找方案、找软件、找推广欢迎对接

大家都在搜：

CRM SCRM 客户管理软件

当前位置：CRM > 科技问答 > aO3xJ3,请问防火墙本地portal认证可以使用从LDAP同步过来的用户作认证吗

aO3xJ3,请问防火墙本地portal认证可以使用从LDAP同步过来的用户作认证吗

2023-05-25 23:17:27科技问答

1685027847,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

请问防火墙本地portal可以使用从LDAP同步过来的用户作认证吗，还是只能用本地用户，如果想使用从LDAP同步过来的用户作人认证，有什么方法吗

组网及组网描述：

5小时前提问

最佳答案

可以的

V7防火墙基于LDAP的用户导入案例

使用本地Portal Web服务器直接Portal认证配置举例

1. 组网需求

· 用户主机与接入设备Device直接相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal Web服务器；在通过Portal认证后，可以使用此IP地址访问非受限的互联网资源。

· Device同时承担Portal Web服务器和Portal认证服务器的职责。

· 采用RADIUS服务器作为认证/计费服务器。

· 配置本地Portal Web服务使用HTTP协议，且HTTP服务侦听的TCP端口号为2331。

2. 组网图

图1-25 使用本地Portal Web服务的直接Portal认证配置组网图

‌

3. 配置步骤

按照自定义认证页面文件编辑规范，完成认证页面的编辑。并上传到设备存储介质的根目录下。

配置RADIUS服务器，保证用户的认证/计费功能正常运行，具体配置步骤略。

配置接口IP地址。

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.0.100 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

[Device-GigabitEthernet1/0/2] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

配置接口加入安全域。

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1

[Device-security-zone-DMZ] quit

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/2

[Device-security-zone-Trust] quit

(4) 配置安全策略

a. 配置安全策略放行DMZ与Local安全域之间的流量，用于设备Device与RADIUS服务器之间的报文交互。

# 配置名称为portallocalout的安全策规则，使Device可以向RADIUS服务器发送报文，具体配置步骤如下。

[Device-security-policy-ip] rule name portallocalout

[Device-security-policy-ip-2-portallocalout] source-zone local

[Device-security-policy-ip-2-portallocalout] destination-zone dmz

[Device-security-policy-ip-2-portallocalout] destination-ip-host 192.168.0.112

[Device-security-policy-ip-2-portallocalout] action pass

[Device-security-policy-ip-2-portallocalout] quit

# 配置名称为portallocalin1的安全策略规则，使Device可以接收和处理来自RADIUS服务器的报文，具体配置步骤如下。

[Device-security-policy-ip] rule name portallocalin1

[Device-security-policy-ip-3-portallocalin1] source-zone dmz

[Device-security-policy-ip-3-portallocalin1] destination-zone local

[Device-security-policy-ip-3-portallocalin1] source-ip-host 192.168.0.112

[Device-security-policy-ip-3-portallocalin1] action pass

[Device-security-policy-ip-3-portallocalin1] quit

b. 配置安全策略放行Trust与Local安全域之间的流量。

# 配置名称为portallocalin2的安全策规则，使用户Host可以向设备本地的Portal服务器发送报文，具体配置步骤如下。

[Device-security-policy-ip] rule name portallocalin2

[Device-security-policy-ip-4-portallocalin2] source-zone trust

[Device-security-policy-ip-4-portallocalin2] source-ip-host 2.2.2.2

[Device-security-policy-ip-4-portallocalin2] destination-zone local

[Device-security-policy-ip-4-portallocalin2] action pass

[Device-security-policy-ip-4-portallocalin2] quit

[Device-security-policy-ip] quit

(5) 配置RADIUS方案

# 建名称为rs1的RADIUS方案，配置发送给RADIUS服务器的用户名不携带ISP域名，开启RADIUS session control功能。

[Device] radius scheme rs1

[Device-radius-rs1] primary authentication 192.168.0.112

[Device-radius-rs1] primary accounting 192.168.0.112

[Device-radius-rs1] key authentication simple radius

[Device-radius-rs1] key accounting simple radius

[Device-radius-rs1] user-name-format without-domain

[Device-radius-rs1] quit

[Device] radius session-control enable

(6) 配置认证域

# 创建名称为dm1的ISP域，配置dm1的ISP域使用的RADIUS方案为rs1，系统缺省的ISP域为dm1。

[Device] domain dm1

[Device-isp-dm1] authentication portal radius-scheme rs1

[Device-isp-dm1] authorization portal radius-scheme rs1

[Device-isp-dm1] accounting portal radius-scheme rs1

[Device-isp-dm1] quit

[Device] domain default enable dm1

(7) 配置Portal认证

# 配置Portal web服务器newpt的URL，在接口GigabitEthernet1/0/2开启直接方式的Portal认证，并引用Portal web 服务器。

[Device] portal web-server newpt

[Device-portal-websvr-newpt] url http://2.2.2.1:2331/portal

[Device-portal-websvr-newpt] quit

[Device] interface gigabitethernet 1/0/2

[Device–GigabitEthernet1/0/2] portal enable method direct

[Device–GigabitEthernet1/0/2] portal apply web-server newpt

[Device–GigabitEthernet1/0/2] quit

# 开启本地Portal web服务，配置本地Portal Web服务提供的缺省认证页面文件（设备的存储介质的根目录下必须已存在该认证页面文件，否则功能不生效），指定本地Portal Web服务的HTTP服务侦听的TCP端口号。

[Device] portal local-web-server http

[Device–portal-local-websvr-http] default-logon-page abc.zip

[Device–portal-local-webserver-http] tcp-port 2331

[Device–portal-local-webserver-http] quit

5小时前回答

可以本地portal调用ldap用户

具体参考对应型号防火墙配置文档即可

5小时前回答 (4)

请问有命令码

参考配置手册就行了。。。没产品信息我也给不了命令呀。

Xcheng

F1000-AK1242

https://www.h3c.com/cn/d_

你正在,请问防火墙本地Portal认证可以使用从LDAP同步过来的用户作认证吗

CRM论坛投稿：投稿地址

　　CRM论坛（CRMBBS.COM）始办于2019年，是致力于CRM实施方案、免费CRM软件、SCRM系统、客户管理系统的垂直内容社区网站，CRM论坛持续专注于CRM领域，在不断深化理解CRM系统的同时，进一步利用新型互联网技术，为用户实现企业、客户、合作伙伴与产品之间的无缝连接与交互。

标签: Portal认证

返回列表

上一篇：BOBO,NPS+s5130s做802.1x认证，能否给用户推送公告

下一篇：网络资深玩家,接口端口号开启

“aO3xJ3,请问防火墙本地portal认证可以使用从LDAP同步过来的用户作认证吗” 的相关文章

Dldp,S7510E portal认证失败，该用户正在认证过程中2023-02-11 14:10:40

c1gQu,ER5100G2设置手机短信认证登录WIFI2023-02-12 12:38:35

71744,imc+ac2023-02-14 13:21:42

xionghua,ACG1000-E 如何做免认证登录配置2023-02-14 14:22:08

Az2eL,WX2540E portal 本地认证（用户名+密码）2023-02-15 11:11:50

COOSK琨琨,关于IMC中统计portal用户问题2023-03-02 23:18:16