05-H3C EIA 通用OAuth 2.0典型配置举例
本章节下载: 05-H3C EIA 通用OAuth 2.0典型配置举例 (3.03 MB)
H3C EIA 通用OAuth 2.0认证
典型配置举例
资料版本:5W100-20260424
产品版本:EIA (E7303)
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
通用OAuth 2.0是一种授权框架,允许第三方应用在用户授权的前提下,安全地访问用户存储在服务提供者上的资源,而无需直接暴露用户的凭证(如用户名和密码)。在EIA中,OAuth 2.0被应用于统一身份认证和授权管理,可以有效实现安全、灵活的身份认证与授权管理。
本手册以使用Keycloak这一第三方应用为例,在用户进行认证时,通过Keycloak第三方应用授权,授权通过后Keycloak用户可以安全访问EIA内部资源,同时简化了用户身份管理流程,显著提升了系统的安全性和可扩展性。
可用于第三方应用授权场景,允许外部或第三方应用安全访问内部资源,确保数据访问权限受控且安全。
· 银行系统:用户通过银行的授权系统,允许第三方理财APP访问其系统。
· 学生在线教育平台:学生授权第三方在线教育平台访问学校系统。
· 企业员工考勤系统:员工授权第三方工具访问公司内部考勤系统。
在配置前,网络必须路由可达。
某公司计划在EIA服务器上启用Portal认证,然后采用Keycloak作为第三方认证服务器,通过OAuth 2.0协议实现用户身份验证。用户通过Portal认证接入网络时,首先通过Keycloak完成授权。组网环境配置如图所示。
图1 组网图
版本信息:
· EIA版本:EIA (E7303)
· Keycloak服务器:Keycloak 26.1.2
本案例以Portal认证为例进行介绍。
(1) 在浏览器中输入Keycloak的访问地址,进入登录页面,如下图所示。
图2 登录页面
(2) 输入用户名和密码,登录系统,如下图所示。
图3 登录系统
(1) 进入Keycloak系统,单击[Clients>Clients list]菜单项,进入Clients list页面,如下图所示。
图4 Clients list页面
(2) 单击<Create client>按钮,进入General settings页面,配置Client ID,本例为“test”,如下图所示。
图5 General settings
(3) 单击<Next>按钮,进入Capability config页面,开启“Client authentication”和“Authorization”按钮,如下图所示。
图6 Capability config
(4) 单击<Next>按钮,进入Login settings页面,配置Valid redirect URLs地址,本例为http://10.144.195.167:9092/portal/oauth2/loginCallback,其中http://10.144.195.167:9092/portal为服务器配置中Portal主页的地址。如下图所示。
本例以Portal认证为例,如果使用MAC Portal认证,则配置为http://ip_address:30004/byod/oauth2/loginCallback,其中ip_address为统一数字底盘所在的集群北向业务虚IP。
图7 Login settings
(5) 单击<Save>按钮保存配置,进入应用通用配置页面,如下图所示。
图8 General setings
(6) 单击“Credentials”页签,进入Credentials页面,单击Client Secret后的
按钮可复制密码,如下图所示。
图9 Credentials
(1) 单击[Users>User list]菜单项,进入Users list页面,如下图所示。
图10 User list
(2) 单击<Add user>按钮,进入Create user页面,配置Username,本例为“test”,如下图所示。
图11 Create user
(3) 单击<Create>按钮,进入用户详情页面,如下图所示。
图12 Details
(4) 单击“Credentials”页签,进入Credentials页面,如下图所示。
图13 Credentials
(5) 单击<Set password>按钮,弹出Set Password for test页面,输入密码,Temporary开关可按需开启,本例配置为关闭,如下图所示。
图14 Set Password for test
(6) 单击<Save>按钮,弹出提示窗口,单击<Save Password>按钮。
(1) 登录EIA系统,单击[自动化>网络准入>准入管理>接入设备]菜单项,进入设备配置页面,如下图所示。
图15 接入设备页面
(2) 单击<增加>按钮,进入增加接入设备页面,如下图所示。
(3) 配置公共参数。
