Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Аутентификация в центре сети

Веб-аутентификация предоставляет доступ к сети для пользователей путем перенаправления веб-браузера клиента на центральный веб-сервер аутентификации (CWA-сервер), который обрабатывает полный процесс входа. Веб-аутентификацию также можно использовать в качестве метода аутентификации при переключениях для обычных пользователей сети, у которых есть устройства с поддержкой 802.1X, но не сумевший аутентификация по другим вопросам, например, просроченные сетевые учетные данные.

Понимание аутентификации по центральной сети

Веб-аутентификация перенаправляет запросы веб-браузера на страницу входа, которая требует ввода пользователем имени пользователя и пароля. После успешной аутентификации пользователю будет разрешен доступ к сети. Веб-аутентификация полезна для предоставления доступа в сеть временным пользователям, таким как посетители корпоративного сайта, которые пытаются получить доступ к сети с помощью устройств, не включенных 802.1X. Веб-аутентификацию также можно использовать в качестве метода аутентификации при переключениях для обычных пользователей сети, у которых есть устройства с поддержкой 802.1X, но не сумевший аутентификация по другим вопросам, например, просроченные сетевые учетные данные.

Веб-аутентификацию можно локально сделать на коммутаторе с помощью Captive Portal, но для этого необходимо, чтобы страницы web-портала были настроены на каждом коммутаторе, используемом в качестве устройства сетевого доступа. Аутентификация центральной сети (CWA) обеспечивает эффективность и масштабирование благодаря перенаправлению веб-браузера клиента на центральный сервер веб-аутентификации (CWA Server), который обрабатывает полный процесс входа.

Процесс аутентификации по центральной сети

Аутентификация центральной сети вызывается после того, как на хосте не RADIUS аутентификация. Хост может сначала попытаться аутентификацию, используя аутентификацию 802.1X, но затем должен RADIUS аутентификацию MAC перед попыткой центральной веб-аутентификации. Коммутатор, работающий в качестве RADIUS, обменивается сообщениями с сервером аутентификации, авторизации и учета (AAA). После RADIUS mac-аутентификации коммутатор получает сообщение Access-Accept от AAA доступа. Это сообщение включает в себя фильтр динамического брандмауэра и URL-адрес перенаправления для аутентификации центральной сети. Коммутатор применяет фильтр, который позволяет хосту получать IP-адрес, и использует URL-адрес для перенаправления хоста на страницу веб-аутентификации.

Хосту будет предложено входить в систему и может быть предложено принять политику допустимого использования. В случае успешной веб-аутентификации AAA сервер отправляет сообщение Об изменении авторизации (CoA), которое обновляет условия авторизованного сеанса. Это позволяет аутентификации обновлять фильтр или назначение VLAN, примененное к контролируемому порту, чтобы разрешить хосту доступ к LAN.

Последовательность событий центральной веб-аутентификации: Рис. 1

  1. Хост, подключенный к коммутатору (аутентиатор), инициирует аутентификацию MAC RADIUS аутентификацию.

  2. Не RADIUS аутентификация MAC-RADIUS. Вместо отправки коммутатору сообщения Access-Reject сервер отправляет AAA Access-Accept, которое содержит динамический фильтр межсетевых экранов и URL-адрес перенаправления CWA.

  3. Для хоста, введя условия фильтра, разрешается отправлять запросы DHCP.

  4. Хост получает IP-адрес и данные DNS от DHCP-сервера. Сервер AAA инициирует новый сеанс с уникальным ID сеанса.

  5. Хост открывает веб-браузер.

  6. Аутентификациоатор отправляет хосту URL-адрес перенаправления CWA.

  7. Хост перенаправляется на сервер CWA и запросит учетные данные для входа.

  8. Хост введет имя пользователя и пароль.

  9. После успешной веб-аутентификации сервер AAA отправляет сообщение CoA для отправки фильтра или назначения VLAN, примененного на контролируемом порту, что позволяет хосту получить доступ к LAN.

  10. Он отвечает сообщением CoA-ACK и отправляет mac-RADIUS аутентификацию на AAA серверу.

  11. Сервер AAA соответствует ID сеанса соответствующей политике доступа и отправляет сообщение Access-Accept для аутентификации хоста.

