接入管理
本帮助主要介绍以下内容:
特性简介
Portal认证是门户技术的关键组成部分,通过门户页面对用户进行身份验证,确保仅授权用户可访问网络资源。此认证方法不仅有效提升网络安全性,还为网络管理者提供用户流量统计数据,帮助分析和优化网络服务质量,并支持个性化业务的拓展。
图-1 接入认证示意图
Portal认证是一种灵活的访问控制技术,可以在接入层以及需要保护的关键数据入口处实施访问控制,具有如下优势:
可以不安装客户端软件,直接使用Web页面认证,使用方便。
可以为运营商提供方便的管理功能和业务拓展功能,例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。
支持多种组网型态,例如二次地址分配认证方式可以实现灵活的地址分配策略且能节省公网IP地址,可跨三层认证方式可以跨网段对用户作认证。
Portal系统中包括五个实体:
认证客户端:用户终端的客户端系统,为运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机。
接入设备:交换机、路由器等宽带接入设备的统称。
Portal认证服务器:接收Portal客户端认证请求的服务器端系统,与接入设备交互认证客户端的认证信息。
Portal Web服务器:负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。Portal Web服务器通常与Portal认证服务器是一体的,也可以是独立的服务器端系统。
AAA服务器:与接入设备进行交互,完成对用户的认证、授权和计费。
Portal的三种认证方式:
直接认证方式:
用户在认证前通过手工配置或DHCP直接获取一个IP地址,只能访问Portal Web服务器,以及设定的免认证地址;认证通过后即可访问网络资源。
二次地址分配认证方式:
用户在认证前通过DHCP获取一个私网IP地址,只能访问Portal Web服务器,以及设定的免认证地址;认证通过后,用户会申请到一个公网IP地址,即可访问网络资源。该认证方式解决了IP地址规划和分配问题,对未认证通过的用户不分配公网IP地址。
可跨三层认证方式:
和直接认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。
Portal认证服务器
服务器可达性探测
在Portal认证的过程中,如果接入设备与Portal认证服务器的通信中断,则会导致新用户无法上线,已经在线的Portal用户无法正常下线的问题。为解决这些问题,需要接入设备能够及时探测到Portal认证服务器可达状态的变化,并能触发执行相应的操作来应对这种变化带来的影响。
开启Portal认证服务器的可达性探测功能后,无论是否有接口上开启了Portal认证功能,设备会定期检测Portal认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测时长内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达。
当接入设备检测到Portal认证服务器可达或不可达状态改变时,可执行以下一种或多种操作:
发送Trap信息:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态。
发送日志:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态。
用户信息同步
为了解决接入设备与Portal认证服务器通信中断后,两者的Portal用户信息不一致问题,设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制,具体实现如下:
由Portal认证服务器周期性地(周期为Portal认证服务器上指定的用户心跳间隔值)将在线用户信息通过用户同步报文发送给接入设备。
接入设备在用户上线之后,即开启用户同步检测定时器,在收到用户同步报文后,将其中携带的用户列表信息与自己的用户列表信息进行对比,如果发现同步报文中有设备上不存在的用户信息,则将这些自己没有的用户信息反馈给Portal认证服务器,Portal认证服务器将删除这些用户信息;如果发现接入设备上的某用户信息在一个用户同步报文的检测超时时间内,都未在该Portal认证服务器发送过来的用户同步报文中出现过,则认为Portal认证服务器上已不存在该用户,设备将强制该用户下线。
Portal Web服务器
URL携带的参数
