关于portal认证整个过程的深入探讨
移动Portal认证标准:
H3C认证实例:
以上两个情况分别是移动portal认证标准,和H3C一个简单的认证实例
我之前只是简单的理解了下,但是因为今天发现有的理解存在偏差,所以再来问问,请各位不吝赐教
我这里只说移动那个情况,后面H3C的情况只是辅助和说明下的,大家理解的话可以不用看
问题一:移动认证标准前三步都明白,但今天遇到一个情况,就是DNS配置错误,即使在获得IP地址的情况下也不能重定向到portal界面,我想问下这里AC是如何判定的,是一定要将域名解析为网址才能进行重定向的操作吗?这里涉及什么技术呢?
问题二:第四步中,portal收到终端发送的用户名、密码后,他是直接将用户名和密码与Radius交互吗?如果要通过AC,AC只是起一个通道的作用,这里用户名和密码直接就这样传递给radius服务器?我在H3C配置里似乎也没有看到radius和portal服务器之间有什么配置密钥之类的,只看到radius服务器和AC,AC和portal认证服务器之间有密钥配置,这里是不需要还是这里没有列出来?请知道的告诉下谢谢
问题三:第六步,查询成功后,也就是说用户的用户名和密码都是正确的,用户已经通过认证了,第6-10步,portal向AC 发起challenge认证的作用是什么?是否这个在所有portal认证过程中都有?
就以上三个问题,在线等答案,大家能确定的答案就可以说下,不用三个都回答,知道哪个回答哪个就行,谢谢大家了
(0)
最佳答案
chap的加密算法不可逆,双方对比的是加密后的密文。
portal chap认证过程:
1)challenge阶段,AC构造一个challenge(长度16字节)和一个request ID(两个字节)回应portal server;
2)portal server用 challenge+request ID后一个字节+密码 做md5算法,生成一个chap password(16字节),
并将用户名、chap password放到type 3报文中发给ac
3)AC将chap password取出,并在chap password前面加上request ID后一个字节,然后放到radius属性3中;
AC从本机取出这个IP对应的challenge,并放到radius 属性60中
然后通过code 1发给AAA
4)AAA根据radius报文中的 challenge+request ID后一个字节+自己存储的密码 做md5算法,然后将结果与报文中的chap password字段对比,
如果一致,则认证成功,如果不一致则失败
portal PAP认证过程:
比较简单
1)portal server将用户名、密码以明文方式发给AC;
2)AC使用与radius对接的key进行加密,然后将用户名、密文密码传给radius
3)radius使用对接key进行解密,并对密码进行比对;
(0)
你好,请问能这样理解不。portal和接入设备AC之间challenge认证,主要是两个目的,一个是认证AC,另外一个目的是将用户名和密码进行加密传递给AC,然后AC这边再和radius进行交互
Crystal 发表时间:你这么理解也不错
王老二 发表时间:谢谢了,每次理解的时候都是要用最通俗简单的语言才能理解,可能还是自己基础有所欠缺吧
Crystal 发表时间:
需要放通到域名的免认证规则,网页输入域名后可以解析出地址,进行重定向;radius方案中和portal服务器设备可以配置密钥的,可以参考官网手册
(0)
那portal和AC之间challenge认证的作用是什么呢?请问您知道不
Crystal 发表时间:
刚才看了下H3Cportal的认证流程,发现portal和radius没有直接的交互,而是通过接入设备来进行一个中间转发的过程,portal---接入设备---radius,接入设备和radius之间是radius认证,而portal到接入设备是chap或者pap认证交互
(0)
