Authentification par portail captif
Vous pouvez contrôler l’accès à votre réseau par le biais d’un commutateur à l’aide de différentes méthodes d’authentification. Les commutateurs Junos OS prennent en charge l’authentification 802.1X, MAC RADIUS et le portail captif. Vous pouvez configurer l’authentification par portail captif sur un commutateur pour rediriger les demandes du navigateur Web vers une page de connexion qui demande à l’utilisateur d’entrer un nom d’utilisateur et un mot de passe.
Exemple : Configuration de l’authentification par portail captif sur un commutateur EX Series
Vous pouvez configurer l’authentification du portail captif (ci-après appelé portail captif) sur un commutateur pour rediriger les demandes du navigateur Web vers une page de connexion qui nécessite que l’utilisateur saisisse un nom d’utilisateur et un mot de passe. Une fois l’authentification réussie, l’utilisateur est autorisé à poursuivre la demande de page d’origine et l’accès ultérieur au réseau.
Cet exemple décrit comment configurer un portail captif sur un commutateur EX Series :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Commutateur EX Series avec portail captif
Junos OS version 10.1 ou ultérieure pour les commutateurs EX Series
Avant de commencer, assurez-vous d’avoir :
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Générez un certificat SSL et installez-le sur le commutateur - effectué. Reportez-vous à la section Génération de certificats SSL à utiliser pour un accès Web sécurisé (commutateur EX Series).
Conception de votre page de connexion au portail captif. Reportez-vous à la section Conception d’une page de connexion à l’authentification du portail captif sur les commutateurs.
Vue d’ensemble et topologie
Cet exemple montre la configuration requise sur le commutateur pour activer le portail captif sur une interface. Pour permettre à une imprimante connectée à l’interface du portail captif d’accéder au réseau local sans passer par le portail captif, ajoutez son adresse MAC à la liste d’autorisation d’authentification. Les adresses MAC de cette liste sont autorisées à accéder à l’interface sans portail captif.
Topologie
La topologie de cet exemple se compose d’un commutateur EX Series connecté à un serveur d’authentification RADIUS. Une interface du commutateur est configurée pour le portail captif. Dans cet exemple, l’interface est configurée en mode de demande multiple.
Configuration
Pour configurer le portail captif sur votre commutateur :
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le portail captif sur le commutateur après avoir effectué les tâches de la section Configuration requise, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set access radius-server 10.204.96.165 port 1812 set access radius-server 10.204.96.165 secret "ABC123" set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server 10.204.96.165 set system services web-management http set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set services captive-portal authentication-profile-name profile1 set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
Procédure
Procédure étape par étape
Pour configurer le portail captif sur le commutateur :
Définissez l’adresse IP du serveur, le numéro de port d’authentification du serveur et configurez le mot de passe secret. Le mot de passe secret sur le commutateur doit correspondre au mot de passe secret sur le serveur :
[edit] user@switch# set access radius-server 10.204.96.165 port 1812 [edit] user@switch# set access radius-server 10.204.96.165 secret "ABC123"
Configurez l’ordre d’authentification, en faisant
radiusde la première méthode d’authentification :[edit] user@switch# set access profile profile1 authentication-order radius
Configurez l’adresse IP du serveur à essayer afin d’authentifier le demandeur :
[edit] user@switch# set access profile profile1 radius authentication-server 10.204.96.165
Activez l’accès HTTP sur le commutateur :
[edit] user@switch# set system services web-management http
Pour créer un canal sécurisé pour l’accès Web au commutateur, configurez le portail captif pour HTTPS :
REMARQUE :Vous pouvez activer HTTP sans activer HTTPS, mais nous recommandons HTTPS pour des raisons de sécurité.
