FortiAC +FortiAP 外置 Portal 与微信认证延伸方案测试介绍 版本 1.0 时间支持的版本作者状态反馈 2015 年 3 月 FortiOS v5.2.x,fortiap5.0.x 李威峰 谢惠存草稿

Similar documents
目 录 介 绍... 3 测 试 拓 扑... 3 组 件... 4 认 证 原 理... 4 配 置 过 程... 5 FortiAC 配 置... 5 FAC 配 置 配 置 远 程 LDAP 服 务 器 和 把 FAC 自 身 加 入 Windows 域 修 改

一、

标题

FortiADC SLB Virtual Server L7 方式部署介绍 版本 1.0 时间支持的版本作者状态反馈 2015 年 10 月 FortiADC v4.3.x 刘康明已审核

状 态, 规 划 车 辆 行 驶 路 径, 可 进 入 网 站 充 电 服 务 栏 目 (2) 查 询 位 置 联 系 方 式 营 业 时 间 等 信 息, 可 进 入 网 站 服 务 指 南 栏 目 建 议 您 出 行 前 通 过 易 充 电 互 动 网 站 提 前 了 解 所 经 高 速 快 充

一 登录 crm Mobile 系统 : 输入 ShijiCare 用户名和密码, 登录系统, 如图所示 : 第 2 页共 32 页

清华大学2013年毕业生就业质量报告

自 學 進 修 學 力 鑑 定 考 試 職 業 證 照 與 專 科 學 校 類 科 對 照 表 修 正 規 定 序 號 考 試 單 位 考 試 及 格 證 書 名 稱 適 用 等 級 類 別 科 別 考 1 試 律 師 甲 級 商 業 財 經 法 律 院 2 計 師 甲 級 商 業 計 事 務 3

MASQUERADE # iptables -t nat -A POSTROUTING -s / o eth0 -j # sysctl net.ipv4.ip_forward=1 # iptables -P FORWARD DROP #

FortiADC SLB Virtual Server L4 方式部署详解 版本 1.0 时间支持的版本作者状态反馈 2015 年 10 月 FortiADC v4.3.x 刘康明已审核

目录 简介 FAP 快速上线 防火墙端口开启 CAPWAP 配置正确的 FortiAP 网络参数 FAP IP 地址设置 配置 FAP 发现防火墙方式 许可 AP 上线

网康科技•互联网控制网关

1 产 品 简 介 特 性 包 装 产 品 外 观 电 脑 系 统 要 求 硬 件 安 装 软 件 安 装 软 件 操 作 IP

1

关于建立境内违法互联网站黑名单管理制度的通知

? 這 全 都 是 市 政 府 提 供 給 我 的 資 料 低 底 盤 公 車 計 畫 96 年 預 算 新 台 幣 4,500 萬 元 97 年 預 算 新 台 幣 1 億 6,500 萬 元 98 年 預 算 新 台 幣 3 億 2,300 萬 元, 共 有 307 台 低 底 盤 公 車,99

untitled

D-link用户手册.doc

11N 无线宽带路由器

Microsoft Word 箕æ−¥ï¼‹å®ı稿;

98年度即測即評學科測試與即測即評即發證技術士技能檢定簡章

User Guide

LSR-120 Router

开心消消乐还能这么玩?,开心消消乐隐藏关卡

IP Camera

目 录 前 言... 4 校 园 网 络 篇... 5 第 一 章 交 大 校 园 网... 6 第 二 章 有 线 网 络... 7 第 三 章 无 线 网 络 (WiFi) 第 四 章 网 络 计 费 系 统 第 五 章 虚 拟 专 用 网 (VPN) 第 六

untitled

团 学 要 闻 我 校 召 开 共 青 团 五 届 九 次 全 委 ( 扩 大 ) 会 议 3 月 17 日, 我 校 共 青 团 五 届 九 次 全 委 ( 扩 大 ) 会 议 在 行 政 办 公 楼 五 楼 会 议 室 举 行, 校 团 委 委 员 各 院 ( 系 ) 团 委 书 记 校 学 生

合金投资年报正文.PDF

从 宾 馆 到 又 一 城 是 十 五 分 钟, 从 又 一 城 到 邵 逸 夫 是 十 分 钟, 去 时 一 路 上 坡 很 辛 苦, 回 时 一 路 下 坡 很 轻 松, 很 像 上 小 学 时 的 心 情, 这 是 最 初 几 天 最 深 的 感 受 有 段 时 间 很 少 走 校 内 的 路

资 讯 速 递 台 基 于 大 数 据 的 学 校 督 导 评 估 系 统 建 设 上 海 市 闵 行 区 人 民 政 府 教 育 督 导 室 ( 摘 要 ) 闵 行 教 育 在 深 化 教 育 改 革 探 索 管 办 评 分 离 的 背 景 下, 把 教 育 督 导 评 估 系 统 建 设 作 为

