Huawei AC6005内置portal+外部LDAP认证授权配置

最新推荐文章于 2024-09-23 12:31:53 发布
最新推荐文章于 2024-09-23 12:31:53 发布
阅读量5.3k 收藏 8
点赞数
分类专栏: NETWORK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljy1221/article/details/105675632
版权

AC6005内置portal+外部LDAP认证授权配置

1.配置说明

  1. 配置了多个SSID适应不同场景:
    内部用户:因为用户设备都入域了,配置WPA-WPA2 + 802.1x,直接802.1x认证
    外部访客:配置了WPA-WPA2认证
    其他内部用户:有的用户设备没有入域,但又想访问内网,所以配置了Open + Portal方式
  2. Portal服务器:
    因为portal认证的用户是极少数的,所以就不考虑外置portal了,但也有几个不错的开源portal可以使用。
  3. LDAP认证:
    配置过程中发现不仅支持LDAP认证授权,还可以用Windows AD进行认证授权,这里主要说下LDAP的方式,AD认证方式配置过程是类似的。
  4. AC版本:V200R008C10SPC300

2.组网需求

AC对接入用户使用PORTAL+LDAP的认证方式;授权方式为LDAP服务器授权。
AC到LDAP服务器要路由可达,端口号为389。

3.官网文档参考

之前咨询了集成供应商售后工程师,说不支持这种方式,但支持外置portal. 后来因为看到配置页面可以配置LDAP和AD服务器验证,又咨询了华为WLAN人工客服,一开始说这个配置不能实现,后来讨论一番后,说此配置理论上可以实现,但没有具体操作实例,可以参考一下内置PORTAL+MAC文档:

配置采用LDAP方式进行认证和授权示例
https://support.huawei.com/hedex/hdx.do?lib=EDOC1100096148AZI0723G&docid=EDOC1100096148&lang=zh&v=05&tocLib=EDOC1100096148AZI0723G&tocV=05&id=ZH-CN_CONCEPT_0176913627&tocURL=resources%252fdc%252fdc%255fcfg%255fusrmgt%255fcd%252ehtml&p=t&fe=1&ui=3&keyword=%2525252525u7528%2525252525u6237%2525252525u63a5%2525252525u5165%2525252525u4e0e%2525252525u8ba4%2525252525u8bc1%2525252525u914d%2525252525u7f6e

4.配置步骤

前面AC与AP之间传输配置这里就不再描述了。

  • 配置LDAP服务器模板、认证方案和授权方案。

    [AC] ldap-server template template1
    [AC-ldap-template1] ldap-server authentication X.X.X.X 389
    [AC-ldap-template1] ldap-server authentication base-dn ou=domain,dc=domain,dc=com
    [AC-ldap-template1] ldap-server authentication manager cn=Administrator,cn=users,DC=domain,DC=com password password
    [AC-ldap-template1] quit

    这里配置好之后用test-aaa命令测试下LDAP服务器是否配置正确。
    test-aaa uasename password ldap-template template1
    Info: Server detection succeeded.

  • 配置认证方案authen-sch,认证模式为LDAP认证。

    [AC] aaa
    [AC-aaa] authentication-scheme authen-sch
    [AC-aaa-authen-authen-sch] authentication-mode ldap
    [AC-aaa-authen-authen-sch] quit

  • 配置授权方案author-sch,授权模式为进行LDAP授权。

    [AC-aaa] authorization-scheme author-sch
    [AC-aaa-author-author-sch] authorization-mode ldap
    [AC-aaa-author-author-sch] quit
    [AC-aaa] quit

  • 配置PORTAL接入模板“m1”

    [AC] portal-access-profile name m1
    [AC-portal-access-profile-m1] quit

  • 配置认证模板“p1”

    [AC] authentication-profile name p1
    [AC-authentication-profile-p1] portal-access-profile m1
    [AC-authentication-profile-p1] authentication-scheme authen-sch
    [AC-authentication-profile-p1] authorization-scheme author-sch
    [AC-authentication-profile-p1] ldap-server template1
    [AC-authentication-profile-p1] quit