Рис. 1: Процесс аутентификации по центральной сетиПроцесс аутентификации по центральной сети

Динамические фильтры межсетевых экранов для центральной веб-аутентификации

Аутентификация на центральном веб-сервере использует динамические фильтры межсетевых экранов, которые централизованно определяются на AAA сервера и динамически применяются к запрашивает запрашивающий аутентификацию сервер. Фильтр позволяет хосту получать IP-адрес динамически, используя DHCP. Фильтры определяются с помощью RADIUS, которые включаются в сообщения Access-Accept, отосланные с сервера. Фильтры могут быть определены с помощью Juniper-переключения-фильтра, который является атрибутом, определенным поставщиком (VSA), или атрибута Filter-ID, который является IETF RADIUS атрибутом.

Чтобы использовать Juniper-Juniper-фильтра VSA для центральной веб-аутентификации, необходимо настроить фильтр с правильными терминами, которые позволяют использовать IP-адрес назначения сервера CWA. Эта конфигурация делается непосредственно на AAA сервере. Чтобы использовать атрибут Filter-ID для центральной веб-аутентификации, введите значение, JNPR_RSVD_FILTER_CWA на AAA-сервере. Термины фильтра для этого атрибута внутренне определены для центральной веб-аутентификации, поэтому дополнительная настройка не требуется. Дополнительные сведения о настройке динамических фильтров межсетевых экранов для аутентификации по центральной сети см. в "Настройка центральной веб-аутентификации".

Перенаправление URL для проверки подлинности в центре сети

При проверке подлинности в центре веб-сервера аутентификация перенаправляет запрос веб-браузера хоста на сервер CWA с помощью URL-адреса перенаправления. После перенаправления сервер CWA завершает процесс входа. URL-адрес перенаправления для проверки подлинности в центре сети можно настроить на AAA или на аутентификации. URL-адрес перенаправления наряду с фильтром динамического брандмауэра должны присутствовать, чтобы инициировать процесс аутентификации центрального веб-сайта после сбоя аутентификации MAC RADIUS.

URL-адрес перенаправления может быть централизованно определен на AAA с помощью vsA Juniper-CWA-Redirect VSA, который имеет атрибут номер 50 в словаре Juniper RADIUS. URL-адрес перенастраивался с сервера AAA коммутатору в том же RADIUS Access-Accept, которое содержит динамический фильтр межсетевых экранов. Можно также настроить URL-адрес перенаправления локально на интерфейсе хоста, используя интерфейс командной строки на уровне redirect-urledit protocols dot1x authenticator interface interface-name [] иерархии. Дополнительные сведения о настройке URL-адреса перенаправления см. в "Настройка аутентификации по центральной сети".

Настройка центральной веб-аутентификации

Аутентификация в центре сети – это метод аутентификации, при котором веб-браузер хоста перенаправляется на центральный сервер веб-аутентификации (CWA). Сервер CWA предоставляет веб-портал, на котором пользователь может ввести имя пользователя и пароль. Если эти учетные данные подтверждаются сервером CWA, пользователь аутентификация и ему разрешен доступ в сеть.

Аутентификация центральной сети вызывается после того, как на хосте не RADIUS аутентификация. Коммутатор, работающий в качестве аутентификации, получает от RADIUS Access-Accept сообщение от AAA, которое включает в себя динамический фильтр межсетевых экранов и URL-адрес перенаправления для центральной веб-аутентификации. Для запуска процесса аутентификации на центральном веб-сервере должны присутствовать фильтр динамического межсетевых экрана и URL-адрес перенаправления.

Настройка динамических фильтров брандмауэра для центральной веб-аутентификации

Динамические фильтры межсетевых экранов используются при центральной веб-аутентификации, чтобы разрешить хосту получать IP-адрес с DHCP-сервера, который разрешает хосту доступ к сети. Фильтры определяются на сервере AAA с помощью RADIUS, которые отправляются аутентификациоатору в сообщении Access-Accept. Фильтр можно определить с помощью Juniper-переключения-фильтра, который является атрибутом, специфическим для поставщика (VSA), или атрибутом Filter-ID, который является IETF RADIUS атрибутом.

