Web-аутентификация в ProCurve
Материал из Xgu.ru
- Автор: Наташа Самойленко
На той странице описаны принципы работы, настройка и просмотр настроек Web-аутентификации на коммутаторах HP ProCurve. Некоторые общие настройки, которые относятся не только к Web-аутентификации, но и другим методам (MAC- и 802.1X) описаны на странице Аутентификация при доступе к сети. В том числе там описаны:
- Настройка параметров RADIUS-сервера
- Параметры и таймеры аутентификации
- Правила динамического размещения порта коммутатора в VLAN'е по результатам аутентификации
- Короткий URL: ProCurve Web authentication
Содержание |
[править] Принцип работы
Web-аутентификация — метод аутентификации, который предоставляет доступ в сеть аутентифицируя пользователя через веб-интерфейс. Не требует установки дополнительного программного обеспечения, для аутентификации клиенту нужен только браузер.
Если на порту включена Web-аутентификация, то клиент не может использовать прокси-сервер в браузере.
[править] Процедура Web-аутентификации
- Пользователь открывает браузер и заходит на домашнюю страницу Web-аутентификатора (по умолчанию http://192.168.0.1);
- Коммутатор автоматически возвращает пользователю страницу с запросом имени пользователя и пароля;
- Пользователь вводит логин и пароль;
- Коммутатор отправляет запрос на RADIUS-сервер;
- Если такой пользователь существует и ему разрешен доступ, то коммутатор авторизует порт.
Аутентификация может происходить как по протоколу HTTP, так и по протоколу HTTPS.
В коммутаторе есть "mini" DHCP-, ARP- и DNS-сервера для осуществления Web-аутентификации:
- DHCP-сервер — выдает временный адрес клиенту, для того чтобы он мог пройти аутентификацию. По умолчанию клиент получает в аренду на 10 секунд адрес из сети 192.168.0.0/24 (время аренды и сеть можно изменять);
- ARP-сервер — коммутатор будет возвращать на все ARP-запросы клиента в MAC-адрес коммутатора;
- DNS-сервер — до тех пор пока клиент не пройдет аутентификацию, DNS-сервер коммутатора будет все запросы клиента преобразовывать в адрес коммутатора.
После успешного прохождения аутентификации клиент будет работать без ограничений.
[править] Подготовка к использованию Web-аутентификации
Шаги по подготовке к использованию Web-аутентификации:
- Определить на каких портах будет включена Web-аутентификация;
- Определить какие VLAN'ы будут использоваться — если устройство должно после прохождения попасть в какой-то VLAN, то этот VLAN должен быть создан на коммутаторе;
- Определить каким образом будет порт назначаться в VLAN:
- динамически через RADIUS-сервер,
- попадать в авторизованный VLAN на коммутаторе,
- оставаться в статическом VLAN настроенном на порту;
- Проверить, что CHAP включен на RADIUS-сервере — для Web-аутентификации коммутатор использует CHAP;
- Проверить, что на RADIUS-сервере настроены политики доступа;
- Проверить, что в базе данных пользователей есть нужные пользователи — для Web-аутентификации может использоваться та же база пользователей, что и для 802.1X аутентификации.
[править] Настройка Web-аутентификации
[править] Включение Web-аутентификации
Включение Web-аутентификации на портах 6-10:
switch(config)# aaa port-access web-based 6-10
Включение SSL (по умолчанию отключен):
switch(config)# aaa port-access web-based 6-10 ssl-login
[править] VLAN для авторизованных пользователей
По умолчанию такой VLAN не создан.
Указание VLAN'а для авторизованных пользователей. Для портов 6-10 авторизованный VLAN 100:
switch(config)# aaa port-access web-based 6-10 auth-vid 100
[править] Настройка дополнительных параметров
Указать URL на который пользователь будет перенаправлен после успешной процедуры аутентификации (по умолчанию никакого значения нет):
switch(config)# aaa port-access web-based 6-10 redirect-url "http://www.nt.ua"
Задать сеть, которую коммутатор будет использовать для временной выдачи адреса клиенту во время Web-аутентификации (по умолчанию 192.168.0.0/24):
switch(config)# aaa port-access web-based dhcp-addr 10.0.0.0/24
Задать время аренды адреса (по умолчанию 10 секунд, возможны значения от 5 до 25 секунд):
switch(config)# aaa port-access web-based dhcp-lease 20
[править] Увеличение максимального количества авторизованных клиентов на порту
Указание максимального количества авторизованных клиентов на порту (по умолчанию 1):
switch(config)# aaa port-access web-based <port-list> client-limit <1-32>
Если на этих же портах настроена аутентификация 802.1X, то это максимальное ограничение на оба метода.
