协议介绍
ISSUE
日期:2009-04-27
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
随着网络的发展,我们关注的已经不仅仅是单个设备的功能,
而是一个全网解决方案。通过在网络核心部署AAA服务器,完成
终端用户的认证、授权和计费,实现网络的可管理、可运营,保证
网络和用户信息的安全。
引入
掌握认证方式的基本原理
掌握认证的典型配置
掌握LDAP认证的原理及配置
掌握常用的排错方法
课程目标
学习完本课程,您应该能够:
协议介绍
典型配置
LDAP认证典型配置
FAQ
目录
的起源
协议起源于协议,后者是标准的无线局域网协议,协议的主要目的是为了解决无线局域网用户的接入认证问题,但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应用。
该协议是IEEE在通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等。
的特点
PPPOE
WEB认证
是否需要安装客户端软件
是
XP不需要
是
否
业务报文效率
高
低,有封装开销
高
组播支持能力
好
低,对设备要求高
好
有线网上的安全性
扩展后可用
可用
可用
设备端的要求
低
高
较高
增值应用支持
简单
复杂
复杂
优势较为明显,是理想的低成本运营解决方案。
认证方式
认证概述
IEEE 称为基于端口的访问控制协议(Port based network access control protocol)。主要是为了解决局域网用户的接入认证问题。
IEEE 协议的体系结构包括三个重要的部分:
客户端(Supplicant System)
认证系统(Authenticator System)
认证服务器(Authentication Server System)。
体系架构
IEEE 定义了基于端口的网络接入控制协议(port based network access control),其中端口可以是物理端口,也可以是逻辑端口。
通过EAP帧承载认证信息进行认证。
设备和认证服务器之间通过RADIUS报文进行通信。
PAE(port access entity)认证机制中负责处理算法和协议的实体
受控端口
受控端口是系统的核心概念
Authenticator 内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。非受控端口始终处于双向连通状态,不必经过任何授权就可以访问或传递网络资源和服务。受控端口必须经过授权才能访问或传递网络资源和服务。
通常情况下设置端口初始状态为非授权状态,使端口仅允许EAPOL报文和广播报文收发。由EAPOL报文触发并进行认证,如果认证流程通过,则将该端口切换到授权状态。
端口受控模式
基于端口的认证:
仅对使用同一物理端口的任何一个用户进行认证,认证通过后其他用户也就可以利用该物理端口访问网络服务。
基于MAC的认证:
对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目(限制MAC地址数目),但不指定MAC地址。H3C公司交换机缺省设置为基于MAC的认证。
受控端口
EAP协议介绍
EAP:扩展验证协议(Extensible Authentication Protocol)
EAP数据包帧格式:
Code:EAP类型
Request (eap-request)
Response (eap-response)
Success (eap-success)
Failure (eap-failure)
Code
Identifier
Length
Type
Data
EAPOL封装
Assignment
Value
PAE group address
01-80-C2-00-00-03
EAPOL概念:
一种封装技术,EAP over LAN,支持客户端PAE和设备端PAE在LAN环境中进行EAP报文的交换。
目前,EAPOL有 和Token Ring/FDDI两种封装。
EAPOL 帧的目的MAC:
EAPOL封装
Radius概述
RADIUS定义
RADIUS 是Remote Authentication Dial In User Service (远程认证拨号用户服务)的简称。它是一种分布式的c/s系统,能提供AAA功能。RADIUS技术可以保护网络不受未授权访问的干扰,常被用在既要求较高性能,又要求维持远程用户访问的各种网络环境中。
