点击返回:自学Aruba之路

自学Aruba5.3.3-Aruba安全认证-有PEFNG 许可证环境的认证配置Captive-Portal

1. Captive-Portal认证配置前言

1.1 新建web认证服务器派生角色

在导入了PEFNG许可证后,系统不会对Web认证的aaa authentication captive-protal自动生成一个对应的role,因此需要为认证前的用户派生一个角色,并设置弹出认证界面。

1.2 新建web认证服务器派生角色

由于Policy“logon-control”中的允许ping的rule,使得web认证的用户接入SSID后,可以ping通其他地址,容易给客户造成误解。因此建议把配置web认证前,把策略“logon-control”中的允许ping关闭。

 (Aruba650) (config) #ip access-list session logon-control

 (Aruba650) (config-sess-logon-control)# no any any "svc-icmp" deny    ## 关闭logon-control角色中ping功能
 (Aruba650) (config) #user-role yk-web           */ 定义Captive-Portal的角色为yk-web

 (Aruba650) (config-role) #session-acl logon-control

 (Aruba650) (config-role) #session-acl captiveportal

 (Aruba650) (config-role) #session-acl vpnlogon

 (Aruba650) (config-role) #captive-portal web-auth

 (Aruba650) (config-role) #exit

2.Captive-Portal认证配置命令

2.1 采用InterDB认证服务器完成Captive-Portal认证

 (Aruba650) (config) #aaa server-group web-server

 (Aruba650) (Server Group "web-server") #auth-server Internal

 (Aruba650) (Server Group "web-server") #set role condition role value-of

 (Aruba650) (Server Group "web-server") #exit

 (Aruba650) (config) #aaa authentication captive-portal web-auth

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #server-group web-server

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #protocol-http    ##采用http进行认证

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #redirect-pause 1 ##认证后自动跳转1s

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #default-role authenticated  ##定义认证后的默认角色,如果没有服务器派生角色产生,用户将得到该角色

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #exit

 (Aruba650) (config) #ip access-list session logon-control

 (Aruba650) (config-sess-logon-control)# no any any "svc-icmp" deny   ##关闭ping

 (Aruba650) (config) #user-role yk-web

 (Aruba650) (config-role) #session-acl logon-control

 (Aruba650) (config-role) #session-acl captiveportal

 (Aruba650) (config-role) #session-acl vpnlogon

 (Aruba650) (config-role) #captive-portal web-auth

 (Aruba650) (config-role) #exit

 (Aruba650) (config) #aaa profile web-profile

 (Aruba650) (AAA Profile "web-profile") #initial-role yk-web          ##认证前的初始化派生角色,跳转到Captive-Portal认证页面

 (Aruba650) (AAA Profile "web-profile") #exit

 (Aruba650) (config) #wlan ssid-profile web-ssid

 (Aruba650) (SSID Profile "web-ssid") #essid webyk

 (Aruba650) (SSID Profile "web-ssid") #exit

 (Aruba650) (config) #wlan virtual-ap web-vap

 (Aruba650) (Virtual AP profile "web-vap") #aaa-profile web-profile

 (Aruba650) (Virtual AP profile "web-vap") #ssid-profile web-ssid

 (Aruba650) (Virtual AP profile "web-vap") #vlan 1

 (Aruba650) (Virtual AP profile "web-vap") #exit

 (Aruba650) (config) #ap-group webyk

 (Aruba650) (AP group "webyk") #virtual-ap web-vap

 (Aruba650) (AP group "webyk") #exit
 (Aruba650) #local-userdb add username test1 password 123456 role web-1     ##建立两两个用户test1 test2 对应派生的角色web-1 web-2

 (Aruba650) #local-userdb add username test2 password 123456 role web-2

2.2 采用LDAP认证服务器完成Captive-Portal认证

2.2.1 LDAP相关的配置

 (Aruba650) #configure terminal

 (Aruba650) (config) #aaa authentication-server ldap ad

 (Aruba650) (LDAP Server "ad") #host 172.18.50.30

 (Aruba650) (LDAP Server "ad") #admin-dn cn=rui,cn=Users,dc=ruitest,dc=com

 (Aruba650) (LDAP Server "ad") #admin-passwd 123456

 (Aruba650) (LDAP Server "ad") #allow-cleartext

 (Aruba650) (LDAP Server "ad") #base-dn cn=Users,dc=ruitest,dc=com

 (Aruba650) (LDAP Server "ad") #preferred-conn-type clear-text

 (Aruba650) (LDAP Server "ad") #exit
 (Aruba650) #aaa test-server pap ad carlos 123456  ##测试是否和LDAP服务器建立连接