  • Чтобы использовать vsA Juniper-фильтра коммутации для центральной веб-аутентификации, необходимо настроить термины фильтра непосредственно на AAA сервере. Фильтр должен включать термин, который должен соответствовать IP-адресу назначения сервера CWA с allow действием.

    Например:

    Прим.:

    Коммутатор не решает DNS-запросы для URL-адреса перенаправления. Необходимо настроить Juniper-Juniper-фильтра коммутатора, чтобы разрешить IP-адрес назначения сервера CWA.

  • Чтобы использовать атрибут Filter-ID для центральной веб-аутентификации, JNPR_RSVD_FILTER_CWA в качестве значения атрибута на AAA сервере. Термины фильтра для этого атрибута внутренне определены для центральной веб-аутентификации, поэтому дополнительная настройка не требуется.

    Например:

Дополнительные сведения о настройке динамических фильтров межсетевых экранов на AAA см. в документации по вашему AAA серверу.

Настройка URL-адреса перенаправления для аутентификации по центральной сети

При проверке подлинности в центре веб-сервера аутентификация перенаправляет запрос веб-браузера хоста на сервер CWA с помощью URL-адреса перенаправления. URL-адрес перенаправления для проверки подлинности в центре сети можно настроить на AAA или локально на интерфейсе хоста.

  • Чтобы настроить URL-адрес перенаправления на AAA, используйте Juniper-CWA-Redirect VSA, который имеет атрибут номер 50 в словаре Juniper RADIUS. URL-адрес перенастраивался с сервера AAA коммутатору в том же RADIUS Access-Accept, которое содержит динамический фильтр межсетевых экранов.

    Например:

    Прим.:

    Когда для фильтра JNPR_RSVD_FILTER_CWA межсетевой экрана используется специальный атрибут Filter-ID, URL-адрес перенаправления должен включать IP-адрес сервера AAA, https://10.10.10.10 например.

  • Для локальной настройки URL-адреса перенаправления на интерфейсе хоста используйте следующий интерфейс командной строки:

    Например:

Инструкции по настройке центральной веб-аутентификации

Аутентификация по центральной сети запускается после сбоя аутентификации MAC-RADIUS, когда имеются URL-адрес перенаправления и фильтр динамического брандмауэра. URL-адрес перенаправления и фильтр динамического брандмауэра можно настроить в любой из следующих комбинаций:

  1. Сервер AAA отправляет аутентификацию как URL-адрес перенаправления CWA, так и фильтр динамического межсетевых экранов. URL-адрес перенаправления настраивается на AAA с помощью VSA Juniper-CWA-Redirect VSA, а динамический фильтр брандмауэра настраивается на AAA с помощью vsA Juniper-switching-Filter. В этом случае фильтр должен быть настроен так, чтобы разрешить IP-адрес назначения сервера CWA.

  2. Сервер AAA отправляет фильтр динамического брандмауэра на аутентификацию, а URL-адрес перенаправления настраивается локально на порте хоста. URL-адрес перенаправления настраивается на аутентиаторе с помощью интерфейс командной строки, а динамический фильтр межсетевых экранов настраивается на AAA с помощью redirect-url vsA Juniper-коммутации-фильтра. В этом случае фильтр должен быть настроен так, чтобы разрешить IP-адрес назначения сервера CWA.

  3. Сервер AAA отправляет аутентификацию как URL-адрес перенаправления CWA, так и фильтр динамического межсетевых экранов. URL-адрес перенаправления настраивается на AAA с помощью vsA Juniper-CWA-Redirect VSA, а динамический фильтр брандмауэра настраивается на AAA с помощью атрибута Filter-ID со значением JNPR_RSVD_FILTER_CWA. В данном случае URL-адрес перенаправления должен содержать IP-адрес сервера CWA.

  4. Сервер AAA отправляет фильтр динамического брандмауэра на аутентификацию, а URL-адрес перенаправления настраивается локально на порте хоста. URL-адрес перенаправления настраивается на аутентиаторе с помощью интерфейс командной строки, а динамический фильтр межсетевых экранов настраивается на AAA с помощью атрибута Filter-ID со значением redirect-url JNPR_RSVD_FILTER_CWA. В данном случае URL-адрес перенаправления должен содержать IP-адрес сервера CWA.