该功能用于配置用户访问Portal Web服务器时,要求携带的一些参数,比较常用的是要求携带用户IP地址、用户MAC地址、初始访问的URL。在自定义URL参数中用户也可以手工指定,携带一些特定的字符信息。配置完成后,在设备给用户强制重定向URL时会携带这些参数,例如配置Portal Web服务器的URL为:http://www.test.com/portal,若同时选择如下两个参数信息:用户的IP地址和初始访问的URL,且初始访问的URL为http://www.abc.com/welcome则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为:http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。
服务器可达性探测
在Portal认证的过程中,如果接入设备与Portal Web服务器的通信中断,将无法完成整个认证过程,因此必须对Portal Web服务器的可达性进行探测。
由于Portal Web服务器用于对用户提供Web服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测。无论是否有接口上开启了Portal认证功能,开启了Portal Web服务器的可达性探测功能之后,接入设备模拟用户进行Web访问的过程来实施探测:接入设备主动向Portal Web服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败。
探测参数
探测间隔:进行探测尝试的时间间隔。
探测次数:允许连续探测失败的最大次数。若连续探测失败数目达到此值,则认为服务器不可达。
可达状态改变时触发执行的操作(可以选择其中一种或同时使用多种)
发送Trap信息:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态。
发送日志:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态。
本地Portal Web服务器
系统组成
本地Portal Web服务器功能是指,Portal认证系统中不采用外部独立的Portal Web服务器和Portal认证服务器,而由接入设备实现Portal Web服务器和Portal认证服务器的功能。这种情况下,Portal认证系统仅包括三个基本要素:认证客户端、接入设备和AAA服务器。
认证客户端和本地Portal Web服务器之间的交互协议
认证客户端和内嵌本地Portal Web 服务器的接入设备之间可以采用HTTP和HTTPS协议通信。若客户端和接入设备之间交互HTTP协议,则报文以明文形式传输,安全性无法保证;若客户端和接入设备之间交互HTTPS协议,则报文基于SSL提供的安全机制以密文的形式传输,数据的安全性有保障。
本地Portal Web服务器支持用户自定义认证页面
本地Portal Web服务器支持由用户自定义认证页面的内容,即允许用户编辑一套或多套认证页面的HTML文件,并将其压缩之后使用添加按钮将其上传到设备中。
需要将设备中的一套自定义的认证页面文件设置为系统缺省的认证页面文件。从而本地Portal Web服务器可以根据不同的认证阶段向客户端推出对应的认证页面。如果没有设置缺省认证页面文件,则本地Portal Web服务器功能无法实现。
自定义认证页面文件
用户自定义的认证页面为HTML文件的形式,并将其压缩之后使用添加按钮将其上传到设备中。每套认证页面可包括六个主索引页面(登录页面、登录成功页面、登录失败页面、在线页面、系统忙碌页面、下线成功页面)及其页面元素(认证页面需要应用的各种元素,如Logon.htm页面中的背景图片),每个主索引页面可以引用若干页面元素。
用户在自定义这些页面时需要遵循一定的规范,否则会影响本地Portal Web服务器功能的正常使用和系统运行的稳定性。
文件名规范
主索引页面文件名不能自定义,必须使用下表中所列的固定文件名。
主索引页面 | 文件名 |
登录页面 | logon.htm |
登录成功页面 | logonSuccess.htm |
登录失败页面 | logonFail.htm |
在线页面 用于提示用户已经在线 | online.htm |
系统忙页面 用于提示系统忙或者该用户正在登录过程中 | busy.htm |
下线成功页面 | logoffSuccess.htm |
主索引页面文件之外的其他文件名可由用户自定义,但需注意文件名和文件目录名中不能含有中文且不区分大小写。
页面请求规范
本地Portal Web服务器只能接受Get请求和Post请求。
Get请求用于获取认证页面中的静态文件,其内容不能为递归内容。例如,Logon.htm文件中包含了Get ca.htm文件的内容,但ca.htm文件中又包含了对Logon.htm的引用,这种递归引用是不允许的。
Post请求用于用户提交用户名和密码以及用户执行登录、下线操作。
Post请求中的属性规范
认证页面中表单(Form)的编辑必须符合以下原则:
认证页面可以含有多个Form,但是必须有且只有一个Form的action=logon.cgi,否则无法将用户信息送到本地Portal服务器。
用户名属性固定为”PtUser”,密码属性固定为”PtPwd”。
需要有用于标记用户登录还是下线的属性”PtButton”,取值为"Logon"表示登录,取值为"Logoff"表示下线。
登录Post请求必须包含”PtUser”,”PtPwd”和"PtButton"三个属性。
下线Post请求必须包含”PtButton”这个属性。
需要包含登录Post请求的页面有logon.htm和logonFail.htm。
logon.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p>User name:<input type="text" name = "PtUser" style="width:160px;height:22px" maxlength=64>
<p>Password :<input type="password" name = "PtPwd" style="width:160px;height:22px" maxlength=32>
<p><input type=SUBMIT value="Logon" name = "PtButton" style="width:60px;" onclick="form.action=form.action+location.search;”>
</form>
需要包含下线Post请求的页面有logonSuccess.htm和online.htm。
online.htm页面脚本内容的部分示例:
<form action=logon.cgi method = post >
<p><input type=SUBMIT value="Logoff" name="PtButton" style="width:60px;">
</form>
页面文件压缩及保存规范
完成所有认证页面的编辑之后,必须按照标准Zip格式将其压缩到一个Zip文件中,该Zip文件的文件名只能包含字母、数字和下划线。
压缩后的Zip文件中必须直接包含认证页面,不允许存在间接目录。
认证成功后认证页面自动跳转
若要支持认证成功后自定义认证页面的自动跳转功能,即认证页面会在用户认证成功后自动跳转到设备指定的网站页面,则需要按照如下要求在认证页面logon.htm和logonSuccess.htm的脚本文件中做如下改动。
将logon.htm文件中的Form的target值设置为“_blank”。
修改的脚本内容如下突出显示部分所示:
<form method=post action=logon.cgi target="_blank">
logonSucceess.htm文件添加页面加载的初始化函数“pt_init()”。
增加的脚本内容如下突出显示部分所示:
<html>
<head>
<title>LogonSuccessed</title>
<script type="text/javascript" language="javascript" src="pt_private.js"></script>
</head>
<body onload="pt_init();" onbeforeunload="return pt_unload();">
... ...
</body>
</html>
免认证规则
通过配置免认证规则可以让特定的用户不需要通过Portal认证即可访问外网特定资源,这是由免认证规则中配置的源信息以及目的信息决定的。
免认证规则的匹配项包括IP地址、TCP/UDP端口号、源MAC地址、源接口和源VLAN ID,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户可以直接访问网络资源。
接口策略
用户逃生功能
当接入设备探测到Portal认证服务器不可达时,可打开接口的网络限制,允许Portal用户不需经过认证即可访问网络资源,也就是通常所说的Portal逃生功能。
BAS-IP地址功能
配置此功能后,设备向Portal认证服务器上传通知类Portal协议报文时使用的源IP地址为设置的BAS-IP地址。
如果没有配置此功能,则设备向Portal认证服务器上传Portal协议报文时使用的源IP地址的选择分为一下两种情况:
对于响应类报文IPv4 Portal报文中的BAS-IP属性为报文的源IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为报文源IPv6地址。
对于通知类报文IPv4 Portal报文中的BAS-IP属性为出接口的IPv4地址,IPv6 Portal报文中的BAS-IPv6属性为出接口的IPv6地址。
用户探测功能