目 录 监 管 资 讯 2016 年 全 国 保 险 监 管 工 作 会 议 召 开...3 协 会 动 态 赤 峰 保 险 行 业 协 会 召 开 数 据 统 计 和 信 息 宣 传 总 结 表 彰 会 议...5 赤 峰 市 保 险 行 业 协 会 秘 书 处 召 开 2015 年 度 述 职

同 时, 采 取 提 供 新 闻 线 索 和 素 材 安 排 专 访 等 方 式 主 动 为 新 闻 媒 体 服 务, 为 采 访 报 道 活 动 创 造 便 利 条 件 建 设 网 络 信 息 发 布 平 台 2013 年 9 月 开 通 中 央 纪 委 监 察 部 网 站,2015 年 1 月

公務員服務法第13條相關解釋彙整表

時間軸上的竹蓮記憶 學務主任 黃雅彙 我不是竹蓮國小的畢業校友 但對於身為新竹人的我來 說 仔細回想起來 似乎和竹蓮有著一種特別的緣分 對竹蓮國小最初的印象是在小學的時候 猶記得年幼的 我經過一段時日的啦啦隊舞蹈訓練後 老師便帶著我們從學 校步行到竹蓮國小來參加比賽 一踏入竹蓮校門 映入眼簾 的是黑

Microsoft Word - 临政办发6.doc

5-1 nav css 5-2

计算机网络实验说明

FGT 配合 FortiExtender 扩展 3G(4G) 适用场景 版本 1.0 时间支持的版本作者状态反馈 2015 年 3 月 FortiOS v5.2.3 李威峰草稿 Fortinet 公司第 1 页 / 共 24 页

Secoway SVN3000技术建议书V1

产品手册

Microsoft Word - DataEye:2015年中国移动游戏行业年度报告

目 錄 摘 要...Ⅰ 第 一 章 簡 介 簡 介 研 究 動 機 研 究 目 的 文 獻 探 討...4 第 二 章 電 腦 犯 罪 之 定 義 網 路 犯 罪 分 析 電 腦 網 路 犯 罪 的 特

ext-web-auth-wlc.pdf

联想天工800R路由器用户手册 V2.0

<4D F736F F D20312D3120D5D0B9C9CBB5C3F7CAE9A3A8C9CFBBE1B8E5A3A92E646F63>

RG-NBS5816XS交换机RGOS 10.4(3)版本WEB管理手册

Polycom RealPresence Capture Server - 设备版本入门指南

cosa Quick Start Manual

目 录 介 绍... 3 认 证 原 理... 3 组 件... 4 测 试 拓 扑... 5 计 算 机 身 份 认 证 部 分... 5 配 置 步 骤... 5 FortiAC 配 置... 5 活 动 目 录 配 置... 7 IAS(NPS) 配 置 测 试 过 程... 16

Microsoft Word - Enriched TEKLA Curriculum Guide (chi ver)

湖北省政府采购中心


(一)宿舍生活解惑區

附件:技术测评需求

IP505SM_manual_cn.doc

NAT环境下采用飞塔NGFW

页眉

Wireless DAC_UM-TC_ indd

My Net N900 Central Router User Manual

<4D F736F F D20312D3120D5D0B9C9CBB5C3F7CAE9A3A8C9EAB1A8B8E5A3A92E646F63>

4 经 过 设 置 后,Zeppelin Air 无 法 连 接 到 我 的 网 络, 我 该 如 何 解 决 这 个 问 题? 下 载 并 安 装 最 新 的 固 件, 可 以 通 过 下 面 的 问 题 编 号 17 下 载 确 保 从 Apple App Store( 适 用 于 Mac ip

Wireless Plus.book

声 明 Copyright 2013 普 联 技 术 有 限 公 司 版 权 所 有, 保 留 所 有 权 利 未 经 普 联 技 术 有 限 公 司 明 确 书 面 许 可, 任 何 单 位 或 个 人 不 得 擅 自 仿 制 复 制 誊 抄 或 转 译 本 书 部 分 或 全 部 内 容 不 得

Transcription:

FortiAC +FortiAP 外置 Portal 与微信认证延伸方案测试介绍 版本 1.0 时间支持的版本作者状态反馈 2015 年 3 月 FortiOS v5.2.x,fortiap5.0.x 李威峰 谢惠存草稿 support_cn@fortinet.com

目录 介绍...3 拓扑...3 组件...3 工作原理...3 Portal 认证延伸... 6 1. 根据终端类型弹出不同的 Portal... 6 2. 一键上网 ( 免认证 )...7 微信认证...9 认证流程与原理...9 微信认证例外 IP 地址...11 IOS 微信认证注意事项... 12 Fortinet 公司第 2 页 / 共 13 页 www.fortinet.com.cn