Procédure étape par étape
Associez le certificat de sécurité au serveur Web et activez l’accès HTTPS sur le commutateur :
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
Configurer le portail captif pour utiliser HTTPS :
[edit] user@switch# set services captive-portal secure-authentication https
Activer une interface pour le portail captif :
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
Spécifiez le nom du profil d’accès à utiliser pour l’authentification du portail captif :
[edit] user@switch# set services captive-portal authentication-profile-name profile1
(Facultatif) Autoriser des clients spécifiques à contourner le portail captif :
REMARQUE :Si le client est déjà connecté au commutateur, vous devez effacer son adresse MAC de l’authentification du portail captif à l’aide de la
clear captive-portal mac-address mac-addresscommande après avoir ajouté son adresse MAC à la liste d’autorisation. Sinon, la nouvelle entrée pour l’adresse MAC ne sera pas ajoutée à la table de commutation Ethernet et le contournement de l’authentification ne sera pas autorisé.[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
REMARQUE :Si vous le souhaitez, vous pouvez utiliser
set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0pour limiter la portée à l’interface.(Facultatif) Pour rediriger les clients vers une page spécifiée plutôt que vers la page qu’ils ont demandée à l’origine, configurez l’URL de post-authentification :
[edit] user@switch# set services captive-portal custom-options post-authentication-url http://www.my-home-page.com
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch> show
system {
services {
web-management {
http;
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----ABC123
...
ABC123-----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
services {
captive-portal {
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
secure-authentication https;
}
}
ethernet-switching-options {
authentication-whitelist {
00:10:12:e0:28:22/48;
}
}
Vérification
Pour vérifier que le portail captif est configuré et fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’activation du portail captif sur l’interface
- Vérifiez que le portail captif fonctionne correctement
Vérification de l’activation du portail captif sur l’interface
But
Vérifiez que le portail captif est configuré sur l’interface ge-0/0/10.
Action
Utilisez la commande show captive-portal interface interface-name detaildu mode opérationnel :
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Sens
La sortie confirme que le portail captif est configuré sur l’interface ge-0/0/10 avec les paramètres par défaut pour le nombre de tentatives, la période de silence, le délai d’expiration de la session CP et le délai d’expiration du serveur.
Vérifiez que le portail captif fonctionne correctement
But
Vérifiez que le portail captif fonctionne sur le commutateur.
Action
Connectez un client à l’interface ge-0/0/10. À partir du client, ouvrez un navigateur Web et demandez une page Web. La page de connexion au portail captif que vous avez conçue doit s’afficher. Une fois que vous avez entré vos informations de connexion et que vous êtes authentifié auprès du serveur RADIUS, le navigateur Web doit afficher soit la page que vous avez demandée, soit l’URL de post-authentification que vous avez configurée.
Dépannage
Pour résoudre les problèmes liés au portail captif, effectuez les opérations suivantes :
Dépannage du portail captif
Problème
Le commutateur ne renvoie pas la page de connexion au portail captif lorsqu’un utilisateur connecté à une interface de portail captif sur le commutateur demande une page Web.
Solution
Vous pouvez examiner les compteurs ARP, DHCP, HTTPS et DNS : si un ou plusieurs de ces compteurs ne s’incrémentent pas, cela indique où se situe le problème. Par exemple, si le client ne parvient pas à obtenir une adresse IP, vérifiez l’interface du commutateur pour déterminer si le compteur DHCP est incrémenté : si le compteur s’incrémente, le paquet DHCP a été reçu par le commutateur.
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0
Configuration de l’authentification du portail captif (procédure CLI)
Configurez l’authentification portail captif (ci-après appelée portail captif) sur un commutateur EX Series afin que les utilisateurs connectés au commutateur soient authentifiés avant d’être autorisés à accéder au réseau. Lorsque l’utilisateur demande une page Web, une page de connexion s’affiche et l’oblige à saisir un nom d’utilisateur et un mot de passe. Une fois l’authentification réussie, l’utilisateur est autorisé à poursuivre la demande de page d’origine et l’accès ultérieur au réseau.
Avant de commencer, assurez-vous d’avoir :
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series.
Générez un certificat SSL et installez-le sur le commutateur - effectué. Reportez-vous à la section Génération de certificats SSL à utiliser pour un accès Web sécurisé (commutateur EX Series).
Configurez l’accès de base entre le commutateur EX Series et le serveur RADIUS - effectué. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Conception de votre page de connexion au portail captif. Reportez-vous à la section Conception d’une page de connexion à l’authentification du portail captif sur les commutateurs.