  • 配置WLAN业务参数

    创建名为“wlan-security”的安全模板,并配置安全策略。缺省情况下,安全策略为open方式的开放认证。
    [AC] wlan
    [AC-wlan-view] security-profile name wlan-security
    [AC-wlan-sec-prof-wlan-security] quit

    创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-net”。
    [AC-wlan-view] ssid-profile name wlan-ssid
    [AC-wlan-ssid-prof-wlan-ssid] ssid wlan-net
    [AC-wlan-ssid-prof-wlan-ssid] quit

    创建名为“wlan-vap”的VAP模板,配置业务数据转发模式、业务VLAN,并且引用安全模板、SSID模板和认证模板。
    [AC-wlan-view] vap-profile name wlan-vap
    [AC-wlan-vap-prof-wlan-vap] forward-mode tunnel
    [AC-wlan-vap-prof-wlan-vap] service-vlan vlan-id XXX
    [AC-wlan-vap-prof-wlan-vap] security-profile wlan-security
    [AC-wlan-vap-prof-wlan-vap] ssid-profile wlan-ssid
    [AC-wlan-vap-prof-wlan-vap] authentication-profile p1
    [AC-wlan-vap-prof-wlan-vap] quit

    配置AP组引用VAP模板,AP上射频0和射频1都使用VAP模板“wlan-vap”的配置。
    [AC-wlan-view] ap-group name ap-group1
    [AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 0
    [AC-wlan-ap-group-ap-group1] vap-profile wlan-vap wlan 1 radio 1
    [AC-wlan-ap-group-ap-group1] return

5.疑难解答

因为之前test-aaa是通过的,所以搜索到新建的SSID,portal页面输入域账号和密码之后提示密码错误,再次test-aaa通过验证,debugging一下ldap和portal日志之后,发现几行报错:

Apr 21 2020 13:32:44.854.1+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Evt):] Read a message of authentication request from AAA(Username:XXXXXX, UserAttribute:sAMAccountName, isExist:0, ulSTNo: 0, AccessType:24) Apr 21 2020 13:32:44.854.2+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Evt):] DTeamTotal:0, DTeamName:, DTeamFilter:. Apr 21 2020 13:32:44.854.3+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Evt):] status change to LDAP_FLAG_NORREQ_INIT. Apr 21 2020 13:32:44.854.4+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Pkt):] LDAP Make Pack filter is sAMAccountName. Apr 21 2020 13:32:44.854.5+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Pkt):] server type=0, username=XXXXXX, UserDN: Apr 21 2020 13:32:44.854.6+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Pkt):] Make a packet of user bind (UserDN:XXXXXX@domain.com) Apr 21 2020 13:32:44.854.7+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Pkt):] status change to LDAP_FLAG_REQ_USR_BINDED Apr 21 2020 13:32:44.854.8+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Evt):] Make user bind packet OK. Apr 21 2020 13:32:44.854.9+08:00 AC6005 LDAP/7/DEBUG:LDAP Proc AuthAndSearchReq: ulSTNo = 0, server ip is 0xc0a80f0a, port is 389. Apr 21 2020 13:32:44.864.1+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Evt):] Connect the LDAP server(Server IP:X.X.X.X,port:389) Apr 21 2020 13:32:44.864.2+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Pkt):] Send packet to server OK(Server IP:X.X.X.X,port:389,Socket=1) Apr 21 2020 13:32:44.864.3+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Evt):] LDAP Proc Auth And Search Req is OK. Apr 21 2020 13:32:44.964.1+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Err):] Bind failed. Error number is [49]. Apr 21 2020 13:32:44.964.2+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Evt):] Receive a packet bind fail. Apr 21 2020 13:32:44.964.3+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Pkt):] Receive a packet of user bind result fail. Apr 21 2020 13:32:44.964.4+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Err):] BaseDN is empty. Apr 21 2020 13:32:44.964.5+08:00 AC6005 LDAP/7/DEBUG:[LDAP(Err):] authentication rejected.