介绍 Portal 认证与微信认证目前在企业认证较为普遍 ( 当然还有扫二维码认证方式 ),Fortinet 之前文档已经对 FG 配合外置 Portal 认证做过详细的介绍 从技术原理上讲, 微信认证与 portal 认证都是使用 HTTP 流量触发 URL 重定向方式, 仅仅是对于客户端体验不同 目前 FGT 与宁顿配合可以实现不同终端类型弹出不同的 Portal 页面 比如 PC 适合 PC 屏幕 Portal 页面, 手机弹出适合手机屏幕比较简洁的 Portal 界面, 这些需要 FGT 与 Portal 服务器紧密配合 本文主要外置 Portal 认证与微信认证做一个延伸的介绍 拓扑 ----------------Radius( 服务器 ) 无线客户端 (win7, IOS Android)-- FortiAP223----FortiAC(FGT)--- 外置 Portal( 微信服务器 ) AP-AC 使用集中转发模式, 非常简单 组件 序号组件名称软件版本数量备注 1 FGT60C V5.2.3 1 FortiAC ( 无线控制器 ) 2 FortiAP-223B V5.0.9 1 无线 AP 3 外置 Portal 与微 1 本次采用上海宁顿平台 信服务器 4 Radius 服务器 1 本次测试采用上海宁顿 平台 工作原理 让我们再回顾一下原理 : Fortinet 公司第 3 页 / 共 13 页 www.fortinet.com.cn

1. 无线客户端发起访问 HTTP 请求 2. FortiAC 使用 HTTP 代理方式欺骗无线客户端并告诉客户端访问在在外置 portal 中配置的 URL 地址, 并携带一些参数和值, 此处很重要 此时 portal 服务器根据此做进一步的判断 ( 弹出不同的页面, 把客户端 IP 或 mac 入到库中 ) <a href="http://demo.ndkey.com:80/am/portal/serviceid/00000243/ac/fortine?login& post=http://10.200.255.1:1000/fgtauth&magic=0509018197e8149f&usermac=74:29: af:99:f6:a5&apmac=08:5b:0e:06:9c:ce&apip=192.168.200.2&userip=10.200.255.3&d evice_type=windows-pc">click here</a> to continue.</body></html> 其中 href="http://demo.ndkey.com:80/am/portal/serviceid/00000243/ac/fortine 重定向的 URL( 外置 portal 地址 ) post=http://10.200.255.1:1000/fgtauth 为 FortiAC SSID 接口的 IP 地址 即无线终端从 FortiAC 的发起访问的那个接口的 IP 地址 magic=0509018197e8149 为此会话的 ID, 每次都不一样 usermac=74:29:af:99:f6:a5 无线终端 MAC 地址 apmac=08:5b:0e:06:9c:ce AP 的 MAC 地址 apip=192.168.200.2 AP 的 IP 地址 userip=10.200.255.3 无线终端的 IP 地址 device_type=windows-pc" 无线终端的设备类型 3. 客户端与重定向后的 URL 页面建立连接, 弹出外置 portal 认证窗口 Fortinet 公司第 4 页 / 共 13 页 www.fortinet.com.cn

输入手机号, 发送验证码 Fortinet 公司第 5 页 / 共 13 页 www.fortinet.com.cn

4. 输入完用户名和密码后, 最重要的在这个地方 : 外置 Portal 中的 form 中的 method 方法为 post, Action 为 : http://10.200.255.1:1000/fgtauth 这是 FortiAC 无线 SSID 接口的 IP 地址 即无线客户端点击登录按钮后把用户名和密码等一些参数和值提交给 FortiAC 的 IP <form method="post" action="http://10.200.255.1:1000/fgtauth"><input type="hidden" name="4tredir" value="http://www.ndkey.com?stage=4&revisit=false&language=zh-cn,zh;q=0.8&ter minalmac=74%3a29%3aaf%3a99%3af6%3aa5&loginname=13581646752"/><inpu t type="hidden" name="magic" value="060a0b849de794e2"/><input type="hidden" name="username" value="13581646752{#}62qh61klaft2"/><input type="hidden" name="password" value="glrw5nn7lf7i"/><input type="submit" id="dkeysubmit" style="display:none"/></form></body></html> 5. FGT 收到用户名和密码后到第三方 Radius 认证, 如果成功, 则认证通过 Portal 认证延伸 根据此原理, 能够实现 : 1. 根据终端类型弹出不同的 Portal 因为 FGT 已经把终端类型 ( 涉及终端识别技术,DHCP 选项,HTTP UA 等 ) 通过 URL 参数的方式送给 Portal 服务器,Portal 服务器据此判断设备类型, 弹出不同 Fortinet 公司第 6 页 / 共 13 页 www.fortinet.com.cn