Cette rubrique comprend les tâches suivantes :
- Configuration de l’accès sécurisé pour le portail captif
- Activation d’une interface pour le portail captif
- Configuration du contournement de l’authentification du portail captif
Configuration de l’accès sécurisé pour le portail captif
Pour configurer l’accès sécurisé au portail captif :
Activation d’une interface pour le portail captif
Pour activer une interface pour le portail captif :
[edit] user@switch# set services captive-portal interface interface-name
Par exemple, pour activer le portail captif sur l’interface ge-0/0/10 :
[edit] user@switch# set services captive-portal interface ge-0/0/10
Configuration du contournement de l’authentification du portail captif
Pour permettre à des clients spécifiques de contourner le portail captif :
[edit] user@switch# set ethernet-switching-options authentication-whitelist mac-address
Par exemple, pour permettre à des clients spécifiques de contourner le portail captif :
[edit] user@switch# set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22
Si vous le souhaitez, vous pouvez utiliser set ethernet-switching-options authentication-whitelist 00:10:12:e0:28:22 interface ge-0/0/10.0 pour limiter la portée à l’interface.
Si le client est déjà connecté au commutateur, vous devez effacer son adresse MAC de l’authentification du portail captif à l’aide de la clear captive-portal mac-address mac-address commande après avoir ajouté son adresse MAC à la liste d’autorisation. Sinon, la nouvelle entrée pour l’adresse MAC ne sera pas ajoutée à la table de commutation Ethernet et le contournement de l’authentification ne sera pas autorisé.
Conception d’une page de connexion à l’authentification du portail captif sur les commutateurs
Vous pouvez configurer l’authentification du portail captif sur votre commutateur pour rediriger toutes les demandes du navigateur Web vers une page de connexion qui oblige les utilisateurs à entrer un nom d’utilisateur et un mot de passe avant d’être autorisés à y accéder. Une fois l’authentification réussie, les utilisateurs sont autorisés à accéder au réseau et redirigés vers la page d’origine demandée.
Junos OS fournit un modèle personnalisable pour la fenêtre du portail captif qui vous permet de concevoir et de modifier facilement l’apparence de la page de connexion du portail captif. Vous pouvez modifier les éléments de conception du modèle pour changer l’apparence de votre page de connexion au portail captif et pour ajouter des instructions ou des informations à la page. Vous pouvez également modifier n’importe quel élément de conception d’une page de connexion au portail captif.
Le premier écran qui précède la page de connexion captive demande à l’utilisateur de prendre connaissance des conditions générales d’utilisation. En cliquant sur le bouton Accepter, l’utilisateur peut accéder à la page de connexion au portail captif.
Figure 1 Montre un exemple de page de connexion au portail captif :
Tableau 1 Récapitule les éléments configurables d’une page de connexion au portail captif.
