

 

(2)     单击<增加>按钮，进入增加接入用户页面，如图2-14所示。

图2-14 增加接入用户页面

 

配置接入信息和接入服务：

¡     用户姓名：

-     选择基本用户方式：单击“选择基本用户”图标，弹出选择基本用户窗口，输入基本用户姓名后单击<查询>按钮，可以查询出已存在的基本用户，勾选基本用户后单击<确定>按钮。若需为EIA中已存在的基本用户添加接入用户可选择此配置方式，一个基本用户下可存在多个接入用户，基本用户通过用户姓名和证件号码构成唯一标识。

-     直接配置方式：直接进行用户姓名填写。本例选择直接配置方式。

¡     帐号名：输入用于认证的帐号名，在EIA中必须唯一。

¡     密码/确认密码：输入两次相同的密码。

¡     接入服务：选择之前增加的接入服务。

¡     其他参数：保持缺省值。

参数设置完成后的效果图如图2-15所示。

图2-15 接入用户

 

(3)     单击<确定>按钮，接入用户增加完毕。返回接入用户页面，可在接入用户列表中查看新增的接入用户，如图2-16所示。

图2-16 查看新增的接入用户

 

5. 启用动态令牌认证

(1)     选择“用户”页签，单击导航树中的“接入策略管理>业务参数配置>系统配置”菜单项，进入系统配置页面，如图2-17所示。

图2-17 系统配置

 

(2)     单击“系统参数配置”配置列的<配置>按钮，进入系统参数配置页面，将“启用动态令牌认证”配置为“启用”，如图2-18所示。

图2-18 启用动态令牌认证

 

2.2.2  配置Portal服务

1. 服务器配置

(1)     选择“用户”页签，单击导航树中的“接入策略管理>Portal服务管理>服务器配置”菜单项，进入服务器配置页面，如图2-19所示。

图2-19 服务器配置

 

 

(2)     在服务类型列表中，单击<增加>按钮，弹出增加服务类型窗口，如图2-20所示。

图2-20 增加服务类型

 

(3)     输入服务类型标识和服务类型。

¡     服务类型标识必须与之前增加服务的服务后缀相同。

¡     服务类型是对服务类型标识的说明和区分。

(4)     单击<确定>按钮，完成增加服务类型。返回服务器配置页面。可在服务类型列表中查看新增的服务类型，如图2-21所示。

图2-21 查看新增的服务类型

 

(5)     单击<确定>按钮，完成Portal服务器配置。

2. IP地址组配置

(1)     选择“用户”页签，单击导航树中的“接入策略管理>Portal服务管理>IP地址组配置”菜单项，进入IP地址组配置页面，如图2-22所示。

图2-22 IP地址组配置

 

(2)     单击<增加>按钮，进入增加IP地址组页面，如图2-23所示。

图2-23 增加IP地址组

 

(3)     输入IP地址组名“portal_address”，起始地址192.168.40.2和终止地址192.168.40.254。IP地址属于该地址段的终端都要进行认证。

图2-24 增加IP地址组

 

(4)     单击<确定>按钮，完成增加IP地址组，返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组，如图2-25所示。

图2-25 查看新增的IP地址组

 

3. 设备配置

(1)     选择“用户”页签，单击导航树中的“接入策略管理>Portal服务管理>设备配置”菜单项，进入设备配置页面，如图2-26所示。

图2-26 设备配置

 

(2)     单击<增加>按钮，进入增加设备信息页面，如图2-27所示。

图2-27 增加设备信息

 

(3)     配置如下信息：

¡     设备名：输入设备名称“device_portal”。

¡     IP地址：输入设备的IP地址“192.168.40.2”。

¡     密钥\确认密钥：输入“expert”。密钥要与设备上配置的Portal服务器密钥保持一致。

¡     组网方式：在下拉框中选择“直连”。

¡     其他参数：保持缺省值。

 

(4)     单击<确定>按钮，完成增加设备信息。返回设备配置页面，可在列表中查看新增的设备信息，如图2-28所示。

图2-28 查看新增的设备信息

 

(5)     在设备信息列表中，单击操作列的端口组信息管理图标，进入端口组信息配置页面，如图2-29所示。

图2-29 端口组信息配置

 

(6)     单击<增加>按钮，进入增加端口组信息页面，如图2-30所示。

图2-30 增加端口组信息

 

(7)     配置端口组信息：

¡     端口组名：输入端口组的名称“port_portal”。

¡     认证方式：在下拉框中选择“CHAP认证”。

¡     IP地址组：选择之前配置的“portal_address”。

¡     其他参数：保持缺省值。

 

(8)     单击<确定>按钮，完成增加端口组信息。返回端口组信息配置页面，可在端口组信息配置列表中查看新增的端口组信息，如图2-31所示。

图2-31 查看新增的端口组信息

 

2.2.3  接入设备配置

接入设备用于控制用户的接入。通过认证的用户可以接入网络，未通过认证的用户无法接入网络。以下使用Windows的CLI窗口telnet到接入设备并进行配置，具体的命令及其说明如下：

(1)     进入系统视图。

<sw>system-view

System View: return to User View with Ctrl+Z

(2)     配置RADIUS方案allpermit。

[sw]radius scheme allpermit

New RADIUS scheme.