公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,不支持将EIA作为认证服务器、其他服务器作为计费服务器的场景。
¡ 业务类型:在下拉框中选择该设备承载的业务,包括不限和设备管理业务。前者用于用户接入和使用网络,后者用于设备管理员登录和管理设备。
¡ 强制下线方式:在下拉框中选择强制用户下线的方式,包括断开用户连接和Down-Up端口。前者表示EIA服务器向NAS设备下发Disconnect Message(DM)强制用户下线;后者表示EIA服务器向NAS设备下发Change-of-Authorization(CoA)消息强制用户下线,NAS设备收到CoA消息后先Down掉连接用户的端口,然后再重新UP该端口。
¡ 接入设备类型:可以选择各个厂商的设备或标准协议类型(标准协议类型是指要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互)。EIA预定义了多个厂商,包括H3C、3Com、华为、思科、锐捷、惠普其他、惠普A系列、微软和Juniper。管理员也可以到接入设备类型配置中自定义厂商。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]中的密钥显示方式设置为明文时,只需输入一次共享密钥即可。
¡ 接入位置分组:在下拉框中选择接入设备需要加入的接入位置分组。可选项包括EIA中已经存在的接入位置分组和“无”。接入位置分组是区分终端用户的接入条件之一。
本例中公共参数只需要输入共享密钥\确认共享密钥“movie”,其他保持缺省即可。
(4) 单击<增加IPv4设备>按钮,增加地址“10.142.2.180”的设备,如下图所示。
(5) 单击<确认>按钮,增加接入设备完成,如下图所示。
图18 增加接入设备完成
(6) 单击<确认>按钮,增加接入设备完成。
(1) 单击[自动化>网络准入>准入管理>接入服务>接入策略]菜单项,进入接入策略页面,如下图所示。
图19 接入策略
(2) 单击<增加>按钮,进入增加接入策略页面,如下图所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
参数说明:
¡ 接入时段:选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入。
¡ 分配IP地址:是否下发用户IP地址。
¡ 上行、下行速率:根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率。
¡ 优先级:它的高低确定了在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线。
¡ 认证类型:进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2、EAP-MD5和EAP-GTC其中的一种子类型。
- EAP-MD5:一种EAP认证方式,使用CHAP方式进行认证。
- EAP-TLS:是一种基于证书的身份认证,它需要PKI的部署来管理证书。它推荐进行服务器和客户端之间双向认证,认证双方是用证书来标识自己的身份。在认证通过之后,TLS的认证双方会协商出一个共享密钥、SessionId以及整套的加密套件(加密,压缩和数据完整性校验),这样认证双方就建立了一个安全可靠的数据传输通道。EAP-TLS是客户端和AAA服务器借助接入设备的透传,通过TLS协议进行的身份认证。EAP-TLS可以利用SessionId进行快速重认证,简化认证流程,加快认证速度,还对较大的TLS报文进行了分片处理。
- EAP-TTLS:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道内部再承载子类型。它具有保护用户标识和EAP认证的协商过程的作用。隧道内的子类型可以是EAP类型,也可以是非EAP类型。目前EIA支持TTLS下三个EAP的子类型(EAP-MSCHAPv2、EAP-MD5、EAP-GTC)。EIA在配置接入策略指定首选EAP类型为EAP-TTLS时,也必须首选一种EAP的子类型。在实际认证过程中,如果终端采用非EAP的子类型,如PAP,则终端可以忽略EIA的配置,使用终端配置的子类型进行认证。
- EAP-PEAP:是一种基于证书的身份认证,利用TLS认证在客户端和AAA服务器之间建立起一个安全通道,在安全通道上再发起EAP认证。它具有保护用户标识,保护EAP认证的协商过程的作用。目前EIA仅支持EAP-MSCHAPv2、EAP-MD5和EAP-GTC认证类型。
¡ EAP自协商:当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证。
¡ 单次最大在线时长(分钟):使用该策略的接入账号认证成功后可在线的最长时间,单位为分钟。该参数缺省值为空,表示不限制;最小值为1,最大值为1440。如果账号在线时间超过该参数值,EIA则强制该用户下线。
¡ 下发地址池:输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效。