| Élément | Déclaration CLI | Description |
|---|---|---|
Couleur d’arrière-plan du pied de page |
footer-bgcolor hex-color |
Code hexadécimal HTML pour la couleur d’arrière-plan du pied de page de connexion au portail captif. |
Message de pied de page |
footer-message text-string |
Texte affiché dans le pied de page de la page de connexion au portail captif. Vous pouvez inclure des informations sur les droits d’auteur, des liens et des informations supplémentaires telles que des instructions d’aide, des mentions légales ou une politique de confidentialité Le texte par défaut affiché dans le pied de page est Copyright @2010, Juniper Networks Inc. |
Couleur du texte du pied de page |
footer- text-color color |
Couleur du texte dans le pied de page. La couleur par défaut est le blanc. |
Couleur d’arrière-plan de l’en-tête du formulaire |
form-header-bgcolor hex-color |
Code hexadécimal HTML pour la couleur d’arrière-plan de la barre d’en-tête en haut de la zone de formulaire de la page de connexion au portail captif. |
Message d’en-tête de formulaire |
form-header-message text-string |
Texte affiché dans l’en-tête de la page de connexion au portail captif. Le texte par défaut est Captive Portal User Authentication . |
Couleur du texte de l’en-tête du formulaire |
form-header- text- color color |
Couleur du texte dans l’en-tête du formulaire. La couleur par défaut est le noir. |
Libellé du bouton de réinitialisation du formulaire |
form-reset-label label-name |
À l’aide du Reset bouton, l’utilisateur peut effacer les champs de nom d’utilisateur et de mot de passe du formulaire. |
Libellé du bouton d’envoi du formulaire |
form-submit-label label-name |
À l’aide du Login bouton, l’utilisateur peut soumettre les informations de connexion. |
Couleur d’arrière-plan de l’en-tête |
header-bgcolor hex-color |
Code hexadécimal HTML pour la couleur d’arrière-plan de l’en-tête de page de connexion au portail captif. |
Logo d’en-tête |
header-logo filename |
Nom de fichier du fichier contenant l’image du logo que vous souhaitez voir apparaître dans l’en-tête de la page de connexion au portail captif. Le fichier image peut être au format GIF, JPEG ou PNG. Vous pouvez télécharger un fichier image de logo sur le commutateur. Copiez le logo dans le répertoire /var/tmp du commutateur (lors de la validation, les fichiers sont enregistrés dans des emplacements persistants). Si vous ne spécifiez pas d’image de logo, le logo Juniper Networks s’affiche. |
Message d’en-tête |
header-message text-string |
Texte affiché dans l’en-tête de la page. Le texte par défaut est User Authentication. |
Couleur du texte d’en-tête |
header-text- colorcolor |
Couleur du texte dans l’en-tête. La couleur par défaut est le blanc. |
URL post-authentification |
post-authentication-url url |
URL vers laquelle les utilisateurs sont dirigés une fois l’authentification réussie. Par défaut, les utilisateurs sont dirigés vers la page qu’ils avaient initialement demandée. |
Pour concevoir la page de connexion du portail captif :
Vous pouvez maintenant valider la configuration.
Pour les options personnalisées que vous ne spécifiez pas, la valeur par défaut est utilisée.
Voir également
Configuration de l’authentification via un portail captif (procédure CLI) sur un commutateur EX Series avec prise en charge ELS
Cette tâche utilise Junos OS pour les commutateurs avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Configuration de l’authentification par portail captif (procédure CLI). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Configurez l’authentification du portail captif (ci-après appelé portail captif) sur un commutateur afin que les utilisateurs connectés au commutateur soient authentifiés avant d’être autorisés à accéder au réseau. Lorsque l’utilisateur demande une page Web, une page de connexion s’affiche et l’oblige à saisir un nom d’utilisateur et un mot de passe. Une fois l’authentification réussie, l’utilisateur est autorisé à poursuivre la demande de page d’origine et l’accès ultérieur au réseau.
Avant de commencer, assurez-vous d’avoir :
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS .
Générez un certificat SSL et installez-le sur le commutateur - effectué. Reportez-vous à la section Génération de certificats SSL à utiliser pour un accès Web sécurisé (commutateur EX Series).
Configurez l’accès de base entre le commutateur et le serveur RADIUS - effectué. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Conception de votre page de connexion au portail captif. Reportez-vous à la section Conception d’une page de connexion à l’authentification du portail captif sur les commutateurs.
Cette rubrique comprend les tâches suivantes :
- Configuration de l’accès sécurisé pour le portail captif
- Activation d’une interface pour le portail captif
- Configuration du contournement de l’authentification du portail captif
Configuration de l’accès sécurisé pour le portail captif
Pour configurer l’accès sécurisé au portail captif :
Activation d’une interface pour le portail captif
Pour activer une interface à utiliser avec l’authentification du portail captif :
[edit] user@switch# set services captive-portal interface interface-name
Configuration du contournement de l’authentification du portail captif
Vous pouvez autoriser des clients spécifiques à contourner l’authentification du portail captif :
[edit] user@switch# set switch-options authentication-whitelist mac-address
Si vous le souhaitez, vous pouvez utiliser set switch-options authentication-whitelist mac-address interface interface-name pour limiter la portée à l’interface.