配置RADIUS认证服务器IP，端口(端口默认为1812，与接入设备EIA配置的认证端口保持一致)。

[sw-radius-allpermit]primary authentication 10.144.195.126 1812

配置RADIUS计费服务器IP，端口(端口默认为1813，与接入设备EIA配置的计费端口保持一致)。

[sw-radius-allpermit]primary accounting 10.144.195.126 1813

配置RADIUS认证和计费密钥，与接入设备EIA配置的共享密钥一致。

[sw-radius-allpermit]key authentication simple fine

[sw-radius-allpermit]key accounting simple fine

配置用户名格式，without-domain表示用户名后不携带域名。

[sw-radius-allpermit]user-name-format without-domain

[sw-radius-allpermit]quit

(3)     配置Domain allpermit。

[sw]domain allpermit

指定关联的RADIUS方案。

[sw-isp-allpermit]authentication default radius-scheme allpermit

[sw-isp-allpermit]authorization default radius-scheme allpermit

[sw-isp-allpermit]accounting default radius-scheme allpermit

[sw-isp-allpermit]quit

(4)     配置Portal认证服务器：名称为myportal，IP地址指向EIA，key要与设备配置的配置一致。

[sw]portal server myportal

[sw-portal-server-myportal]ip 10.144.195.126 key simple expert

[sw-portal-server-myportal]quit

(5)     配置Portal Web服务器的URL为http://10.144.195.126:8080/portal，要与服务器配置上的配置一致。

[sw]portal web-server myportal

[sw-portal-websvr-myportal]url http://10.144.195.126:8080/portal

[sw-portal-websvr-myportal]quit

(6)     将接口GigabitEthernet 1/0/2划分至VLAN。

[sw]interface GigabitEthernet 1/0/2

[sw-GigabitEthernet1/0/2]port access vlan 108

[sw-GigabitEthernet1/0/2]port link-mode bridge

(7)     在接口GigabitEthernet1/0/2所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal，引用Portal Web服务器myportal，设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值。

[sw]interface Vlan-interface 108

[sw-Vlan-interface108]portal enable method direct

[sw-Vlan-interface108]portal apply web-server myportal

[sw-Vlan-interface108]portal bas-ip 192.168.40.2

[sw-Vlan-interface108]portal domain allpermit

[sw-Vlan-interface108]quit

 

2.2.4  生成动态口令

1. 在线注册方式生成动态口令

 

(1)     手机上安装新华三e盾，打开界面。

图2-32 新华三e盾

 

(2)     单击左上角的<设置>按钮，选择服务器地址，输入EIA服务器地址。

图2-33 服务器地址

 

(3)     设置完成后，返回主页面。

(4)     单击<在线注册>按钮，进入注册页面，选择“接入用户”选项。

图2-34 接入用户

 

(5)     输入接入用户的用户名和密码，单击<生成口令>按钮。

图2-35 生成口令

 

(6)     即可生成动态口令。

图2-36 动态口令

 

2. 扫描二维码方式生成动态口令

(1)     选择“用户”页签，单击导航树中的“接入用户管理>接入用户”菜单项，进入接入用户页面。

图2-37 接入用户

 

(2)     勾选接入用户，单击<更多>按钮，选择批量注册动态令牌。

图2-38 批量注册动态令牌

 

(3)     弹出“确定将所选用户注册动态动态令牌吗？”弹窗，单击<确定>按钮，弹出二维码页面。

图2-39 二维码

 

(4)     在新华三e盾主页面，单击<扫描注册>按钮，扫描二维码。

图2-40 扫描二维码

 

(5)     扫描成功后即可生成动态口令。

图2-41 动态口令

 

3. 免认证方式生成口令

(1)     进入新华三e盾，打开界面。

图2-42 新华三e盾

 

(2)     单击左上角的<设置>按钮，开启免注册，使用免注册功能，不需要配置服务器地址。

图2-43 开启免注册

 

(3)     设置完成后，返回主页面。

图2-44 主页面

 

(4)     单击<免注册>按钮，进入免注册页面。

图2-45 接入用户

 

(5)     输入帐号名和密码，和接入用户配置的帐号名和密码保持一致，单击<生成口令>按钮，即可生成动态口令，如果修改了接入用户的密码，需要给该用户使用新密码重新生成新的免注册动态口令。

图2-46 动态口令

 

2.3  配置验证

2.3.1  使用iNode PC客户端完成Portal认证接入验证

用户使用iNode PC客户端和配置的帐号名、密码进行Portal认证，最终用户通过认证，完成Portal接入。

验证步骤如下：

1. 安装iNode客户端

安装iNode客户端。

 

2. 进行Portal认证连接

(1)     在iNode PC客户端主页面，选择“Portal连接”，展开Portal连接区域，单击服务器文本框右侧的“刷新”图标，自动获取Portal服务器信息。

(2)     输入用户名和密码，密码为帐号密码+动态密码，单击<连接>按钮，开始认证。

图2-47 iNode客户端主界面

 

(3)     认证成功的界面中连接状态会显示“已连接”，验证了本案例的配置正确。

图2-48 连接成功

 

3. 在EIA中查看在线用户

用户上线成功后，在EIA配置页面中，选择“用户”页签，单击导航树中的“接入用户管理>在线用户”菜单项，默认进入本地在线用户页签页面，可查看在线用户。

图2-49 在线用户