后来查到因为目前Windows AD类型的LDAP服务器没有配置“使用可逆的加密存储密码”,所以不能使用CHAP认证,尝试将authentication-method改为PAP,用户成功上线。

微软相关文档参考:
用可还原的加密来存储密码
https://docs.microsoft.com/zh-cn/windows/security/threat-protection/security-policy-settings/store-passwords-using-reversible-encryption

注意:PAP验证方式用户的密码是以明文的形式传输的,非常不安全,慎用!

loothif
关注
专栏目录
无线ldap认证服务器,华为AC6605对接OpenLDAP实现无线Portal认证
weixin_34452086的博客
08-05 1092
AAA认证#aaaauthentication-scheme ldapauthentication-mode ldapauthorization-scheme ldapauthorization-mode ldap#配置LDAP服务器模板,并在模板内配置服务器的IP地址、端口号、Base DN以及管理员的区别名和管理员密码。#ldap-server template limildap-server...
华为ac配置radius认证服务器_华为AC配置802.1X认证(示例代码)
weixin_42550614的博客
01-13 1033
system-view[AC6005]vlan batch 10 to 14[AC6005]int vlan 10[AC6005-Vlanif10]ip address 192.168.10.254 24[AC6005-Vlanif10]quit[AC6005]capwap source interface vlan 10[AC6005]wlan[AC6005-wlan-view]ap auth-...
AC6005内置portal匿名登录
weixin_34413357的博客
11-14 660
<AC6005>system-view [AC6005]interface loopback 0[AC6005-LoopBack0]ip address 10.1.1.1 32[AC6005-LoopBack0]quit[AC6005]http secure-server ssl-policy default_policy[AC6005]portal local-...
OpenWrt portal认证
最新发布
俺不懂真郁闷
09-23 1398
44380233。
外部Portal认证系统 对接 华为 H3C 等设备实现 LDAP AD域 网络准入实名认证
OpenPortal认证计费系统
10-17 3528
外部Portal认证系统 对接 华为 H3C 等设备 实现 LDAP AD域 网络准入实名认证 在企业园区网络中,需要结合LDAP AD域实现企业内部人员Portal实名认证网络安全准入。方案中企业网络设备可以是华为(如AC6005、AC6605、三层交换机)或者H3C新华三(WX2510H、WX3540H、WX2560H)或所有支持Portal协议、CMCC协议的任何网络设备。 网络设备结合OpenPortal认证计费系统做好Portal认证及Radius认证计费AA...
由浅入深玩转华为WLAN—11 安全认证配置(4)AC内置Portal认证(网页认证
网络之路Blog(其他平台同名)
03-09 3910
简介 之前介绍了4种安全认证方式了,这次介绍另外一种比较常用的,华为 H3C称为Protal认证,也就是平常讲的网页认证,它的思路就是可以直接通过open的方式连接到AP上,然后在打开任意网站的时候,它会自动跳转到认证页面,需要输入用户名密码后,才能访问外网,当然这里使用的是AC内置的Protal,也可以使用专门的Protal服务器,那会更加强大,注意,AC的版本需要到V2R3后才有内置的,支持1000个用户。 拓扑(省略) 拓扑其实很简单的,跟平常的无线拓扑一样,可以参考之前的文章即可,这里主要讲解
无线ldap认证服务器,结合LDAP服务器进行portal认证配置案例
weixin_34850061的博客
08-05 1341
查看LDAP服务器首先登录LDAP服务器,可以看到h3c.com下有一个组织单元”工程部”,其下有两个用户“gongcheng01”和“gongcheng02”。如下图:并且管理员administrator位于h3c.com下的Users下,如下图:按照此结构,接下来配置IMC。配置接入服务首先登录iMC页面,进入【用户-接入策略管理-接入策略配置】中创建接入策略“policy01”,如下图所示:...
ASE无线认证服务器,华为ac配置portal认证服务器
