j'ai compris

Processus d'authentification Portal 2.0 - iMaster NCE

publié il y a  2021-3-17 11:28:38 172 0 0 0 0

Processus d'authentification Portal 2.0

note_3.0-en-us.png

Le serveur de portail et le serveur RADIUS sont respectivement le module de portail intégré et le module RADIUS d' iMaster NCE-Campus .

  • Les utilisateurs se connectent via l'authentification du portail ( Web )

    Figure 5 Les utilisateurs se connectent via l'authentification du portail (Web)
    en-us_image_0198298584.png
  1. Un client lance une demande de connexion via HTTP.

  2. Le périphérique d'accès autorise le passage d'un paquet HTTP destiné au serveur de portail ou d'un paquet HTTP destiné aux ressources réseau sans authentification configurées. Il redirige un paquet HTTP destiné à d'autres adresses vers la page d'authentification du portail.

  3. L'utilisateur entre le nom d'utilisateur et le mot de passe sur la page d'authentification du portail pour lancer une demande d'authentification auprès du serveur de portail.

  4. Le serveur de portail échange des informations avec le périphérique d'accès pour implémenter l'authentification CHAP (Challenge Handshake Authentication Protocol). Le serveur de portail envoie un paquet de demande de défi (REQ_CHALLENGE) au périphérique d'accès. Si l'authentification PAP (Password Authentication Protocol) est adoptée, le serveur de portail exécute directement l'étape 6 sans échanger d'informations avec le périphérique d'accès.

  5. Le périphérique d'accès envoie un paquet de réponse de défi (ACK_CHALLENGE) au serveur de portail.

  6. Le serveur de portail encapsule le nom d'utilisateur et le mot de passe dans un paquet de demande d'authentification (REQ_AUTH) et envoie le paquet au périphérique d'accès.

  7. Le périphérique d'accès envoie un paquet de demande d'authentification (ACCESS-REQUEST) au serveur RADIUS en fonction du nom d'utilisateur et du mot de passe obtenus. Le mot de passe est chiffré à l'aide d'une clé pré-partagée.

  8. Le serveur RADIUS authentifie le nom d'utilisateur et le mot de passe. Si l'authentification réussit, le serveur RADIUS envoie un paquet d'acceptation d'authentification (ACCESS-ACCEPT) au client RADIUS. Si l'authentification échoue, le serveur RADIUS envoie un paquet de rejet d'authentification (ACCESS-REJECT) au client RADIUS. Puisque le protocole RADIUS intègre l'authentification et l'autorisation, un paquet RADIUS ACCESS-ACCEPT contient également des informations d'autorisation.

  9. Le dispositif d'accès autorise ou rejette l'accès des utilisateurs en fonction du résultat de l'authentification. Si l'accès utilisateur est autorisé, le périphérique d'accès envoie un paquet de demande de démarrage de comptabilité (DEMANDE-COMPTABILITÉ) au serveur RADIUS.

  10. Le serveur RADIUS répond par un paquet de réponse de démarrage de la comptabilité (COMPTABILITÉ-RÉPONSE), démarre la comptabilité et ajoute l'utilisateur à la liste d'utilisateurs en ligne locale. Si l'authentification du portail prioritaire par adresse MAC est activée, le serveur RADIUS ajoute également l'adresse MAC du client et le SSID pour l'authentification du portail au cache du serveur et à la base de données. (Seul le mode d'authentification de couche 2 prend en charge l'authentification du portail par adresse MAC prioritaire.)

  11. Le périphérique d'accès envoie le résultat de l'authentification du portail (ACK_AUTH) au serveur de portail et ajoute l'utilisateur à la liste d'utilisateurs en ligne locale.

  12. Le serveur portail envoie le résultat d'authentification au client d'informer le client que l' authentification réussit , et ajoute l'utilisateur à la liste des utilisateurs locaux en ligne.

  13. Le serveur de portail envoie un paquet d'accusé de réception de réponse d'authentification (AFF_ACK_AUTH) au périphérique d'accès.

Les utilisateurs se déconnectent activement via l'authentification du portail ( Web )

Figure 6 Les utilisateurs se déconnectent activement via l'authentification du portail (Web)
en-us_image_0198299910.png
  • Si l'authentification du portail prioritaire par adresse MAC est activée, la désinscription de l'authentification active déconnecte uniquement la session en cours. Le serveur RADIUS ne supprime pas l'adresse MAC du client du cache du serveur et de la base de données, et l'authentification du portail par priorité d'adresse MAC est toujours effective.

  • Si le périphérique d'accès ne reçoit pas le paquet de réponse d'arrêt de comptabilité envoyé par le serveur RADIUS dans un délai (5 secondes par défaut), le périphérique d'accès renvoie un paquet de demande d'arrêt de comptabilité. Par défaut, si le périphérique d'accès renvoie les paquets de demande d'arrêt de comptabilité trois fois et ne reçoit pas le paquet de réponse d'arrêt de comptabilité du serveur RADIUS, le périphérique d'accès considère que le serveur RADIUS ne répond pas.