¡ 下发VLAN:设置向用户下发的VLAN,当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型,用户认证通过后将只能访问该VLAN的内部资源。
¡ 下发User Profile:将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效。
¡ 下发用户组:用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。与ACG1000联动或与SSL VPN设备配合时,该属性才有效 。
¡ 下发ACL:设置向用户下发的访问控制列表。ACL列表可以从以下两种方式选择:
- 手工输入。
- 接入ACL列表:其值可以在接入ACL策略管理配置。
¡ 离线检查时长(小时):哑终端认证通过后向设备下发该参数,设备以该参数作为时间间隔,周期性检测哑终端是否已离线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端。
¡ 认证绑定信息:目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、无线用户SSID和硬盘序列号进行绑定检查。iNode客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定和IMSI绑定只能同时选择一个。当账号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证。
- 启用终端MAC地址控制:该设置启用后,使用该服务的接入用户上线时,用户使用的MAC地址属于允许接入的接入MAC地址范围则可以成功上线,否则不能成功上线。接入MAC地址的详细配置请参见终端MAC地址池。
- 启用终端硬盘序列号控制:该设置启用后,使用该服务的接入用户上线时,如果该用户的硬盘序列号在允许接入硬盘序列号列表中,则用户成功上线,否则用户不能上线。特殊的,如果无法获取硬盘序列号则认证通过。只有在使用iNode PC客户端认证时该功能才生效。
- 启用无线SSID控制:启用该功能后,使用该服务的接入用户采用无线方式上线时,如果无线SSID列表中的接入控制类型为“禁止接入”,则禁止终端通过无线SSID列表中的SSID接入网络;如果接入控制类型为“允许接入”,则只允许终端通过无线SSID列表中的SSID接入网络。该功能必须和iNode PC客户端配合使用,EIA一旦将无线SSID池下发给iNode客户端,iNode就会在终端上保存该配置。后续无论使用iNode客户端还是使用Windows自带客户端,不管是否到EIA中认证,该配置都一直生效。
- 启用终端主板序列号控制:启用该参数后,使用该服务的接入用户上线时,如果该用户的主板序列号在允许接入主板序列号列表中,则用户认证成功,否则认证失败。特殊情况下,如果无法获取到主板序列号则允许用户认证通过。只有在使用iNode PC客户端认证时该功能才生效。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
图20 增加接入策略
(3) 配置完成后,单击<确定>按钮,接入策略增加完成,如下图所示。
图21 增加接入策略完成
(1) 单击[自动化>网络准入>准入管理>接入服务>接入服务]菜单项,进入接入服务页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入服务页面。
配置服务的各个参数:
¡ 服务名:本案例中配置为“OAuth2.0接入服务”。
¡ 缺省接入策略:选择增加接入策略配置的“OAuth2.0接入策略”。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见下表。
¡ 安全组:资源访问控制的规则集合,本例保持缺省值。
¡ 安全子组:是安全组的细分,本例保持缺省值。
¡ 缺省私有属性下发策略:不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上。
¡ 缺省单账号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号最大绑定终端数的控制。
- 匹配的接入场景:EIA检查该场景中用户已经绑定的终端数量是否已达到数量限制,如果已达到数量限制,则拒绝用户认证;
- 所有服务中包含的场景:检查用户申请的所有服务中(包括服务中的所有场景)已绑定的终端数量,如果用户绑定的所有终端数量已达到终端管理参数中定义的“单账号最大绑定终端数”数量限制,则EIA拒绝用户认证,否则允许用户继续认证。
¡ 缺省单账号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单账号在线数量限制的控制。
¡ 单日累计在线最长时间(分钟):每天允许账号使用该服务接入网络的总时长,达到该时长后,账号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 服务描述:针对该服务的简单描述,以方便操作员的日常维护。