 Authentication Successful                         ##认证成功
 (Aruba650) # aaa query-user ad carlos     ##  参看用户carlos,LADP返回的值

 objectClass: top

 objectClass: person

 objectClass: organizationalPerson

 objectClass: user

 cn: carlos

 sn: carlos

 distinguishedName: CN=carlos,CN=Users,DC=ruitest,DC=com ##返回值的用户组,AC可以根据返回值匹配来定义该用户所属的组

 instanceType: 4

 whenCreated: 20180117082111.0Z

 whenChanged: 20180417082815.0Z

 displayName: carlos

 uSNCreated: 368694

 memberOf: CN=tech1,CN=Users,DC=ruitest,DC=com

 uSNChanged: 368706

 name: wang1

 objectGUID: n\240\203\277T\345\002K\235\202y\351\372\240<\376

 userAccountControl: 66048

 badPwdCount: 0

2.2.2 无线相关的配置

 (Aruba650) #configure terminal

 (Aruba650) (config) #aaa server-group web-server

 (Aruba650) (Server Group "web-server") #no auth-server Internal

 (Aruba650) (Server Group "web-server") #auth-server ad

 (Aruba650) (Server Group "web-server") #set role condition memberOf equals CN=tech1,CN=Users,DC=ruitest,DC=com set-value web-1    ##返回组名为test1,匹配到role web-1

 (Aruba650) (Server Group "web-server") #set role condition memberOf equals CN=tech2,CN=Users,DC=ruitest,DC=com set-value web-2

 (Aruba650) (Server Group "web-server") #exit

 (Aruba650) (config) #aaa authentication captive-portal web-auth

 (Aruba650) (Captive Portal Authentication Profile "web-auth") # server-group web-server

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #protocol-http

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #redirect-pause 1

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #default-role authenticated  ##定义认证后的默认角色,如果没有服务器派生角色产生,用户将得到该角色

  (Aruba650) (Captive Portal Authentication Profile "web-auth") #exit

 (Aruba650) (config) #user-role yk-web

 (Aruba650) (config-role) #session-acl logon-control

 (Aruba650) (config-role) #session-acl captiveportal

 (Aruba650) (config-role) # session-acl vpnlogon

 (Aruba650) (config-role) #captive-portal web-auth

 (Aruba650) (config-role) #exit

 (Aruba650) (config) #aaa profile web-profile

 (Aruba650) (AAA Profile "web-profile") #initial-role yk-web  ##认证前的初始化派生角色,跳转到Captive-Portal认证页面

 (Aruba650) (AAA Profile "web-profile") #exit

 (Aruba650) (config) #wlan ssid-profile web-ssid

 (Aruba650) (SSID Profile "web-ssid") #essid web

 (Aruba650) (SSID Profile "web-ssid") #exit

 (Aruba650) (config) #wlan virtual-ap web-vap

 (Aruba650) (Virtual AP profile "web-vap") #aaa-profile web-profile

 (Aruba650) (Virtual AP profile "web-vap") #ssid-profile web-ssid

 (Aruba650) (Virtual AP profile "web-vap") #vlan 1

 (Aruba650) (Virtual AP profile "web-vap") #exit

 (Aruba650) (config) #ap-group webyk

 (Aruba650) (AP group "webyk") #virtual-ap web-vap

 (Aruba650) (AP group "webyk") #exit

2.3 采用Radis认证服务器完成Captive-Portal认证

2.3.1 Radis相关的配置

 (Aruba650) #configure terminal

 (Aruba650) (config) #aaa authentication-server radius ias

 (Aruba650) (RADIUS Server "ias") #host 172.18.50.88

 (Aruba650) (RADIUS Server "ias") #key 123456

 (Aruba650) (RADIUS Server "ias") #exit
 (Aruba650) #aaa test-server mschapv2 ias carlos 123456  ##测试是否和IAS服务器建立连接