weixin_28932089的博客
08-06 1684
华为ac配置portal认证服务器 内容精选换一换配置云AP的SSID时支持的认证方式多达13种,但是常用且推荐使用的认证方式有:密码认证(PSK):设置无线终端接入无线网络时需要输入的密码。Portal认证:iMaster NCE-Campus作为Portal服务器。用户名密码认证:提前录入用于认证的用户名和密码,也可以由用户通过Portal推送页面自行注册。短信认证:必须配置对接的短本节操作介...
华为控制器AC配置文档
07-06
4. **AC6605 Portal认证配置**:AC6605是华为的一款高性能无线控制器,支持多种认证方式。配置Portal认证时,需要设置认证服务器(如Radius或LDAP)、定义认证界面、设置策略以及对接入设备的配置。理解这些步骤有助...
华为AC的WEB配置(老版本)
06-25
登录华为AC控制器交换和AC的WEB配置需要的命令。案例为以前老版本,新版本无需配置就有web.
华为H3C交换机+Radius+mysql Radius认证认证方案,嵌入式客户端代码,配置(上:认证方案)
liangzai041991的专栏
07-20 5473
最近做的一个嵌入式Radius认证方案,分上中下,上:认证方案,中:嵌入式客户端代码 下:交换机和Radius配置 技术交流:1532709892@qq.com (一)Radius认证方案说明: 当交换机设置成需要认证模式,交换机只允许认证协议包通过交换机,其他网络数据包不允许通过,直到认证通过,交换机开放端口。 Radius认证方案是一个由客户端,设备和服务器三个实体组成的解决方案。客户...
Mongodb集成LDAP授权
无风听海
08-08 334
一、环境简介 Mongodb enterprise v4.0.16 OpenLDAP v2.4.44 二、Mongodb集成LDAP授权过程 客户端指定某种外部验证方式链接Mongodb; Mongodb根据配置中设置的ip、用户、密码等来绑定LDAP服务器; Mongodb根据配置的查询模板构建查询语句,并向LDAP服务器发送请求获得验证用户所属的用户组信息; LDAP服务器执行查询并返回用户组的信息; Mongodb在admin数据库中查找跟用户组对应的role,并对应的权限授权给当前用户; 客户端
华为ac配置radius认证服务器_华为无线控制器启用802.1X认证配置
weixin_39653733的博客
12-22 1743
第一步、配置基础配置system-view[AC6005]vlan batch 10 to 14[AC6005]int vlan 10[AC6005-Vlanif10]ip address 192.168.10.254 24[AC6005-Vlanif10]quit[AC6005]int g0/0/1[AC6005-GigabitEthernet0/0/1]port link-type trunk...
使用 LDAP 配置Portal
rongc的专栏
09-21 2039
Portal for Arcgis中集成LDAP
授权管理-LDAP-介绍与环境搭建
边走边学
04-14 3826
LDAP介绍 还是先来百度百科介绍。 LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPma...
Portal服务器开源无线,OpenPortalServer开源Portal服务 Web认证服务器 支持华为 H3C 锐捷设备...
weixin_33502772的博客
08-07 2956
​OpenPortalServer开源Portal服务 Web认证服务器 支持华为 H3C 锐捷设备OpenPortal官方交流群 119688084该软件是基于华为AC/BAS PORTAL协议的服务端程序,Java编写,开源。最新源代码下载地址:https://github.com/lishuocool https://git.oschina.net/SoftLeeSon/-------...
openportal开源porttal认证资料
qq_37797316的博客
10-30 906
https://www.openportal.com.cn/thread-1407-1-1.html https://www.openportal.com.cn/forum-36-1.html
认证授权系列主题: LDAP学习笔记总结
Larry的博客
03-10 2551
本文转自:博客园 一、LDAP概念 LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。 LDAP是一个用
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值