Portal服务器搭建.docx

前言 Portal认证主要针对用户上网流量（即所有穿过防火墙的流量）进行认证。其中ARP报文、ICMP 报文和DNS报文可以直接通过不需要进行认证。配置Portal认证，需要Portal服务器。 Portal的典型组网由三个基本要素组成：认证客户端、接入设备、Portal认证/计费服务器。 1）认证客户端 安装于用户终端的客户端系统，为运行HTTP /HTTPS协议的浏览器。 2）接入设备 交换机、路由器、防火墙等宽带接入设备的统称，主要有三方面的作用： l 在认证之前，将用户的所有HTTP请求都重定向到Portal服务器。 l 在认证过程中，与Portal认证/计费服务器交互，完成身份认证/安全认证/计费的功能。 l 在认证通过后，允许用户访问被管理员授权的互联网资源。 3）Portal认证/计费服务器 接收Portal客户端认证请求的服务器端系统，提供免费门户服务和基于Web认证的界面，与接入设备交互认证客户端的认证信息。 常用拓扑配置步骤1. 开启本地安全aaa服务。 Web页面配置系统系统安全2. 配置portal服务器参数。 Web页面配置用户认证远程认证Portal认证Portal服务器 配置完服务器相关参数，点击 按钮。Portal认证的端口默认使用8283端口进行通信，重定向的URL指的是Portal服务器提供的用户认证跳转到的认证页面地址，默认的访问端口为80端口。3. 若要添加用户认证的规则，点击 按钮进行添加。4. 添加用户角色定义添加用户角色在：web配置页面用户认证远程认证Portal认证用户角色配置。用户角色的定义，表示一个具有相同权限用户组的集合，通过用户角色的定义，能够区分不同的用户流量，把其加之在acl策略上就能灵活的控制，区分不同流量的权限。其中，“用户流量检测” 功能是对该用户的流量进行统计，根据配置的时间间隔，如图中则是每三秒钟，统计一次，如果开启了日志记录功能，则每三秒钟统计该用户的流量，并记录在日志中。 “用户保活检测”功能是通过检测用户流量信息，设置最低的保活流量，如果用户流量没有达到最低流量，设备会自动剔除该用户，以节省资源，保证安全。 5. 查看portal在线用户信息在web配置用户认证远程认证portal认证portal在线用户命令行配置命令行下，portal配置有以下一个命令: Portal enable 使能Portal认证 Portal http-port 设置Portal认证的端口，默认是80，一般不用配置。 Portal role rolename Portal 角色配置,会创建角色并进入角色配置模式 Portal rule Portal规则配置，如：portal rule rolename destination any source any Portal server Portal服务器设置，比如: portal server ip 5 port 8283 keep-alive interval 20 timeout 10 配置服务器IP，端口和保活时间 portal server redirect-url 5/auth 配置重定向的URL地址 一个完整的例子：Portal认证原理 防火墙支持Portal认证。下面介绍Portal认证的报文交互过程。 1. 用户访问web，比如，首先发起DNS请求，获取对应域名的ip地址，然后向该地址发起http请求 2. 请求通过防火墙时，防火墙检查其匹配设定的portal认证条件，拦截该请求，并重定向到设定好的认证地址（portal服务器地址）。 3. 用户在弹出的页面中输入用户名密码 4. Portal服务器获取用户输入的用户名密码，并传送到设定好的radius服务器上进行认证 5. Radius服务器返回认证结果给Portal服务器 6. Portal服务器发送消息给防火墙，通知防火墙认证后的用户名等信息，并且重定向web到用户之前访问的页面。此时Portal服务器和用户之间会建立保活连接，检测用户是否存在以及是否活动。7. 防火墙收到Portal发送的消息，放行用户的流量。防火墙和Portal服务器之间会存在保活连接（这个连接一直存在），交换用户信息并确定Portal服务器的状态。8. 用户可以正常上网了，直到用户退出。 9. 用户退出可以是用户自己的行为。Portal认证后会有一个页面，上面有个用户退出按钮，点击退出后即可退出。用户退出也可以是Portal服务器检测到用户不在之后，发送信息给防火墙，告诉防火墙用户已退出。用户退出还可以是防火墙检测用户流量，当低于某个预先设定的值时，防火墙强制将用户下线，并告知给Portal服务器。 10. 用户退出后，要再度访问网络，需要再次认证。 Portal 服务器搭建 为了测试Portal认证功能，必须搭建Portal服务器。开放提供Portal 服务端。试验时使用了Fedora15 32位版本搭建Portal服务器（不清楚其他系统的兼容情况）。 Fedora 15 安装完成之后，还需要安装以下rpm包，可以通过yum insall 来进行（需要连接Internet 网）。 试验时Radius和Portal是放到一起的，实际中可以分开。 rootlocalhost opzoon#yum install mysql rootlocalhost opzoon#yum install mysql-server rootlocalhost opzoon#yum install mysql-devel rootlocalhost opzoon#yum install freeradius rootlocalhost opzoon#yum install freeradius-mysql rootlocalhost opzoon#yum install php rootlocalhost opzoon#yum install phpMyAdmin rootlocalhost opzoon# yum install gcc 安装完成后，关闭防火墙，关闭selinux。 