Exemple : Configuration de l’authentification par portail captif sur un routeur MX Series
À partir de Junos OS version 14.2, vous pouvez configurer l’authentification par portail captif (ci-après dénommé portail captif) sur un routeur pour rediriger les demandes du navigateur Web vers une page de connexion qui demande à l’utilisateur d’entrer un nom d’utilisateur et un mot de passe. Une fois l’authentification réussie, l’utilisateur est autorisé à poursuivre la demande de page d’origine et l’accès ultérieur au réseau.
Cet exemple décrit comment configurer un portail captif sur un routeur MX Series :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un routeur MX Series qui prend en charge le portail captif
Junos OS version 14.2 ou ultérieure pour les routeurs MX Series
Avant de commencer, assurez-vous d’avoir :
Effectuez le pontage de base et la configuration VLAN sur le routeur - effectué.
Générez un certificat SSL et installez-le sur le routeur - effectué.
Configurez l’accès de base entre le routeur MX Series et le serveur RADIUS - effectué.
Conception de votre page de connexion au portail captif. .
Vue d’ensemble et topologie
Cet exemple montre la configuration requise sur le routeur pour activer le portail captif sur une interface. Pour permettre à une imprimante connectée à l’interface du portail captif d’accéder au réseau local sans passer par le portail captif, ajoutez son adresse MAC à la liste d’autorisation d’authentification. Les adresses MAC de cette liste sont autorisées à accéder à l’interface sans portail captif.
Topologie
La topologie de cet exemple se compose d’un routeur MX Series connecté à un serveur d’authentification RADIUS. Une interface du routeur est configurée pour le portail captif. Dans cet exemple, l’interface est configurée en mode de demande multiple.
Configuration
Pour configurer le portail captif sur votre routeur :
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le portail captif sur le routeur après avoir terminé les tâches de la section Exigences, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du routeur :
[edit] set system services web-management http set system services web-management https local-certificate my-signed-cert set protocols captive-portal-custom-options secure-authentication https set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple set protocols authentication-access-control static 00:10:12:e0:28:22 set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Procédure
Procédure étape par étape
Pour configurer le portail captif sur le routeur :
Activez l’accès HTTP sur le routeur :
[edit] user@router# set system services web-management http
Pour créer un canal sécurisé pour l’accès Web au routeur, configurez le portail captif pour HTTPS :
REMARQUE :Vous pouvez activer HTTP sans activer HTTPS, mais nous recommandons HTTPS pour des raisons de sécurité.
Procédure étape par étape
Associez le certificat de sécurité au serveur Web et activez l’accès HTTPS sur le routeur :
[edit] user@router# set system services web-management https local-certificate my-signed-cert
Configurer le portail captif pour utiliser HTTPS :
[edit] user@router# set protocols captive-portal-custom-options secure-authentication https
Activer une interface pour le portail captif :
[edit] user@router# set protocols authentication-access-control interface ge-0/0/10.0 supplicant multiple
(Facultatif) Autoriser des clients spécifiques à contourner le portail captif :
REMARQUE :Si le client est déjà connecté au routeur, vous devez effacer son adresse MAC de l’authentification du portail captif à l’aide de la commande après avoir ajouté son adresse MAC à la
clear captive-portal mac-address mac-address
liste d’autorisation. Sinon, la nouvelle entrée pour l’adresse MAC ne sera pas ajoutée à la table de routeur Ethernet et le contournement de l’authentification ne sera pas autorisé.[edit] user@router# set protocols authentication-access-control static 00:10:12:e0:28:22
REMARQUE :Si vous le souhaitez, vous pouvez utiliser
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0
pour limiter la portée à l’interface.(Facultatif) Pour rediriger les clients vers une page spécifiée plutôt que vers la page qu’ils ont demandée à l’origine, configurez l’URL de post-authentification :
[edit services captive-portal] user@router# set protocols captive-portal-custom-options post-authentication-url http://www.my-home-page.com
Résultats
Affichez les résultats de la configuration :
[edit] user@router> show system { services { web-management { http; https { local-certificate my-signed-cert; } } } } security { certificates { local { my-signed-cert { "-----BEGIN RSA PRIVATE KEY-----\nMIICXwIBAAKBgQDk8sUggnXdDUmr7T vLv63yJq/LRpDASfIDZlX3z9ZDe1Kfk5C9\nr/tkyvzv ... Pt5YmvWDoGo0mSjoE/liH0BqYdh9YGqv3T2IEUfflSTQQHEOShS0ogWDHF\ nnyOb1O/vQtjk20X9NVQg JHBwidssY9eRp\n-----END CERTIFICATE-----\n"; ## SECRET-DATA } } } } protocols { authentication-access-control { static 00:10:12:e0:28:22/48; interface { ge-0/0/10.0 { supplicant multiple; } } custom-captive-portal-options { secure-authentication https; post-authentication-url http://www.my-home-page.com; } }
Vérification
Pour vérifier que le portail captif est configuré et fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’activation du portail captif sur l’interface
- Vérifiez que le portail captif fonctionne correctement
Vérification de l’activation du portail captif sur l’interface
But
Vérifiez que le portail captif est configuré sur l’interface ge-0/0/10.
Action
Utilisez la commande show captive-portal interface interface-name detail
du mode opérationnel :
user@router> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Sens
La sortie confirme que le portail captif est configuré sur l’interface ge-0/0/10 avec les paramètres par défaut pour le nombre de tentatives, la période de silence, le délai d’expiration de la session CP et le délai d’expiration du serveur.
Vérifiez que le portail captif fonctionne correctement
But
Vérifiez que le portail captif fonctionne sur le routeur.
Action
Connectez un client à l’interface ge-0/0/10. À partir du client, ouvrez un navigateur Web et demandez une page Web. La page de connexion au portail captif que vous avez conçue doit s’afficher. Une fois que vous avez entré vos informations de connexion et que vous êtes authentifié auprès du serveur RADIUS, le navigateur Web doit afficher soit la page que vous avez demandée, soit l’URL de post-authentification que vous avez configurée.
Dépannage
Pour résoudre les problèmes liés au portail captif, effectuez les opérations suivantes :
Dépannage du portail captif
Problème
Le routeur ne renvoie pas la page de connexion au portail captif lorsqu’un utilisateur connecté à une interface du portail captif sur le routeur demande une page Web.
Solution
Vous pouvez examiner les compteurs ARP, DHCP, HTTPS et DNS : si un ou plusieurs de ces compteurs ne s’incrémentent pas, cela indique où se situe le problème. Par exemple, si le client ne peut pas obtenir d’adresse IP, vérifiez l’interface du routeur pour déterminer si le compteur DHCP est incrémenté : si le compteur s’incrémente, le paquet DHCP a été reçu par le routeur.
user@router> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.