IPv4探测类型为ARP方式探测或ICMP方式探测,IPv6探测类型为ND方式探测或ICMPv6方式探测。
ARP和ND方式的探测只适用于直接方式和二次地址分配方式的Portal认证。ICMP和ICMPv6方式的探测适用于所有认证方式。
根据探测类型的不同,设备有以下两种探测机制:
当探测类型为ICMP/ICMPv6时,若设备发现在设定的闲置时间内接口上未收到某Portal用户的报文,则会向该用户以设置的探测间隔来周期性的发送探测报文。如果在指定探测次数之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线。
当探测类型为ARP/ND时,若设备发现在设定的闲置时间内接口上未收到某Portal用户的报文,则会向该用户发送ARP/ND请求报文。设备以设置的探测间隔定期检测用户ARP/ND表项是否被刷新过,如果在指定探测次数内用户ARP/ND表项被刷新过,则认为用户在线,且停止检测用户ARP/ND表项,重复这个过程,否则,强制其下线。
在线用户信息
在线用户信息列表可显示当前所有或某个接口上通过Portal认证的在线用户信息,通过查看该列表可获取当前在线用户的用户名、用户地址、MAC地址、Portal认证服务器名称和详细内容。
vSystem相关说明
非缺省VSystem对于本特性的支持情况,请以页面的实际显示为准。
使用限制和注意事项
关于Portal认证服务器探测性功能的注意事项
关于用户信息同步功能的注意事项
只有在支持Portal用户心跳功能(目前仅iMC的Portal认证服务器支持)的Portal认证服务器的配合下,本功能才有效。为了实现该功能,还需要在Portal认证服务器上选择支持用户心跳功能,且服务器上配置的用户心跳间隔要小于等于设备上配置的检测超时时间。
关于本地Portal Web服务器的注意事项
内嵌本地Portal Web服务器的接入设备实现了简单的Portal Web服务器功能,仅能给用户提供通过Web方式登录、下线的基本功能,并不能完全替代独立的Portal服务器。
相同协议类型的本地Portal Web服务器仅能创建一个。
若HTTPS协议类型的本地Portal Web服务器指定了SSL服务器端策略,则该服务器的TCP端口号不可配置为443。
关于免认证规则的注意事项
如果免认证规则中同时配置了接口和VLAN,则要求接口属于指定的VLAN,否则该规则无效。
相同内容的免认证规则不能重复配置,否则提示免认证规则已存在或重复。
无论接口上是否使能Portal认证,只能添加或者删除免认证规则,不能修改。
关于BAS-IP地址功能的注意事项
设备上运行Portal协议2.0版本时,主动发送给Portal认证服务器的报文(例如强制用户下线报文)中必须携带BAS-IP属性。设备上运行Portal协议3.0版本时,主动发送给Portal认证服务器必须携带BAS-IP或者BAS-IPv6属性。
接口上使能了二次地址分配认证方式的Portal认证时,如果Portal认证服务器上指定的设备IP不是Portal报文出接口IP地址,则必须通过配置相应的BAS-IP地址,使其值与Portal认证服务器上指定的设备IP一致,否则Portal用户无法认证成功。
使用iMC的Portal认证服务器的情况下,如果Portal服务器上指定的设备IP不是设备上Portal报文出接口的IP地址,则使能了Portal认证的接口上必须配置BAS-IP地址。
配置指南
配置思路
Portal功能的配置思路如下图所示:
图-2 Portal配置指导图
配置准备
在配置本特性之前,需要完成以下任务:
Portal提供了一个用户身份认证和安全认证的实现方案,但是仅仅依靠Portal不足以实现该方案。接入设备的管理者需选择使用RADIUS认证方法,以配合Portal完成用户的身份认证。Portal认证的配置前提:
若采用二次地址分配认证方式,接入设备需启动DHCP中继功能,另外需要安装并配置好DHCP服务器。
用户、接入设备和各服务器之间路由可达。
如果通过远端RADIUS服务器进行认证,则需要在RADIUS服务器上配置相应的用户名和密码,然后在接入设备端进行RADIUS客户端的相关设置。
如果需要支持Portal的安全扩展功能,需要安装并配置iMC EAD安全策略组件。同时保证在接入设备上的ACL配置和安全策略服务器上配置的隔离ACL的编号、安全ACL的编号对应。
通过远程Portal服务进行认证
配置Portal认证服务器
开启了Portal认证功能后,设备收到Portal报文时,首先根据报文的源IP地址和VPN实例信息查找配置的Portal认证服务器,若查找到相应的Portal认证服务器配置,则认为报文合法,并向该Portal认证服务器回应认证响应报文;否则,认为报文非法,将其丢弃。
单击“对象 > 用户与认证 > 接入管理 > Portal”。
在Portal认证服务器页面,点击<新建>按钮。
