Captive Portal就是一個驗證的畫面,會到AD去做查詢輸入的帳號是否正確。
運作方式是有人輸入帳號、密碼才會去向AD做驗證,傾向被動。
帳號、密碼驗證後再確認該User或所在的Group,
依找APCL/URLF policy或Firewall policy去決定Allow、Block或Drop。
Catpvie Portal和AD Query的功能不太一樣,AD Query會主動去和DC撈目前登入的資料。
壹、設定步驟
Step 1:啟用Captive Portal功能
開啟SmartDashboard後,在cpcluster的物件點選兩下進入編輯。
將Identity Awareness勾選啟用該功能。
勾選Browser-BasedAuthentication再點選Next。
Domain Name : cklab.com.tw 看需求決定
Username : administrator
Password : xxxxxxxx Administrator密碼
Domain Controller : 192.168.20.208 AD Server IP
輸入後點選Connect按鈕確認是否成功。
暫時先用IP方式的URL登入,點選Next與Finish按鈕。
Step 2:新增人員物件
Note – 啟用人員物件必需在有做認證(IA或Portal)下才可識別。
例:在Access Role新增網段,但沒有登入Portal是無法判斷,需用Network Object才可判斷。
點選人員頁籤,在Access Roles點選右鍵,再點選New Access Role。
Name : ca1 可自訂群組名單
Comment : ca1 可自訂
選擇Users的頁籤再點選綠色加號按鈕新增人員來加入AD裡的人員或群組。
試著把人員都先加入,方便待會新增policy直接選取。
Step 3:新增Policy
Source : ca1 可自訂您想要的人員或群組
Application/Sites : Games 可自訂自己想過濾的類別
Action : Allow 要選擇Allow才可以啟用Identity Captive Portal
在Action的地方點選右鍵選取Identity Capive Portal,並將核選方塊打勾再點選OK。
可以參考以下的policy。
Step 4:驗證Policy
輸入Game類別裡的URL(www.gamer.com.tw),就會被導到驗證的Portal畫面。
如果輸入的帳號、密碼是對的且符合policy規定就可以看該網頁,反之,就會被阻擋。
開啟SmartTracker可以查看log,確認當時被阻擋的原因。
在彈出Portal驗證畫面時,會出現https://192.168.20.251/connect,但希望我們用Domain Name顯示,不要用IP顯示。所以我們接下來要設定這部份。
Step 5:DNS Server設定
在DNS Server新增一筆A Record
名稱 : portal
類型 : 主機(A)
資料 : 192.168.20.251 Virtual IP
Step 6:從GMGT產生CSR檔
[Expert@cpm:0]# cpopenssl req –new –out my1.scr –keyout my1.key –config $CPDIR/conf/openssl.cnf
Enter PEM pass pharse : xxxxxxxx 可自訂
Verifying - Enter PEM pass pharse : xxxxxxxx 可自訂
Country Name : TW 國別(兩碼)
State or Province Name : Taiwan 國別(全名)
Locality Name : Hsinchu 城市
Organization Name : cklab 公司名稱
Organizational Unit Name : IT 部門名稱
Common Name : portal.cklab.com.tw Domain Name
Note – Common Name千萬不能打錯,之後就是利用這個Domain Name去連captive portal。
在DNS Server的A Record也不能打錯。
Email Address : 可不填
A challenge password : 可不填
An optional company name : 可不填
用WinSCP軟體將my1.csr複製出來。
用編輯軟體開啟該CSR檔。
Step 7:從CA Server產生CRT檔
登入CA Server的網頁點選要求憑證,再點選進階憑證要求。
把CSR檔的內容貼在格子內,憑證範本選擇網頁伺服器並點選提交按鈕。
選擇Base 64編碼並點選下載憑證。
Step 8:從CA Server產生CRT檔
先用WinSCP軟體把產生的certnew.cer丟到MGMT內。
[Expert@cpm:0]# cpopenssl pkcs12 –export –out my1.p12 –in certnew1.cer –inkey my1.key
Enter pass phrase for my1.key : xxxxxxxx
Enter Export Password : xxxxxxxx
Verifying - Enter Export Password : xxxxxxxx
利用WinSCP軟體再把my1.p12抓到桌面或您所知的目錄底下。
Step 9:將P12檔匯入Identity Awareness
開啟SmartDashboard後,點選cluster物件進入編輯模式。
選擇右邊選單的Identity Awareness,再點選Settings與Edit按鈕。
Main URL : https://portal.cklab.com.tw/connect 直接在格子裡編輯
IP Address : 192.168.20.251
點選Import或Replace按鈕 圖片因已編輯過會出現Replace按鈕
選擇P12檔的位置後,輸入密碼xxxxxxxx。
最後記得點選Install Policy。
設定完成,可再去試試看是否會用portal.cklab.com.tw呈現。
留言列表