RADIUS使用的协议
RADIUS基于标准RFC2865,2866协议在UDP/IP层定义了其帧格式及消息传输机制,并定义1812为认证端口,1813为计费端口。
RADIUS报文格式
RADIUS协议的报文结构
Code字段
1 Access- request
2 Access- accept
3 Access- reject
4 Accounting-request
5 Accounting-response
11 Access-challenge
Attribute域
RADIUS报文的Attribute域
Attribute是RADIUS报文的核心部分,分为3段
属性类型:标识是哪个属性,如1为用户名
属性长度:属性的总长度,含类型和长度
属性值:该属性的值,如用户名“abc”
Radius属性可分为标准属性和扩展属性
其中26号属性是给各厂商提供扩展属性的属性
EAPOR封装
EAP-Message属性
EAP-Message为79号属性
设备端从客户端接收到EAP报文后,将它封装在一个或多个EAP-Message属性中,作为Access-Request的一部分转发给RADIUS服务器。RADIUS服务器可以在Access-Challenge,Access-Accept或Access-Reject报文中返回EAP-Message属性。
EAPOR即 EAP over RADIUS,是通过为RADIUS添加两个新属性EAP-Message和Message-Authenticator来实现对EAP的支持。以便EAP报文穿越复杂的网络到达认证服务器。
认证流程
协议介绍
典型配置
LDAP认证典型配置
FAQ
目录
设备侧典型配置
配置RADIUS认证方案
radius scheme *
server-type extended
primary authentication *.*.*.*
primary accounting *.*.*.*
key authentication *
key accounting *
user-name-format without-domain (with-domain)
retry realtime-accounting *
retry stop-accounting *
配置RADIUS认证域
domain *
accounting lan-access radius-scheme *
authentication lan-access radius-scheme *
authorization lan-access radius-scheme *
全局及接口模式下输入dot1x使能
配置缺省域
Domain default enable *
UAM基本配置-添加接入设备
进入[业务-接入业务-接入设备配置],增加接入设备
配置共享密钥必须与设备测一致;
配置接入设备类型;
点击[选择],从平台网管选择已存在的设备添加为接入设备或点击[手工增加]直接填写接入设备的IP地址完成添加。
UAM基本配置-配置服务(一)
服务是最终用户使用网络的一个途径,它由预先定义的一组网络使用特性组成,其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。
基本信息配置
服务名:服务的逻辑标识
服务后缀:用于在用户认证时标识用户申请的不同服务。
安全策略:该选项用于指定使用该服务的账户同时应用怎样的安全策略指定该选项只有安装了EAD安全策略组件后才会出现。
UAM基本配置-配置服务(二)
授权信息配置
接入时段:用于引用一个已配置的接入时段策略。选择此服务的用户只能在接入时段策略中定制的时间段内允许接入。
不绑定接入区域:选择了某一个接入区域策略后,用户在此区域认证上网时将忽略所有的绑定信息。
启用证书认证:目前支持EAP-TLS认证类型和EAP-PEAP认证类型。
下发VLAN:设置向用户下发的VLAN。
下发ACL:设置向用户下发的访问控制列表。
UAM基本配置-配置服务(三)
绑定信息配置
UAM与设备配合可对接入设备IP地址、端口、VLAN、用户IP地址、MAC地址进行绑定。
当帐号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数。
UAM基本配置-配置服务(四)
用户客户端配置