图-3 新建Portal认证服务器
在“创建Portal认证服务器”页面的具体配置内容如下表所示:
表-2 Portal认证服务器配置
参数
说明
服务器名称
Portal认证服务器名称
IP地址
指定Portal认证服务器的IPv4或IPv6地址
VRF
Portal认证服务器所属的VPN实例
可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看
共享密钥
与Portal认证服务器通信需要的共享密钥。设备与Portal认证服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字,该验证字用于接受方校验收到的Portal报文的正确性
服务器监听端口号
指设备主动向Portal认证服务器发送Portal报文时使用的UDP端口号,此端口号必须与远程Portal认证服务器实际使用的监听端口号保持一致
服务器可达性探测
开启此功能后,设备会定期检测Portal认证服务器发送的报文(例如,用户上线报文、用户下线报文、心跳报文)来判断服务器的可达状态:若设备在指定的探测超时时间(timeout timeout)内收到Portal报文,且验证其正确,则认为此次探测成功且服务器可达,否则认为此次探测失败,服务器不可达
探测时长
探测超时时间
动作
Log:Portal认证服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal认证服务器名以及该服务器状态改变前后的状态
Trap:Portal认证服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal认证服务器名以及该服务器的当前状态
用户信息同步
为了解决接入设备与Portal认证服务器通信中断后,两者的Portal用户信息不一致
同步时长
检测用户同步报文的时间间隔
单击<确定>,新建的Portal认证服务器会在“Portal认证服务器”页面显示。
配置Portal Web服务器
Portal Web服务器负责向客户端提供Web认证页面,并将客户端的认证信息(用户名、密码等)提交给Portal认证服务器。
单击“对象 > 用户与认证 > 接入管理 > Portal”。
在Portal Web服务器页面,点击<新建>按钮。
图-4 新建Portal Web服务器
在“创建Portal Web服务器”页面的具体配置内容如下表所示:
表-3 Portal Web服务器配置
参数
说明
服务器名称
Portal Web服务器名称
URL
探测Portal web服务器的URL
VRF
Portal Web服务器所属的VPN实例
可选择已创建的VRF,也可以新创建VRF。此处新建的VRF,可在“网络 > VRF”页面查看
服务器可达性探测
由于Portal Web服务器用于对用户提供Web服务,不需要和设备交互报文,因此无法通过发送某种协议报文的方式来进行可达性检测。开启了Portal Web服务器的可达性探测功能之后,接入设备采用模拟用户进行Web访问的过程来实施探测:接入设备主动向Portal Web服务器发起TCP连接,如果连接可以建立,则认为此次探测成功且服务器可达,否则认为此次探测失败
探测间隔
进行探测尝试的时间间隔
探测次数
连续探测失败的最大次数
动作
log:Portal Web服务器可达或者不可达的状态改变时,发送日志信息。日志信息中记录了Portal Web服务器名以及该服务器状态改变前后的状态
trap:Portal Web服务器可达或者不可达的状态改变时,向网管服务器发送Trap信息。Trap信息中记录了Portal Web服务器名以及该服务器的当前状态
在URL携带的参数页面,点击<新建>按钮。
图-5 新建URL参数
进入“创建URL参数”页面。
表-4 URL参数配置
参数
说明
URL参数名
设备重定向给用户的Portal Web服务器的URL参数名
参数类型
用户IP地址
用户MAC地址
用户初始访问的Web页面的URL
用户自定义的URL参数
单击<确定>,新建的Portal Web服务器会在“Portal Web服务器”页面显示。
(可选)配置免认证规则
免认证规则的匹配项包括主机名、IP地址、TCP/UDP端口号、MAC地址、所连接设备的接口和VLAN等,只有符合免认证规则的用户报文才不会触发Portal认证,因此这些报文所属的用户不需要通过Portal认证即可访问网络资源。
单击“对象 > 用户与认证 > 接入管理 > Portal”。
在免认证规则页面,点击<新建>按钮。
图-6 新建免认证规则
在“创建免认证规则”页面的具体配置内容如下表所示:
表-5 免认证规则配置
参数
说明
规则编号
Portal过滤规则编号
基于IP配置