的 Portal PC 弹出如下的 portal: Android 手机弹出如下的 Portal: 2. 一键上网 ( 免认证 ) 在无线终端第一次认证后, 再次上网时, 不需要重新获取密码 可以直接点击我 Fortinet 公司第 7 页 / 共 13 页 www.fortinet.com.cn

要上网的页面 原理 : 因为 FGT 在第一次 URL 重定向过程中已经把 MAC 地址送到 Radius 的数据库中 第二次上网重定向时, 外置 Portal 判断该 MAC 地址的用户是否在数据库中, 如果在, 弹出一键上网 Portal 用户名是手机号, 密码生成在 HTTP 页面中 ( 仅仅是无线终端看不到, 实际上是有的 ) 对于 FGT 来说, 没有一键上网一说, 并不知道这个客户之前已经认证过 则是一次新的认证过程 Fortinet 公司第 8 页 / 共 13 页 www.fortinet.com.cn

微信认证 认证流程与原理 原理与 Portal 类似, 当没有加关注时, 通过普通的 HTTP 报文也能触发重定向的 URL 但是微信服务器 (Portal) 会给一个空白的页面, 用户无法操作 只有加入关注并进入我要上网后, 点击确定此时才提交用户名和密码 用户名为终端 MAC 地址, 密码动态生成 ( 目前有用户提出用户名为微信号方式, 正在测试中 ) 流程 : 1. 扫描二维码, 加关注 : 2. 加关注 Fortinet 公司第 9 页 / 共 13 页 www.fortinet.com.cn

3. 找到我要上网书签 Fortinet 公司第 10 页 / 共 13 页 www.fortinet.com.cn

4. 点击 触发了认证 微信我要上网按钮动作 : <html><head><meta http-equiv="content-type" content="text/html; charset=utf-8" /></head><body onload="document.getelementbyid('dkeysubmit').click();"><form method="post" action="http://10.200.255.1:1000/fgtauth"><input type="hidden" name="4tredir" value="http://www.ndkey.com?stage=4&revisit=false&language=zh-cn&terminalma c=58%3a1f%3a28%3a0a%3a55%3a2b&loginname=58%3a1f%3a28%3a0a%3a55 %3A2B"/><input type="hidden" name="magic" value="03060c85a1b6ffd5"/><input type="hidden" name="username" value="58:1f:28:0a:55:2b{#}7e5r1wwr0cmh"/><input type="hidden" name="password" value="xe7c7w=ib>&d"/><input type="submit" id="dkeysubmit" style="display:none"/></form></body></html> 微信认证例外 IP 地址 http://dns.weixin.qq.com/cgi-bin/micromsg-bin/newgetdns?uin=0&clientversion=62 0888369&scene=0&net=1&md5=222d8e4ddf9d2054cfb12cf5400eff0c&devicetype= android-17&lan=zh_cn&sigver=1 分别找出 : wx.qlogo.cn, long.weixin.qq.com, short.weixin.qq.com, extshort.weixin.qq.com 所对应的 IP 地址, 加在免认证策略里面 注意 : 不同的 DNS 解析不同的 IP 地址, 实际使用时一般需要使用三大运营商 ( 联通 电信移动 ) 手机解析 IP 地址并加入到认证例外的防火墙策略中 否则的会出现需要重启微信 APP, 因为你加的列表不全 ( 比如手机使用联通的 DNS 解析到一些 IP), 但你在防火墙仅仅放行了电信 DNS 解析的 IP IOS 微信认证注意事项 因为 IOS 自带链路探测功能, 如果连接到此 SSID 不能出 internet, 需要把 IOS Fortinet 公司第 11 页 / 共 13 页 www.fortinet.com.cn

探测的地址加入 FGT 策略到免认证列表, 否则不给你连接到该 SSID 的机会 以下为 IOS 探测的网址 : 以下为测试的域名 : 1 2 3 4 5 6 www.appleiphonecell.com captive.apple.com www.itools.info www.ibook.info www.airport.us www.thinkdifferent.us 对应的 IP 地址 : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 23.207.103.91 23.33.54.18 23.44.167.91 23.67.183.91 96.7.103.91 23.42.71.91 23.34.105.211 23.59.167.91 23.42.184.50 23.47.232.190 23.77.23.91 23.194.87.91 23.61.91.190 23.218.12.50 23.2.38.95 23.46.135.91 172.225.213.179 218.205.66.94 23.64.251.249 23.58.250.189 参考 : http://www.tuicool.com/articles/irq6ra Fortinet 公司第 12 页 / 共 13 页 www.fortinet.com.cn

参考资料 http://www.tuicool.com/articles/irq6ra Fortinet 公司第 13 页 / 共 13 页 www.fortinet.com.cn