在AnyOffice进行Portal认证时安全检查策略下发不生效

发布时间:  2015-10-29 浏览次数:  583 下载次数:  0
问题描述

Aglie Controller与S7700进行联动控制终端访问网络权限。终端安装AnyOffice使用Portal方式接入网络。

管理员增加终端安全检查策略,如未安装360杀毒软件的终端只能访问ACL 3005放开的资源。授权策略通过ACL号方式下发,并在设备上新增相关ACL配置。

终端用户使用未安装360杀毒软件的终端进行接入测试,身份认证成功后,显示安全策略未通过,并下发相关授权结果,但发现该授权结果并未生效。

授权规则配置:



授权结果配置:



安全策略配置:



用户RADIUS认证日志:





设备侧相关配置:

#
acl number 3005 
description portal
rule 5 permit ip destination 10.233.128.0 0.0.0.255
rule 10 deny ip
#
web-auth-server HJNY_Controller
server-ip 10.233.128.68
port 50200
shared-key cipher %@%@Yx9!5V)xj'/wS1C;e,,-JO$*%@%@
url http://10.233.128.68:8080/portal
#
interface Vlanif165
description WLAN_Guest_user
ip address 10.233.165.254 255.255.255.0
web-auth-server HJNY_Controller direct
authentication portal 
#

处理过程

步骤 1 将终端接入有线侧相同业务VLAN测试,服务器用户显示认证成功,策略下发成功,测试下发限止访问的ACL授权结果生效。

步骤 2 使用Wireshark对比两次测试报文,确认用户无论在有线侧接入还是在无线侧接入,Agile Controller均有给接入用户下发相关授权ACL号。



在设备侧使用命令查询接入用户信息:

[HJNY-7706-1]dis access-user user-id 26493

Basic:
  User ID                         : 26493
  User name                       : kevin
  Domain-name                     : default                        
  User MAC                        : d0df-9acf-0d5c
  User IP address                 : 10.233.165.18
  User vpn-instance               : -
  User access Interface           : Wlan-Dbss2:77
  User vlan event                 : Success       
  QinQVlan/UserVlan               : 0/165
  User access time                : 2015/06/24 17:00:24
  User accounting session ID      : HJNY-77000000000001652d8c93026493
  Option82 information            : -
  User access type                : WEB  
  AP ID                           : 20
  AP name                         : ap-20
  Radio ID                        : 0
  AP MAC                          : 9404-9ce2-1060
  SSID                            : HJNY_Guest
  Online time                     : 386(s)
  Work group ID                   : default
  User forward slot               : 1/2 2/2
  Web-server IP address           : 10.233.128.68
  Dynamic ACL number(Effective)   : 3005  //可以确认设备侧已收到服务器下发ACL号

AAA:
  User authentication type        : WEB authentication
  Current authentication method   : RADIUS
  Current authorization method    : -
  Current accounting method       : RADIUS 

步骤 3 初步判断为设备侧无线侧原因导致。可能原因如下:

  • 设备版本问题。
  • 无线侧访问控制ACL下发未生效。

步骤 4 查询终端接入AP配置,未发现ACL 3005配置,使用命令commit ap 20重新下发AP配置后查询AP配置,发现ACL 3005相关配置已下发,再次测试无线Portal用户接入,授权策略生效。

----结束

根因
在设备新增ACL控制策略后,未在无线侧重新下发配置,导致用户接入AP不存在相关ACL控制策略配置,Agile Controller下发给设备的用户授权策略自然不会生效。
建议与总结

控制设备在无线侧用户访问控制策略,需要AC下发ACL至AP设备上后方能生效,控制设备全局ACL变更后,需要重新下发AP配置,否则会导致用户访问控制策略配置后不生效。

END