  1. Un client envoie une demande d'authentification de désinscription.

  2. Le serveur de portail envoie un paquet de notification de déconnexion (REQ_LOGOUT) au périphérique d'accès.

  3. Le périphérique d'accès envoie un paquet de demande d'arrêt de comptabilité (DEMANDE-COMPTABILITÉ) au serveur RADIUS et supprime l'utilisateur de la liste des utilisateurs en ligne. En même temps, le périphérique d'accès envoie un paquet de réponse de déconnexion (ACK_LOGOUT) au serveur de portail.

  4. Le serveur RADIUS répond par un paquet de réponse d'arrêt de comptabilité (COMPTABILITÉ-RÉPONSE) et supprime l'utilisateur de la liste des utilisateurs en ligne.

    note_3.0-en-us.png
  5. L'utilisateur du portail supprime l'utilisateur de la liste d'utilisateurs en ligne locale et déconnecte l'utilisateur.

Un administrateur force les utilisateurs à se déconnecter via l'authentification du portail sur iMaster NCE-Campus ( Web )

Après qu'un administrateur force un utilisateur à se déconnecter sur iMaster NCE-Campus , iMaster NCE-Campus envoie un paquet de notification de déconnexion au serveur RADIUS et au serveur Portal, qui envoient le paquet de notification de déconnexion au périphérique d'accès. Le processus suivant varie en fonction de la séquence dans laquelle le périphérique d'accès reçoit les paquets de notification de déconnexion.

Figure 7 Situation 1: un administrateur force les utilisateurs à se déconnecter via l'authentification du portail sur iMaster NCE-Campus (Web)
en-us_image_0198301037.png
Figure 8 Situation 2: un administrateur force les utilisateurs à se déconnecter via l'authentification du portail sur iMaster NCE-Campus (Web)
en-us_image_0198302058.png
note_3.0-en-us.png

Si l'authentification du portail prioritaire par adresse MAC est activée, iMaster NCE-Campus notifie au serveur RADIUS de supprimer l'adresse MAC du client lorsque l'administrateur force l'utilisateur à se déconnecter sur iMaster NCE-Campus . Lorsque le serveur RADIUS supprime l'utilisateur de la liste d'utilisateurs en ligne locale, il supprime également l'adresse MAC du cache du serveur et de la base de données si l'adresse MAC n'expire pas.

  • Si le périphérique d'accès reçoit d'abord le paquet de notification de déconnexion du serveur RADIUS, le périphérique d'accès envoie un paquet de réponse de déconnexion (DM ACK / NAK) et un paquet de demande d'arrêt de la comptabilité (ACCOUNTING-REQUEST) au serveur RADIUS, envoie une notification de déconnexion active packet (NTF_LOGOUT) vers le serveur de portail et supprime l'utilisateur de la liste d'utilisateurs en ligne locale.

  • Si le périphérique d'accès reçoit d'abord le paquet de notification de déconnexion du serveur de portail, le périphérique d'accès envoie un paquet de réponse de déconnexion (ACK_LOGOUT) au serveur de portail, envoie un paquet de demande d'arrêt de comptabilité (ACCOUNTING-REQUEST) au serveur RADIUS et supprime utilisateur de la liste d'utilisateurs en ligne locale.

  • Situation 1: le périphérique d'accès reçoit d'abord le paquet de notification de déconnexion du serveur RADIUS.

  • Situation 2: le périphérique d'accès reçoit d'abord le paquet de notification de déconnexion du serveur Portal.

  1. L'administrateur force un utilisateur à se déconnecter sur iMaster NCE-Campus .

  2. iMaster NCE-Campus informe le serveur RADIUS et le serveur de portail que l'utilisateur souhaite se déconnecter.

  3. Le serveur RADIUS et le serveur de portail envoient simultanément des paquets de notification de déconnexion au périphérique d'accès. Le serveur RADIUS envoie un paquet DM Request et le serveur de portail envoie un paquet REQ_LOGOUT.

  4. Le dispositif d'accès effectue l'une des opérations suivantes en fonction de la séquence dans laquelle il reçoit le paquet de notification de déconnexion.

  5. Le serveur RADIUS envoie un paquet de réponse d'arrêt de la comptabilité (COMPTABILITÉ-RÉPONSE) au périphérique d'accès et supprime l'utilisateur de la liste d'utilisateurs en ligne locale. Dans la situation 1, le serveur de portail envoie un paquet de réponse de déconnexion (ACK_NTF_LOGOUT) au périphérique d'accès; dans la situation 2, le serveur de portail envoie un paquet d'accusé de réception de réponse de déconnexion (AFF_ACK_LOGOUT) au dispositif d'accès et supprime l'utilisateur de la liste d'utilisateurs en ligne locale.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.