配置基于IP地址的Portal免认证规则,可以同时指定源和目的参数,或者仅指定其中一个参数,后者表示另外一个地址不受限制
基于源配置
配置基于源的Portal免认证规则,可以是源MAC地址、源接口或者源VLAN
单击<确定>,新建的免认证规则会在“免认证规则”页面显示。
配置接口策略
通过接口策略可在设备的接口上开启Portal认证功能,并引用Portal Web服务器,此时Portal认证功能才会生效。除此之外,接口策略还支持配置一些可选功能,如用户逃生、用户探测等。
单击“对象 > 用户与认证 > 接入管理 > Portal”。
在接口策略页面,点击<新建>按钮。
图-7 新建接口策略
在“创建接口策略”页面的具体配置内容如下表所示:
表-6 接口策略配置
参数
说明
接口
设备接口
按IPv4设置/按IPv6设置
可根据接口的IPv4或者IPv6地址来配置接口策略
Portal认证功能
接口上开启Portal认证功能
认证方式
直接认证方式
二次地址分配认证方式
可跨三层认证方式
引用Portal Web服务器
选择要在接口上配置的Portal Web服务器
认证域
指定Portal用户使用的认证域,使得所有从该接口上接入的Portal用户强制使用该认证域
最大用户数
接口上配置的最大用户数
用户逃生
开启Portal认证服务器/Portal Web服务器不可达时的Portal用户逃生功能,设备探测到Portal认证服务器不可达时取消接口上的Portal认证功能,允许用户不经过Portal认证即可自由访问网络
BAS-IP地址
发送给Portal认证服务器的Portal报文的BAS-IP地址
认证前的地址池
配置Portal认证前用户使用的地址池,在Portal用户通过设备的三层子接口接入网络的组网环境中,当三层子接口上未配置IP地址,且用户需要通过DHCP获取地址时,就必须指定一个地址池,并在用户进行Portal认证之前为其分配一个IP地址使其可以进行Portal认证
用户探测功能
当探测类型为ICMP/ICMPv6时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户定期(interval interval)发送探测报文。如果在指定探测次数(retry retries)之内,设备收到了该用户的响应报文,则认为用户在线,且停止发送探测报文,重复这个过程,否则,强制其下线
当探测类型为ARP/ND时,若设备发现一定时间(idle time)内接口上未收到某Portal用户的报文,则会向该用户发送ARP/ND请求报文。设备定期(interval interval)检测用户ARP表项是否被刷新过,如果在指定探测次数(retry retries)内用户ARP表项被刷新过,则认为用户在线,且停止检测用户ARP/ND表项,重复这个过程,否则,强制其下线/ND
探测次数
用户探测次数
探测间隔
用户探测时间间隔
闲置时间
在设定的闲置时间后发起探测
单击<确定>,新建的接口策略会在“接口策略”页面显示。
通过本地Portal服务进行认证
配置本地Portal Web服务器
设备可以同时提供Portal Web服务器和Portal认证服务器功能,对接入的Portal用户进行本地Portal认证。此种方式Portal系统仅支持通过Web登录、下线的基本认证功能,不支持使用Portal客户端方式的Portal认证,因此不支持Portal扩展功能。
单击“对象 > 用户与认证 > 接入管理 > Portal”。
在本地Portal Web服务器页面,点击<新建>按钮。
图-8 新建本地Portal Web服务器
在“创建本地Portal Web服务器”页面的具体配置内容如下表所示:
表-7 本地Portal Web服务器配置
参数
说明
协议类型
本地Portal Web服务支持的协议类型HTTP和HTTPS
SSL服务器端策略名
指定HTTPS服务关联的SSL服务器端策略,仅HTTPS协议支持
可选择已创建的服务器端策略,也可以新创建服务器端策略。此处新建的服务器端策略,可在“对象 > SSL > 服务器端策略”页面查看
缺省认证页面文件
配置本地Portal Web服务提供的缺省认证页面文件
TCP端口号
配置本地Portal Web服务的HTTP/HTTPS服务侦听的TCP端口号
认证页面修改密码
用来在Portal的Web认证页面上开启Portal本地用户密码修改功能
单击<确定>,新建的本地Portal Web服务器会在“本地Portal Web服务器”页面显示。
配置Portal Web服务器
配置Portal Web服务器,具体配置步骤请参见“配置Portal Web服务器”章节。
(可选)配置免认证规则
配置Portal Web服务器,具体配置步骤请参见“(可选)配置免认证规则”章节。
配置接口策略
配置接口策略,具体配置步骤请参见“配置接口策略”章节。