Si le client est déjà connecté au commutateur, vous devez effacer son adresse MAC de l’authentification du portail captif à l’aide de la clear captive-portal mac-address session-mac-addr commande après avoir ajouté son adresse MAC à la liste d’autorisation. Sinon, la nouvelle entrée de l’adresse MAC n’est pas ajoutée à la table de commutation Ethernet et le contournement de l’authentification n’est pas autorisé.
Exemple : Configuration de l’authentification par portail captif sur un commutateur EX Series avec prise en charge ELS
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Configuration de l’authentification par portail captif sur un commutateur EX Series. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Vous pouvez configurer l’authentification du portail captif (ci-après appelé portail captif) sur un commutateur pour rediriger les demandes du navigateur Web vers une page de connexion qui nécessite que l’utilisateur saisisse un nom d’utilisateur et un mot de passe. Une fois l’authentification réussie, l’utilisateur est autorisé à poursuivre la demande de page d’origine et l’accès ultérieur au réseau.
Cet exemple décrit comment configurer un portail captif sur un commutateur EX Series :
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Junos OS version 13.2X50 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series avec prise en charge d’ELS
Avant de commencer, assurez-vous d’avoir :
Effectuez le pontage de base et la configuration VLAN sur le commutateur - effectué. Voir l’exemple : Configuration d’un pontage de base et d’un VLAN pour un commutateur EX Series avec prise en charge ELS .
Générez un certificat SSL et installez-le sur le commutateur - effectué. Reportez-vous à la section Génération de certificats SSL à utiliser pour un accès Web sécurisé (commutateur EX Series).
Configurez l’accès de base entre le commutateur EX Series et le serveur RADIUS - effectué. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Conception de votre page de connexion au portail captif. Reportez-vous à la section Conception d’une page de connexion à l’authentification du portail captif sur les commutateurs.
Vue d’ensemble et topologie
Cet exemple montre la configuration requise sur le commutateur pour activer le portail captif sur une interface. Pour permettre à une imprimante connectée à l’interface du portail captif d’accéder au réseau local, ajoutez son adresse MAC à la liste d’autorisation d’authentification et attribuez-la à un VLAN, vlan1. Les adresses MAC de cette liste sont autorisées à accéder à l’interface sans authentification du portail captif.
Topologie
La topologie de cet exemple se compose d’un commutateur EX Series connecté à un serveur d’authentification RADIUS. Une interface du commutateur est configurée pour le portail captif. Dans cet exemple, l’interface est configurée en mode de demande multiple.
Configuration
Pour configurer le portail captif sur votre commutateur :
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement le portail captif sur le commutateur après avoir effectué les tâches de la section Configuration requise, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set system services web-management https local-certificate my-signed-cert set services captive-portal secure-authentication https set services captive-portal interface ge-0/0/10.0 supplicant multiple set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 set custom-options post-authentication-url http://www.my-home-page.com
Procédure
Procédure étape par étape
Pour créer un canal sécurisé pour l’accès Web au commutateur, configurez le portail captif pour HTTPS :
Procédure étape par étape
Associez le certificat de sécurité au serveur Web et activez le protocole HTTPS sur le commutateur :
[edit] user@switch# set system services web-management https local-certificate my-signed-cert
REMARQUE :Vous pouvez activer HTTP au lieu de HTTPS, mais nous vous recommandons d’activer HTTPS pour des raisons de sécurité.
Configurer le portail captif pour utiliser HTTPS :
[edit] user@switch# set services captive-portal secure-authentication https
Activer une interface pour le portail captif :
[edit] user@switch# set services captive-portal interface ge-0/0/10 supplicant multiple
(Facultatif) Autoriser des clients spécifiques à contourner l’authentification du portail captif :
REMARQUE :Si le client est déjà connecté au commutateur, vous devez effacer son adresse MAC de l’authentification du portail captif à l’aide de la
clear captive-portal mac-address mac-addresscommande après avoir ajouté son adresse MAC à la liste d’autorisation. Sinon, la nouvelle entrée pour l’adresse MAC ne sera pas ajoutée à la table de commutation Ethernet et le contournement de l’authentification ne sera pas autorisé.[edit] user@switch# set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1
REMARQUE :Si vous le souhaitez, vous pouvez utiliser set switch-options authentication-whitelist 00:10:12:e0:28:22 vlan-assignment vlan1 interface ge-0/0/10.0 pour limiter la portée à l’interface.