iNode客户端配置:此功能用来对用户认证客户端进行限制。如果选中“仅限iNode客户端”,则最终用户只能使用H3C的iNode客户端进行认证上网,同时可以通过禁用代理服务器、IE代理、多网卡以及修改MAC地址来对用户进行限制。
IP地址获取方法限制:此功能用来对用户IP地址获取方式进行限制。
配置帐号(一)
增加平台帐号,填写使用者的真实身份信息
配置帐号(二)
增加接入帐号,引用已创建的平台帐号并关联服务
协议介绍
典型配置
LDAP认证原理及典型配置
FAQ
目录
LDAP业务管理简介
LDAP业务包含在iMC UAM业务组件中,无需安装额外的业务组件。
LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)用来访问用于认证的目录服务器(LDAP服务器),目录服务器通过目录树的结构提供了用户认证的相关信息。iMC UAM支持与LDAP服务器绑定,并通过LDAP服务器进行认证。
iMC UAM支持将LDAP 服务器上的帐号同步到当前 iMC服务器上。
配套的业界LDAP服务器有:
Sun ,Netscape ,Microsoft Active Directory ,Novell eDirectory ,OpenLdap等
LDAP认证流程(一)
AD服务器
iMC服务器
LDAP认证流程(二)
以微软AD服务器为例,用户的认证过程包括以下4个步骤:
步骤一:当用户A还未登陆系统桌面时,h3c认证客户端已经启动。如果客户端连接参数中勾选了“运行后自动认证”,则当用户还未登陆桌面时客户端后台已经发起了身份认证。如果身份认证通过,在iMC服务器在线用户列表中可以看到该用户,且状态为“等待安全认证”。
当用户选择登陆到域,输入域用户名及密码执行登陆时,以test登陆到h3c域为例, iNode客户端将截取到的信息组合成test@h3c的形式,向iMC发起认证请求。如果配置了“运行后自动认证”功能,则会先判断当前登陆的“用户名@域名”与之前自动认证上线的“用户名@域名”是否一致。比较的结果有三种情况:
1、如果第一次认证并未成功,则iNode以当前截取到的信息组合成test@h3c的形式,向iMC发起认证请求。
2、比较结果不一致,则iNode客户端会先发出下线请求,将第一次自动认证上线的用户主动下线,然后重新发起认证请求。
3、如果比较结果一致,则不再发起认证请求。
身份认证通过,成功进入桌面后,客户端才会发起安全检查。F0335版本的iNode客户端只有在登陆域时才会发起认证,而E6104版本的iNode客户端将“域统一认证”修改为“单点登陆”,即无论登陆本机还是登陆域都会发起认证。最终用户登陆时都将看到正在认证的提示。
LDAP认证流程(三)
步骤二:iMC UAM检查该用户是否为AD上同步过来的用户,如果是,则iMC使用LDAP协议与AD服务器交互,由AD服务器验证该用户的密码是否正确。
步骤三:AD服务器将验证结果返回给iMC服务器。
步骤四:iMC服务器将认证结果返回终端用户。
UAM基本配置-配置LDAP(一)
点击[业务-接入业务-LDAP业务管理-服务器配置]进入LDAP服务器配置页面。
UAM基本配置-配置LDAP(二)
UAM基本配置-配置LDAP(三)
以微软AD服务器为例,Base DN是指AD服务器上需要同步的用户帐号所存放的路径。同步帐号时,iMC会同步该Base DN路径下(包含所有子目录)符合过滤条件的所有用户。
管理员DN一栏需填写一个至少拥有查询权限的域帐号及其存在路径。其中CN请配置为域管理员帐号的显示名(而非登录名)。其实这里将管理员配置为一个普通Domain User组的用户(只要具有域帐号的查询权限)在一般情况也没有问题。但如果配置了某些特殊应用,如配置了用户下次登陆需修改密码的情况下,这里必须配置为域管理员(管理员需具有修改其他账户属性的权限)才能使用域统一认证。
管理员DN和BaseDN的命名规则为:从左到右,依次从最小子目录到根目录,中间用逗号隔开。根目录前缀为“dc=”,AD上的原始单元(如users)和管理员用户名(如“业务软件”)前缀为“cn=”,新建的组织单元前缀为“ou=”。
UAM基本配置-配置LDAP(四)
点击[业务-接入业务-LDAP业务管理-同步策略配置],点击[增加]新建一个LDAP同步策略配置,保持默认选项直接点击[下一步]即可。其中的过滤条件是指iMC只会同步符合过滤条件的用户。一般情况下无需修改,默认的过滤条件适用于绝大多数情况。
UAM基本配置-配置LDAP(五)
