Controller与USG5120HSR联动终端认证后无法访问受控域资源

发布时间:  2015-08-20 浏览次数:  310 下载次数:  0
问题描述

一、组网

组网如下所示。

图1 SACG直挂组网



二、故障现象

终端PC1的IP地址是10.14.40.4,终端用户在PC1使用Web方式通过身份认证,但是无法访问认证后域中的网络资源,并且打开任何网页都会弹出认证界面。

终端PC2的IP地址是10.14.40.3,终端用户在PC2使用AnyOffice方式通过身份认证,可以访问认证后域中的网络资源。

三、软件版本

Agile Controller-Campus版本V100R001C00SPC308,防火墙USG5120HSR版本V300R001C00SPC500。

四、防火墙关键配置

right-manager server-group 
default acl 3099 
server ip 10.10.150.238 port 3288 shared-key %$%$UsR&JRz@pB_)f`*z5Zi>GKB9%$%$ 
right-manager server-group enable 
right-manager authentication url http://10.10.150.238:8080/portal 

policy interzone trust untrust outbound 
apply packet-filter right-manager

处理过程

在PC1通过Web认证,PC2通过AnyOffice认证成功后运行display right-manager online-users命令查看防火墙在线用户信息,发现只有使用AnyOffice认证的用户在线,无法查到通过Web认证的终端用户信息。



检查right-manager authentication url 发现配置的链接和端口不正确,把链接改为right-manager authentication url http://10.10.150.238:8084/auth再尝试认证后,则认证成功后允许访问认证后域中的网络资源。

根因

防火墙推送的URL与交换机Portal链接URL端口和/后面的参数是不一样的,必须按照产品文档要求配置。

附上各产品的URL链接:

  • 推送AnyOffice下载页面,使用命令“right-manager authentication url http://10.1.4.2:8088/download ”。下载页面地址为业务管理器的IP地址。
  • 推送Web客户端认证页面(适用小屏终端场景),使用命令“right-manager authentication url http://10.1.4.2:8084/auth ”。认证页面地址为业务控制器的IP地址。
  • 推送Web客户端认证页面(适用大屏终端场景),使用命令“right-manager authentication url http://10.1.4.2:8084/newauth”。认证页面地址为业务控制器的IP地址。
解决方案

把防火墙认证页面的URL从http://10.10.150.238:8080/portal修改为http://10.10.150.238:8084/auth ,终端认证成功并且能够访问后域资源。

建议与总结
1、在配置交换机和防火墙认证页面URL必须按照产品配置,否则会导致一些不可思议的问题,后续排查费时费力。

2、在终端认证成功后到防火墙/交换机上确认终端的网络访问权限是否正确,而不是以终端认证成功为验证标准。

END