关闭防火墙的方式: Root用户下使用setup 关闭防火墙，关闭系统服务中iptables 和ipv6tables 两个服务关闭selinux的方式 Root用户下使用 vi /etc/selinux/config 编辑配置文件， 把SELINUX=enforcing改为SELINUX=disabled 然后保存 需要重启才能生效 然后复制Portal服务器的软件包到linux 下，例如放到/home/opzoon 下 然后启用相关服务。 rootlocalhost opzoon#service httpd start rootlocalhost opzoon#service mysqld start rootlocalhost opzoon#radiusd X添加radius 的用户 编辑radius配置文件中的user文件 rootlocalhost opzoon#vi /etc/raddb/users 在打开的文件顶端添加用户，使用如下格式 opzoon Cleartext-Password := “opzoon” 前一个opzoon为用户名，后面的opzoon是密码 保存退出替换http 网页内容为Portal服务器提供的网页(用Portal服务器软件包中www文件夹中的内容替换掉原本/var/www/html 下的内容) rootlocalhost opzoon#cp r /home/opzoon/portal_server/www/* /var/www/html/ 修改mysql数据库的密码（比如修改为123456，刚装完时没有密码） 打开浏览器，访问/phpmyadmin 点击database，新建数据库，比如新建一个UTM数据库. 然后命令行下导入Portal软件包中的mysql.sql文件 rootlocalhost opzoon# cd /home/opzoon/portal_server rootlocalhost portal_server# mysql -u root -p UTM mysql.sql 浏览器访问使用用户admin密码admin登录在Portal认证方式中选择Radius，在Radius参数配置中配置Radius服务器为，端口为1812 Key为testing123. 若是使用admin账户不能登录到管理界面中，可在/phpmyadmin页面中点击数据库MTU， 选择数据表manager，再点击structure，选中manager_name，点击Insert，进行如下设置：设置完成点击Go按键，就可以使用admin账户登录Portal服务器管理界面了。 然后在命令行进行如下操作即可： rootlocalhost opzoon# cd /home/opzoon/portal_server/product rootlocalhost product#make noti clean rootlocalhost product#make noti rootlocalhost product# cd /home/opzoon/portal_server/notifyd rootlocalhost notifyd#./notifyd完成以上操作，Portal服务器就可用了。当然，在配置这些之前需要先配置网络，此处不再说明。需要注意的是，命令行开启radius服务后，窗口不能关掉，后面需要命令行配置是请另外开启命令行窗口。Notifyd 也是这样。Portal 服务器认证的页面是/auth 在防火墙上配置时，请把改成portal服务器的ip 地址，Portal服务器的端口是8283.Portal认证中的一些问题与解决办法 目前，Portal认证中存在一些问题，这里给出一个临时的解决办法。 1. 认证成功，但是页面不能跳转，或者跳转之后不能访问，防火墙上看不到该用户。 解决办法：在Portal服务器上将在线用户踢除，并且重启notifyd进程 rootlocalhost opzoon#killall notifyd rootlocalhost opzoon#/home/opzoon/portal_server/notifyd/notifyd2. 用户不经过认证直接可以访问网络，没有跳转到portal服务器的过程。 解决办法：请检查配置： a） 本地服务中aaa是否开启 b） Portal enable 是否配置 c） Portal rule是否配置正确 3. 用户不能认证，也不能访问网络 请检查是否有以前认证成功的网页依然开启，没有关闭。 4. 退出时请点击退出认证，以免引起一些麻烦。 5. 配置了portal服务器和规则，没有启用aaa本地安全服务依然能够进行认证，有没有问题？ 是正常的现象，因为本地安全服务限制的是到设备本机的服务开启与否，当进行穿越的认证时，本地安全服务是起不到作用的。设备开启aaa本地安全服务，其主要的目的是进行到本地认证报文的处理，比如radius 服务的认证交互报文，在portal服务中只是限制了与portal服务器的保活报文，虽然不能从根本上禁止portal服务的作用，但是也在一定程度上影响portal认证过程。6. 当portal认证页面能够跳转但是认证的页面未显示，如何处理？ 首先要想认证，上网的用户一定要能够和port