以AD服务器为例,在配置LDAP同步策略时,密码可任意输入,这里仅仅是为了完成开户流程。从AD服务器同步过来帐号,在认证过程中不会使用这里输入的帐号验证,而是由iMC直接将验证密码的工作交给AD服务器完成。
UAM基本配置-配置LDAP(六)
配置完毕后点击“完成”,之后点击“LDAP同步策略列表”右侧的“同步”按钮可立即执行账户同步,同时iMC服务器每天凌晨也将自动执行账户同步。
从LDAP服务器同步过来的账户在其账户详细信息页面中将在帐号名一栏后面标注“LDAP绑定用户”
协议介绍
典型配置
LDAP认证原理及典型配置
FAQ
目录
日志收集
用户接入组件调试日志收集
iMC用户接入组件的调试级别日志俗称系统调试日志。在定位与认证相关的问题时是最常收集的日志之一。以日期命名的系统调试日志缺省存放在C:\Program Files\iMC\uam\log目录中。
点击[业务-接入业务-业务参数配置-系统配置],点击[运行参数配置]一栏后面的修改配置按钮。
点击[系统配置手工生效]按钮,确保修改调试级别生效。问题定位完毕请及时将日志级别修改回缺省级别,并重启进程生效。大用户量的情况下,长期运行在调试级别可能对软件性能产生影响进而导致其他问题。
FAQ
Q:客户端认证信息窗口提示“RADIUS Server No Response”,认证失败
A:
1、确认问题PC所连的接入交换机与iMC服务器之间是否通讯正常(除了路由可达之外还包括端口是否被屏蔽),最直接的定位方法是登陆服务器,从服务器侧ping接入交换机。
2、登陆服务器,打开部署监控代理,查看进程选项卡下iMC各进程是否运行正常(显示绿色表示运行正常)。
3、检查“业务-接入业务-接入设备配置”中的配置,确认设备是否已经正确添加以及共享密钥是否配置正确。
FAQ
4、如果以上检查不能发现问题,则需要分析用户接入组件的调试日志。
如果在日志中看到如下记录,则表明服务器收到来自的Radius报文,但该IP地址并未作为认证接入设备的IP地址添加到iMC中,请确认“业务-接入业务-接入设备配置”中的配置。
% 2008-10-14 12:51:58 ; [WARNING (2)] ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; Invalid Source IP or port number(from :1812).
5、如果在日志中看到如下记录,则表明接入设备的共享密钥配置与设备上配置的不一致,请确认“业务-接入业务-接入设备配置”中的配置或设备配置。
% 2008-10-14 12:53:29 ; [ERROR (1)] ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; CheckMsgAttr(): Invalid Message-Authenticator received from , return HWR_FAIL.
FAQ
6、如果在日志中看到如下记录,则表明服务器上用于监听认证请求报文的端口(缺省为1812)被其他应用程序占用。若无法确定是什么程序占用了端口,请在服务器的命令行窗口中使用netstat –aon查看占用端口的进程PID,然后在Windows任务管理器中查找该PID所对应的执行程序。
% 2008-10-14 01:12:43 ; [ERROR (1)] ; UAM ; $SYS$ ; (NULL) ; (NULL) ; (NULL) ; Fail to bind Socket with Port for Receive Thread.
FAQ
Q:为什么登陆域时提示域统一认证失败,而在iMC服务器的认证失败记录及日志中查不到任何相关信息?
A:由于客户端是以域用户名@域名+域用户密码的形式向iMC发起认证请求。请首先检查认证接入设备上是否配置了与所要登陆的域名称相同的认证域。以文档中的配置例为例,用户选择登陆到域“h3c”,则在设备侧一定要创建一个名为“h3c”的domain。其次检查RADIUS方案下配置的AAA服务器地址是否有误。
FAQ
Q:为什么登陆域时提示域统一认证失败,同时在iMC服务器的认证失败记录中提示“LDAP用户不支持chap认证”?
A:由于chap认证方式采用不可逆的MD5加密算法加密用户密码,而微软AD加密用户密码的算法也不可逆,这样加过密的密码,LDAP服务器无法验证其是否与自己储存的一致。如果采用Portal方式下的LDAP认证则务必在Portal端口组配置中配置为pap认证。
*
