https://support.huawei.com/enterprise/zh/doc/EDOC1000160160/b6c52cbb
Portal认证故障
用户无法上线
故障案例:Portal认证页面推不出来
现象描述
采用Portal认证方式对用户进行认证,但用户无法看到Portal认证页面。
相关告警与日志
无
原因分析
客户端PC与设备网络不通。
客户端PC的浏览器不支持TLS1.1和TLS1.2。
客户端PC的浏览器版本过低。
认证策略配置错误。
触发portal认证的流量不是标准HTTP和HTTPS流量。
操作步骤
请按照如下步骤定位。
使用PC访问https://fw_ip:8887(fw_ip为设备连接用户所在区域的接口IP地址),确认是否能访问Portal页面。
如果直接访问成功,可以判断链路正常,客户端的配置也满足要求,转步骤6处理;
如果直接访问失败,转步骤2处理。
如果访问失败,请检查链路状态,进行ping测试;
如果ping测试成功,转步骤3处理;
如果ping测试失败,需要定位链路状态,具体请参见故障处理:防火墙转发。
检查终端PC的SSL版本是否满足要求:
缺省情况下,FW推送的Web认证页面支持的SSL版本为TLS1.1和TLS1.2。
FW和用户的Web浏览器支持的SSL版本应该匹配。如果用户的Web浏览器使用过时的不安全的SSL版本,会导致无法打开认证页面,提示无法建立安全连接。如下图所示为IE11的提示:
故障案例:服务器连通性检测失败。
检查认证域的配置是否正确。
主要检查如下2点:
(1)源、目的安全区域和源、目的地址是否正确。
方法:通过执行如下命令查看会话。
<sysname> display firewall session table verbose source inside x.x.x.x(终端PC的私网地址)
通过对比会话中的源、目的域和源、目的地址是否能够匹配认证策略;如果会话信息无法匹配认证策略,则需要修改认证策略,使之能够和用户流量的会话信息匹配。
(2)认证动作是否正确。
本地认证和服务器认证时需要选择portal认证;单点登录,VPN登录等场景,选择免认证。
对于用户IP/MAC绑定,单点登录,VPN登录等场景,需要配置一条免认证的认证策略,基于用户(组)配置的安全策略等才会生效。
检查在线用户信息:确认用户是否已经在线,以及用户上线时携带的用户组和安全组信息和策略中所配置的用户(组)信息是否一致。
如果用户未上线成功,参考用户无法上线,使用户能够正常上线;
如果用户正常上线,转步骤3处理。
检查策略配置,确认源、目的安全域,源、目的IP等配置是否与用户的流量相匹配。用户流量的源、目的安全域和源、目的IP等信息,可以通过查看用户流量对应的会话表进行确认。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://www.hqyman.cn/post/6670.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~