(Facultatif) Pour rediriger les clients vers une page spécifiée plutôt que vers la page qu’ils ont demandée à l’origine, configurez l’URL de post-authentification :
[edit services captive-portal] user@switch# set custom-options post-authentication-url http://www.my-home-page.com
Résultats
Affichez les résultats de la configuration :
[edit]
user@switch# show
system {
services {
web-management {
https {
local-certificate my-signed-cert;
}
}
}
}
security {
certificates {
local {
my-signed-cert {
"-----BEGIN RSA PRIVATE KEY-----\ABC123
ABC123ABC123ABC123 ... ABC123
----END CERTIFICATE-----\n"; ## SECRET-DATA
}
}
}
}
services {
captive-portal {
interface {
ge-0/0/10.0 {
supplicant multiple;
}
}
secure-authentication https;
custom-options {
post-authentication-url http://www.my-home-page.com;
}
}
}
switch-options {
authentication-whitelist {
00:10:12:e0:28:22/48 {
vlan-assignment vlan1;
}
}
}
Vérification
Pour vérifier que l’authentification du portail captif est configurée et fonctionne correctement, effectuez les opérations suivantes :
- Vérification de l’activation du portail captif sur l’interface
- Vérifiez que le portail captif fonctionne correctement
Vérification de l’activation du portail captif sur l’interface
But
Vérifiez que le portail captif est configuré sur l’interface ge-0/0/10.
Action
Utilisez la commande show captive-portal interface interface-name detaildu mode opérationnel :
user@switch> show captive-portal interface ge-0/0/10.0 detail ge-0/0/10.0 Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Configured CP session timeout: 3600 seconds Server timeout: 15 seconds
Sens
La sortie confirme que le portail captif est configuré sur l’interface ge-0/0/10, avec les paramètres par défaut pour le nombre de tentatives, la période de silence, le délai d’expiration de la session CP et le délai d’expiration du serveur.
Vérifiez que le portail captif fonctionne correctement
But
Vérifiez que le portail captif fonctionne sur le commutateur.
Action
Connectez un client à l’interface ge-0/0/10. À partir du client, ouvrez un navigateur Web et demandez une page Web. La page de connexion au portail captif que vous avez conçue doit s’afficher. Une fois que vous avez entré vos informations de connexion et que vous êtes authentifié auprès du serveur RADIUS, le navigateur Web doit afficher soit la page que vous avez demandée, soit l’URL de post-authentification que vous avez configurée.
Dépannage
Pour résoudre les problèmes liés au portail captif, procédez comme suit :
Dépannage du portail captif
Problème
Le commutateur ne renvoie pas la page de connexion au portail captif lorsqu’un utilisateur connecté à une interface du portail captif sur le commutateur demande une page Web.
Solution
Vous pouvez examiner les compteurs ARP, DHCP, HTTPS et DNS : si un ou plusieurs de ces compteurs ne s’incrémentent pas, cela indique où se situe le problème. Par exemple, si le client ne parvient pas à obtenir une adresse IP, vous pouvez vérifier l’interface du commutateur pour déterminer si le compteur DHCP est incrémenté : si le compteur s’incrémente, le paquet DHCP a été reçu par le commutateur.
user@switch> show captive-portal firewall ge-0/0/10.0 ge-0/0/10.0 Filter name: dot1x_ge-0/0/10 Counters: Name Bytes Packets dot1x_ge-0/0/10_CP_arp 7616 119 dot1x_ge-0/0/10_CP_dhcp 0 0 dot1x_ge-0/0/10_CP_http 0 0 dot1x_ge-0/0/10_CP_https 0 0 dot1x_ge-0/0/10_CP_t_dns 0 0 dot1x_ge-0/0/10_CP_u_dns 0 0