表1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
EIA中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 配置完成,单击<确定>按钮,增加接入服务完成,如下图所示。
图24 增加接入服务完成
配置Portal服务就是把EIA服务器配置成可以提供Portal认证的Portal服务器。
单击[自动化>网络准入>准入管理>Portal认证>服务器配置]菜单项,进入服务器配置页面,如下图所示,可查看Portal主页地址。
(1) 单击[自动化>网络准入>准入管理>Portal认证>IP地址组配置]菜单项,进入IP地址组配置页面,如下图所示。
图26 IP地址组配置
(2) 单击<增加>按钮,进入增加IP地址组页面,如下图所示。
图27 增加IP地址组
(3) 输入IP地址组名,本例为“OAuth2.0_Address”,并输入起始地址和终止地址IP地址。其中,属于该地址段的终端都要进行认证。
(4) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如下图所示。
图28 查看新增的IP地址组
(1) 单击[自动化>网络准入>准入管理>Portal认证>设备配置]菜单项,进入设备配置页面,如下图所示。
(2) 单击<增加>按钮,进入增加设备信息页面,如下图所示。
参数说明:
¡ 设备名:输入设备名称,本例为“OAuth2.0_Switch”。
¡ 公网IP:Portal接入设备的公网IP地址。
¡ 密钥\确认密钥:输入“movie”。密钥要与设备上配置的Portal服务器密钥保持一致。
¡ 组网方式:在下拉框中选择“直连”。
¡ 其他参数:保持缺省值。
(3) 单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息,如下图所示。
(4) 单击列表“操作”列的端口组信息管理图标
,进入端口组信息管理页面,如下图所示。
(5) 单击<增加>按钮,进入增加端口组信息页面,如下图所示。
参数说明:
¡ 端口组名:输入端口组的名称,本例为“OAuth_Port”。
¡ 认证方式:在下拉框中选择“CHAP认证”。
¡ IP地址组:选择之前配置的“OAuth_Address”。
¡ 其他参数:保持缺省值。
(6) 单击<确定>按钮,完成增加端口组信息。返回端口组信息配置页面,可在端口组信息配置列表中查看新增的端口组信息,如下图所示。
(1) 单击[自动化>网络准入>准入管理>WEB页面定制>认证页面定制>PC页面]菜单项,进入PC页面,如下图所示。
图35 PC页面
(2) 单击“缺省PC账号密码和短信认证”操作列
按钮,弹出复制模板页面,配置名称,本例为“OAuth2.0认证页面”,如下图所示
图36 复制模板
(3) 配置完成后,单击<确定>按钮,返回PC页面,单击新增的“OAuth2.0认证页面”操作列
按钮,进入编辑Portal定制页面,如下图所示。
图37 编辑Portal定制页面
图38 编辑控件
(5) 弹出内容设置页面,去勾选“账号密码+短信验证码”,勾选“账号密码”和“通用OAuth 2.0”,如下图所示。
图39 内容设置
(6) 配置完成后,单击<确定>按钮,修改控件成功,如下图所示。
图40 修改控件
(7) 单击<保存>和<下发>按钮,保存并下发配置。
(1) 单击[自动化>网络准入>准入管理>接入服务>APP认证配置>通用OAuth 2.0]菜单项,进入通用OAuth 2.0页面,如下图所示。
图41 通用OAuth 2.0
(2) 配置基本信息,如下图所示。
¡ 应用ID:通常也叫做Client ID,该值通常是在第三方服务上创建一个应用时配置的,本例为增加应用章节的Client ID“test”。
¡ 应用秘钥:通常也叫做Client Secret。该值通常是在第三方服务上创建一个应用时自动生成的,本例为增加应用章节的“Credentials”页签的Client Secret值。
¡ 回调地址:通常也叫做登录回调地址,本例为增加应用章节的Login settings页面的Valid redirect URLs地址http://10.144.195.167:9092/portal/oauth2/loginCallback。
¡ 缺省用户分组:如果系统无法匹配到符合条件的用户分组,则使用该值作为接入用户的用户分组,本例选择系统默认的“未分组”。
¡ 缺省在线数量限制:接入用户的在线数量限制。如果设置为0,表示同时使用该账号上线的用户数不受限制,本例设置为“3”。
¡ 缺省接入服务:如果系统无法匹配到符合条件的接入服务,则使用该值作为接入用户的接入服务,本例选择增加接入服务增加的“OAuth2.0接入服务”。
¡ 开户类型:将自动开户的用户视为接入用户类型还是访客类型。如果视为访客类型,则访客将被关联到页面推送策略中配置的访客管理员。如果页面推送策略中未配置访客管理员,则使用系统缺省访客管理员。如果开户为访客类型,则访客策略的规则暂时不适用于这里的访客,本例选择“接入用户”。