 Authentication Successful                               ##认证成功

AS的远程访问策略中,需要注意的设置如下:

2.3.2 无线相关的配置

 (Aruba650) #configure terminal

 (Aruba650) (config) #aaa server-group web-server

 (Aruba650) (Server Group "web-server") #no auth-server Internal

 (Aruba650) (Server Group "web-server") #auth-server ad

 (Aruba650) (Server Group "web-server") #set role condition role value-of

 (Aruba650) (Server Group "web-server") #exit

 (Aruba650) (config) #aaa authentication captive-portal web-auth

 (Aruba650) (Captive Portal Authentication Profile "web-auth") # server-group web-server

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #protocol-http

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #redirect-pause 1

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #default-role authenticated  ##定义认证后的默认角色,如果没有服务器派生角色产生,用户将得到该角色

 (Aruba650) (Captive Portal Authentication Profile "web-auth") #exit

 (Aruba650) (config) #user-role yk-web

 (Aruba650) (config-role) #session-acl logon-control

 (Aruba650) (config-role) #session-acl captiveportal

 (Aruba650) (config-role) # session-acl vpnlogon

 (Aruba650) (config-role) #captive-portal web-auth

 (Aruba650) (config-role) #exit

 (Aruba650) (config) #aaa profile web-profile

 (Aruba650) (AAA Profile "web-profile") #initial-role yk-web  ##认证前的初始化派生角色,跳转到Captive-Portal认证页面

 (Aruba650) (AAA Profile "web-profile") #exit

 (Aruba650) (config) #wlan ssid-profile web-ssid

 (Aruba650) (SSID Profile "web-ssid") #essid web

 (Aruba650) (SSID Profile "web-ssid") #exit

 (Aruba650) (config) #wlan virtual-ap web-vap

 (Aruba650) (Virtual AP profile "web-vap") #aaa-profile web-profile

 (Aruba650) (Virtual AP profile "web-vap") #ssid-profile web-ssid

 (Aruba650) (Virtual AP profile "web-vap") #vlan 1

 (Aruba650) (Virtual AP profile "web-vap") #exit

 (Aruba650) (config) #ap-group webyk

 (Aruba650) (AP group "webyk") #virtual-ap web-vap

 (Aruba650) (AP group "webyk") #exit

自学Aruba5.3.3-Aruba安全认证-有PEFNG 许可证环境的认证配置Captive-Portal的更多相关文章

  1. 自学Aruba5.3.1-Aruba安全认证-有PEFNG 许可证环境的认证配置OPEN、PSK

    点击返回:自学Aruba之路 自学Aruba5.3.1-Aruba安全认证-有PEFNG 许可证环境的认证配置OPEN.PSK OPEN.PSK都需要设置Initial Role角色, 但是角色派生完 ...

  2. 自学Aruba5.3.2-Aruba安全认证-有PEFNG 许可证环境的认证配置MAC

    点击返回:自学Aruba之路 自学Aruba5.3.2-Aruba安全认证-有PEFNG 许可证环境的认证配置MAC 1. MAC认证配置前言 建议把认证通过前的初始化role定义为denyall,否 ...

  3. 自学Aruba5.3.4-Aruba安全认证-有PEFNG 许可证环境的认证配置802.1x

    点击返回:自学Aruba之路 自学Aruba5.3.4-Aruba安全认证-有PEFNG 许可证环境的认证配置802.1x 1. 采用InterDB认证服务器完成802.1X认证 (Aruba650) ...

  4. 自学Aruba5.2-Aruba安全认证-有PEFNG 许可证环境的角色策略管理

    点击返回:自学Aruba之路 自学Aruba5.2-Aruba安全认证- 有PEFNG 许可证环境的角色策略管理 导入许可后,可以对Role进行配置: 1. 系统自带的Role的可以修改的属性: 2. ...

  5. 自学Aruba5.1-Aruba 基于角色(role)的策略管理(重点)

    点击返回:自学Aruba之路 自学Aruba5.1-Aruba 基于角色(role)的策略管理(重点) 1. 角色Role介绍 在ArubaOS中,用户(User)指的是已经完成连接,并获取到IP地址 ...