Если на авторизованном порту появляется компьютер, который прошел аутентификацию, но ему динамически назначен VLAN отличный от того, в который уже назначен порт после авторизации первого компьютера, коммутатор блокирует доступ последнему компьютеру до тех пор пока не закончится сессия первого компьютера.
[править] Управление аутентифицированными клиентами
[править] Административная реаутентификация клиентов
Инициировать реаутентификацию клиентов на указанных портах:
switch(config)# aaa port-access web-based <port-list> reauthenticate
[править] Перемещение клиентов
По умолчанию, если клиент перемещается с одного порта на другой, то ему надо проходить повторную аутентификацию. Это поведение можно изменить, разрешив клиенту перемещаться между некоторыми портами без необходимости повторно аутентифицироваться.
Позволить клиентам перемещаться между указанными портами (как минимум должны быть указаны два порта), на которых настроена Web-аутентификация:
switch(config)# aaa port-access web-based <port-list> client-moves
[править] Изменение параметров и таймеров аутентификации
Описание значения этих параметров и таймеров приведено в разделе Параметры и таймеры аутентификации.
Интервал времени (logoff-period) после которого неактивная сессия обрывается (по умолчанию 300 секунд):
switch(config)# aaa port-access web-based <port-list> logoff-period <60-9999999>
Интервал времени от момента прохождения аутентификации (reauth-period), по истечению которого клиент будет повторно аутентифицирован (по умолчанию 300 секунд):
switch(config)# aaa port-access web-based <port-list> reauth-period <0-9999999>
Если установить этот интервал в 0, то реаутентификация будет отключена.
Количество попыток (max-retries) для пользователя ввести правильно имя и пароль (по умолчанию 3):
switch(config)# aaa port-access web-based <port-list> max-retries <1-10>
Время которое коммутатор ждет (quiet-period) прежде чем отправит повторный запрос на аутентификацию клиенту, который её не прошел (по умолчанию 60 секунд):
switch(config)# aaa port-access web-based <port-list> quiet-period <1-65535>
Количество запросов (max-requests) на RADIUS-сервер, если он недоступен (по умолчанию 2):
switch(config)# aaa port-access web-based <port-list> max-requests <1-10>
Интервал времени (server-timeout) в течении которого коммутатор ждет ответа от RADIUS-сервера (по умолчанию 30 секунд):
switch(config)# aaa port-access web-based <port-list> server-timeout <1-300>
[править] Просмотр настроек
Проверить настройки:
switch# show aaa port-access web-based config
Посмотреть какие компьютеры (с какими MAC-адресами) подключены к портам с включенной Web-аутентификацией:
switch# show aaa port-access web-based clients
Посмотреть количество подключенных компьютеров, аутентифицированы они или нет, присвоенный номер VLAN, назначен ли ACL на порт:
switch# show aaa port-access web-based
Команды просмотра информации о Web-аутентификации:
show port-access web-based [port-list] show port-access web-based clients [port-list] show port-access web-based clients <port-list> detailed show port-access web-based config [port-list] show port-access web-based config <port-list> detailed show port-access web-based config [port-list] auth-server show port-access web-based config [port-list] web-server
[править] Просмотр статистики Web-аутентификации
Просмотр статистики Web-аутентификации:
switch# show port-access web-based statistics
Обнуление счетчиков статистики:
switch(config)# aaa port-access web-based clear-statistics
[править] Пример настройки Web-аутентификации на коммутаторе
ProCurve | ||
---|---|---|
Основы | ProCurve Adaptive Edge | ProCurve ProActive Defense | ProCurve Network Access Control | ProCurve Wireless | |
Программы | ProCurve Manager | ProCurve Identity Driven Manager | ProCurve Network Immunity Manager | ProCurve Mobility Manager | |
Устройства | ProCurve Switch | ProCurve Router | ProCurve ONE Module | ProCurve TMS Module | ProCurve NAC 800 | ProCurve Access Point | ProCurve WESM | |
Настройка | ||
Безопасность | ProCurve Security | Доступ к коммутатору ProCurve | DHCP snooping | Dynamic ARP Protection | IP Source Guard | Port security | Аутентификация при доступе к сети | 802.1X в ProCurve | Web-аутентификация в ProCurve | MAC-аутентификация в ProCurve | |
Канальный уровень | CDP | LLDP | VLAN в ProCurve | GVRP | STP в ProCurve | ProCurve Mesh | Агрегирование каналов | Зеркалирование трафика | QinQ | |
Сетевой уровень | RIP в ProCurve | OSPF в ProCurve | VRRP в ProCurve | XRRP в ProCurve | QoS в ProCurve | Multicast в ProCurve | PIM в ProCurve | |
Разное | Опция 82 DHCP | SNMP в ProCurve |