图42 基本信息
(3) 配置用户分组,本例选择“使用缺省用户分组”,如下图所示。
¡ 按属性:如果“获取用户信息接口”返回的某个属性字段可以作为用户分组的标识,则匹配对应属性值的用户将绑定到相应的用户分组上,如果匹配不到,则使用缺省用户分组。
¡ 使用缺省用户分组:开户的用户都绑定到缺省用户分组上。
图43 用户分组
(4) 配置接入服务,本例选择“使用缺省接入服务”,如下图所示。
¡ 按属性:如果“获取用户信息接口”返回的某个属性字段可以作为接入服务的标识,则匹配对应属性值的用户将被绑定上相应的接入服务,如果匹配不到,则使用缺省接入服务。
¡ 按用户分组:根据用户所属的用户分组,将用户绑定到对应的接入服务上。
¡ 使用缺省接入服务:开户的用户都绑定到缺省接入服务上。
图44 接入服务
(5) 配置授权接口,用于在浏览器上显示一个授权页面,如下图所示。
¡ URL:授权接口的地址,本例为Keycloak服务授权接口的地址。
¡ 请求参数:按照第三方服务要求,在访问授权接口时需要携带的请求参数,本例为Keycloak服务在访问授权接口时需要携带的请求参数。
¡ 响应参数:仅支持第三方服务返回JSON格式的响应体,本例为Keycloak服务的响应参数。
图45 授权接口
a. 配置完成后,单击<测试>按钮,生成一个URL,如下图所示。
图46 测试
b. 使用浏览器访问上述URL,进入授权页面,输入增加用户用户的信息,如下图所示。
图47 授权页面
c. 单击<Sign In>按钮,进入SUCCESS页面,则表示本接口测试通过,如下图所示。
图48 SUCCESS
(6) 配置获取Access Token接口,用于获取Access Token授权令牌,如下图所示。
¡ 启动接口:是否启用本接口。在部分第三方OAuth 2.0系统可能不涉及本接口,则可以禁用本接口,本例配置为启用。
¡ URL:获取Access Token接口的地址,本例为Keycloak服务获取Access Token接口的地址。
¡ 请求方式:该参数表示发起HTTP时采用哪种方式,目前仅支持GET或POST,本例选择“POST”。
¡ 请求头参数:按照第三方服务要求,在访问Access Token接口时需要携带的请求头参数,本例为Keycloak服务不需要配置请求头参数。
¡ 请求内容类型:调用本接口时“请求参数”将以何种类型发送。目前仅支持application/x-www-form-urlencoded或application/json,本例选择“application/x-www-form-urlencoded”。
¡ 请求参数:按照第三方服务要求,在访问Access Token接口时需要携带的请求参数,本例为Keycloak服务访问Access Token接口时需要携带的请求参数。
¡ 响应参数:仅支持第三方服务返回JSON格式的响应体,本例为Keycloak服务的响应参数。
图49 获取Access Token接口
配置完成后,单击<测试>按钮,如下图所示,表明本接口测试通过,具体判断依据,请参考第三方文档。
图50 测试成功
(7) 配置获取用户信息接口,用于获取第三方的用户信息,如下图所示。
¡ URL:获取用户信息接口的地址,本例为Keycloak服务获取用户信息接口的地址。
¡ 请求方式:该参数表示发起HTTP时采用哪种方式,目前仅支持GET或POST,本例选择“GET”。
¡ 请求头参数:按照第三方服务要求,在访问用户信息接口时需要携带的请求头参数,本例为Keycloak服务访问用户信息接口时需要携带的请求头参数。
¡ 请求参数:按照第三方服务要求,在访问用户信息接口时需要携带的请求参数,本例为Keycloak服务不需要携带请求参数。
¡ 响应参数:仅支持第三方服务返回JSON格式的响应体,本例为Keycloak服务的响应参数。
图51 获取用户信息接口
配置完成后,单击<测试>按钮,如下图所示,表明本接口测试通过,具体判断依据,请参考第三方文档。
图52 测试成功
(8) 配置登出接口,一般情况下,用户同意授权后,浏览器会保留一段时间的授权信息,如果用户再次访问授权页面,用户此时是无需主动授权的,浏览器会直接跳转到“回调地址”。而调用本接口会清除浏览器中保留的授权信息,使用户在下次访问授权页面时必须重新主动授权,如下图所示。
¡ 启动接口:是否启用本接口。在部分第三方OAuth 2.0系统可能不涉及本接口,则可以禁用本接口,本例配置为启用。
¡ URL:登出接口的地址,本例为Keycloak服务登出接口的地址。
¡ 请求方式:该参数表示发起HTTP时采用哪种方式,目前仅支持GET或POST,本例选择“GET”。
¡ 请求头参数:按照第三方服务要求,在访问登出接口时需要携带的请求头参数,本例为Keycloak服务不需要携带的请求头参数。
¡ 请求参数:按照第三方服务要求,在访问用户登出接口时需要携带的请求参数。本例为Keycloak服务访问登出接口时需要携带的请求参数。