  6. 自学Aruba5.1.1-基于时间的Role定义

    点击返回:自学Aruba之路 自学Aruba5.1.1-基于时间的Role定义 可以配置一条rule是基于时间来做限制 具体配置时间(Time ranges)步骤如下: 1 建立一个绝对时间范围,命令 ...

  7. 自学Aruba5.1.2-带宽限制

    点击返回:自学Aruba之路 自学Aruba5.1.2-带宽限制 1 针对role --可以限制所有数据     注:带宽限制需要PEFNG许可证 单位可以是kbits或是mbits 可以是上传(up ...

  8. 自学Aruba1.5-Aruba体系结构-Aruba通讯过程

    点击返回:自学Aruba之路 自学Aruba1.5-Aruba体系结构-Aruba通讯过程 1. Aruba通讯过程 Aruba 通讯过程: ①AP连接到现有网络的交换机端口,加电起动后,获得IP地址 ...

  9. AWS认证权威考经(助理级认证篇)

    笔者作为AWS官方认证的早期通过者,已经拿到了AWS的助理级解决方案架构师.开发者认证,系统管理员认证.这几年也陆续指导公司多人通过AWS的认证.本篇文章将分享如何通过自学的方式轻松通过AWS的助理级 ...

随机推荐

  1. 汇编 SETG,SETL ,SETGE, SETLE指令

    一.SETG SETZ(SETE) //取ZF标志位值 放到寄存器里 SETNZ(SETNE) == > SETG //setg cl//ZF==0 并 SF==0 并 OF==0 时 cl=1 ...

  2. .NET持续集成与自动化部署之路第一篇——半天搭建你的Jenkins持续集成与自动化部署系统

    .NET持续集成与自动化部署之路第一篇(半天搭建你的Jenkins持续集成与自动化部署系统) 前言     相信每一位程序员都经历过深夜加班上线的痛苦!而作为一个加班上线如家常便饭的码农,更是深感其痛 ...

  3. Terraform:简介

    在 DevOps 实践中,基础设施即代码如何落地是一个绕不开的话题.像 Chef,Puppet 等成熟的配置管理工具,都能够满足一定程度的需求,但有没有更友好的工具能够满足我们绝大多数的需求?笔者认为 ...

  4. 2018年高教社杯全国大学生数学建模竞赛D题解题思路

    题目 D题   汽车总装线的配置问题 一.问题背景 某汽车公司生产多种型号的汽车,每种型号由品牌.配置.动力.驱动.颜色5种属性确定.品牌分为A1和A2两种,配置分为B1.B2.B3.B4.B5和B6 ...

  5. MRT与MRTS工具官宣退休,推荐使用HEG

    今天错误的删除搞丢了之前下载的MRT与MRTS工具,浏览Modis官网下载时发现找不到了,后来在其官网上发现了这则通知,原来早已停止更新的MRT这次彻底退修了.通知原文如下~~~ The downlo ...

  6. 记录网件r6220路由器登录配置

    1.设置本地连接为自动获取ip和DNS地址 2.使用网线连接电脑和路由器的LAN口 3.http://routerlogin.net/BRS_index.htm 4.用户名和密码: admin pas ...

  7. “北航学堂”M2阶段postmortem

    “北航学堂”M2阶段postmortem 设想和目标 1. 我们的软件要解决什么问题?是否定义得很清楚?是否对典型用户和典型场景有清晰的描述? 这个问题我们在M1阶段的时候就已经探讨的比较明确了,就是 ...

  8. 个人博客作业-Week1

    1.五个问题 1) 团队编程中会不会因为人们意见的分歧而耽误时间,最终导致效率降低? 2)软件团队中测试的角色应该独立出来吗 3)对于团队编程,如果没有时间测试他人的新功能,因此就不添加该新功能,那会 ...

  9. Beta 总结

    前言 作业发布 组长 成员 贡献分 ★ 530 雨勤 14 311 旭 15 403 俊 16 223 元 14 437 海辉 17 7天 Beta 冲刺站立会议博客链接汇总 Beta 冲刺 (1/7 ...

  10. js和JQuery区别

    this.class="btn-default btn-info"; $(this).toggleClass("btn-default btn-info"); ...