S12708与Policy Center配置无线Portal认证,用户认证失败

发布时间:  2015-09-23 浏览次数:  2403 下载次数:  0
问题描述

S12708与Policy Center配置无线Portal认证,交换机通过vlanif256端口绑定VPN实例 XX与Portal服务器通信。 配置后用户认证失败,Portal服务器无用户认证记录。

设备侧相关配置:

sysname Core_S12708
#
set net-manager vpn-instance XX
#
ip vpn-instance XX
ipv4-family
  route-distinguisher 65535:4
  vpn-target 65535:4 export-extcommunity
  vpn-target 65535:4 65535:3 65535:5 65535:6 65535:7 65535:8 65535:9 65535:10 import-extcommunity
  vpn-target 65535:11 import-extcommunity
#
radius-server template radius_huawei
radius-server shared-key cipher %@%@MhYHRn'xG)G`2&)0kQb@w#B:%@%@
radius-server authentication 172.16.2.146 1812 vpn-instance XX source ip-address 10.66.1.1 weight 80
radius-server accounting 172.16.2.146 1813 vpn-instance XX source ip-address 10.66.1.1 weight 80
radius-server authorization 172.16.2.146 shared-key cipher %@%@>U:l~MJa=C8^U'9fmZ-4+q=4%@%@
#
url-template name urlTemplate_0
#
web-auth-server huawei
server-ip 172.16.2.146                  
port 50200
shared-key cipher %@%@1s9zQui#nH`s%U47Ce~--%rA%@%@
url http://172.16.2.146:8080/portal
#
aaa
authentication-scheme default
authentication-scheme radius_huawei
  authentication-mode radius
authorization-scheme default
accounting-scheme default
accounting-scheme radius_huawei
  accounting-mode radius
domain default
  authentication-scheme radius_huawei
  accounting-scheme radius_huawei        
  radius-server radius_huawei
domain default_admin
#
interface Vlanif256 
ip binding vpn-instance XX
ip address 10.66.1.1 255.255.255.0
#                                      
#
authentication free-rule 1 destination ip 172.16.2.146 mask 255.255.255.255
#

wlan相关配置略

Policy Center相关配置:

用户帐户设置:



接入设备设置:



授权规则设置:

处理过程

步骤1  在交换机上使用test-aaa方式测试认证帐户,显示用户认证失败,在设备侧debug radius报文,收到radius 4117错误代码回复,表示帐户授权失败。

<Core_S12708>test-aaa 123 Admin123 radius-template radius_huawei
<Core_S12708>
Error: User name or password is wrong.
<Core_S12708>
Apr 23 2015 13:30:25.115.1 Core_S12708 RDS/7/DEBUG:
  RADIUS Sent a Packet.
<Core_S12708>
Apr 23 2015 13:30:25.115.2 Core_S12708 RDS/7/DEBUG:
  Server Template: 0
  Server IP   : 172.16.2.146
  Protocol: Standard
  Code    : 1
  Len     : 156
  ID      : 118
  [User-Name                          ] [5 ] [123]
  [CHAP-Password                      ] [19] [c1 45 ee 4e 8a 81 68 5e 5c bf 55 16 f7 18 2e e0 08 ]
  [CHAP-Challenge                     ] [18] [a6 de 82 54 33 fb 6d 61 d8 75 2c 98 a3 e5 3f 6a ]
  [Service-Type                       ] [6 ] [2]
  [Framed-Protocol                    ] [6 ] [1]
  [NAS-Identifier                     ] [13] [Core_S12708]
  [NAS-Port-Type                      ] [6 ] [15]
  [Acct-Session-Id                    ] [37] [Core_S1000000000000002dd550f3001055]
  [NAS-IP-Address                     ] [6 ] [10.66.1.1]
<Core_S12708>
Apr 23 2015 13:30:25.145.1 Core_S12708 RDS/7/DEBUG:
  RADIUS Received a Packet.
<Core_S12708>
Apr 23 2015 13:30:25.145.2 Core_S12708 RDS/7/DEBUG:
  Server Template: 0
  Server IP   : 172.16.2.146
  Server Port : 1812
  Protocol: Standard
  Code    : 3
  Len     : 34
  ID      : 118
  [Reply-Message                      ] [14] [ErrCode:4117]
<Core_S12708>

步骤2  按照配置要求,测试帐户需匹配portal授权策略,对比上报RADIUS服务器参数检查服务器Portal授权策略配置,发现授权策略选择了系统预置的无线接入定制条件,但预置的无线接入定制条件中NAS-Port-Type属性值与用户认证上报的属性值( [NAS-Port-Type                      ] [6 ] [15] )不一致,取消定制条件,在设备侧test-aaa测试用户帐户成功,但再次使用帐户portal认证登录仍提示认证失败。



步骤3  在Portal服务器抓包定位,发现Portal服务器向设备发起3次Challenge请求,未收到设备侧回应,向设备侧发送用户下线请求报文也未收到设备侧回复,未再发起RADIUS认证请求,所以Portal服务器上没有查到此帐户相关RADIUS认证日志,排查设备侧原因。



注:此报文过滤需要安装相应Portal插件才能够如上显示,如未安装Portal插件,可以使用如下方式过滤查询(Data:0201开头表示 REQ_CHALLENGE 0205开头表示 REQ_LOGOUT)。



步骤4  排查设备侧相关配置核实,交换机设备与Portal服务器通信若使用的VPN实例,也需要在Portal服务器模板中绑定该VPN实例,才能够正常通信。在Portal服务器模板中增加VPN实例,再次使用帐户portal登录认证测试成功。

#
web-auth-server huawei
server-ip 172.16.2.146                  
port 50200
shared-key cipher %@%@1s9zQui#nH`s%U47Ce~--%rA%@%@
url http://172.16.2.146:8080/portal
vpn-instance XX  

根因

1、Portal服务器侧授权模块配置不当导致帐户认证授权失败。

2、设备侧Portal服务器模板未绑定VPN实例,导致设备侧无法正确响应服务器Portal报文。

建议与总结

交换机与Portal服务器对接,需要充分了解Portal/Radius报文交互过程,才能够准确定位故障原因,Portal认证报文交互流程可参考华为论坛相关文档:

http://support.huawei.com/ecommunity/bbs/10162071.html

Portal报文认证交互流程:



1、Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问地址的HTTP报文,接入设备允许其通过;对于访问其它地址的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

2、
Portal服务器与接入设备之间进行CHAPChallenge Handshake Authentication Protocol,质询握手验证协议)认证交互。若采用PAPPassword Authentication Protocol,密码验证协议)认证则直接进入下一步骤。

3、
Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。

4、
接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

5、
接入设备向Portal服务器发送认证应答报文。

6、
Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。

7、
Portal服务器向接入设备发送认证应答确认。

8、
客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格,包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

9、
安全策略服务器根据用户的安全性授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(8)(9)Portal认证扩展功能的交互过程。

END