图53 登出接口
a. 配置完成后,单击<测试>按钮,单击之前需要完成“授权接口”和“获取Access Token接口”测试,并保持浏览器不关闭,生成一个URL,如下图所示。
图54 测试
b. 在浏览器访问上述URL,如果再次出现授权页面,则表示本接口测试通过,如下图所示。
图55 授权页面
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与增加接入设备的配置保持一致。
[Device]radius scheme allpermit
New Radius scheme
[Device-radius-allpermit]primary authentication 10.144.195.167 1812
[Device-radius-allpermit]primary accounting 10.144.195.167 1813
[Device-radius-allpermit]key authentication simple movie
[Device-radius-allpermit]key accounting simple movie
[Device-radius-allpermit]user-name-format with-domain
[Device-radius-allpermit]quit
(3) 配置domain域“portal”,引用配置好的“allpermit”策略。
[Device]domain portal
[Device-isp-portal]authentication portal radius-scheme allpermit
[Device-isp-portal]authorization portal radius-scheme allpermit
[Device-isp-portal]accounting portal radius-scheme allpermit
[Device-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA,key要与设备配置中配置的密钥一致。
[Device]portal server myportal
New portal server added.
[Device-portal-server-myportal]ip 10.144.195.167 key simple movie
[Device-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://10.144.195.167:9092/portal,要与服务器配置中的“Portal主页”项中的配置项一致。
[Device]portal web-server myportal
New portal web-server added.
[Device-portal-websvr-myportal]url http://10.144.195.167:9092/portal
[Device-portal-websvr-myportal]quit
(6) 在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 108上开启直接方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值,该BAS-IP需和设备配置中的公网IP保持一致。
[Device]interface Vlan-interface 108
[Device-Vlan-interface108]portal enable method direct
[Device-Vlan-interface108]portal apply web-server myportal
[Device-Vlan-interface108]portal bas-ip 10.142.9.1
[Device-Vlan-interface108]Portal domain portal
[Device-Vlan-interface108]quit
(1) 在浏览器中输入Portal主页地址,进入Portal认证页面,如下图所示。
图56 Portal认证页面
(2) 单击OAuth 2.0登录方式,跳转到Keycloak授权页面,输入增加用户的用户名和密码,如下图所示。
图57 授权页面
(3) 单击<Sign In>按钮,认证成功后则进入认证成功页面,证明本案例的正确性,如下图所示。
图58 认证成功
(4) 认证成功后,在浏览器中输入统一数字底盘的登录地址“http://ip_address:30000”,其中“ip_address”为统一数字底盘所在的集群北向业务虚IP,登录环境后,单击[自动化>网络准入>准入管理>在线用户>本地在线用户]菜单项,进入本地在线用户页面,可查看用户信息,如下图所示。
图59 在线用户
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
