Portal Server调试笔记

感谢OSSH给予的资料，感谢站长支持。 经过1个月调试，我把痛苦的调试过程写下来，希望能让大家少走弯路。 1. 环境搭建架构PC——SWITCH——–SERVERPC：192.168.10.5，网关为10.1Switch：用户侧为10网段，服务器侧为20网段，详见交换机配置章节Server：CETOS 64bit ，192.168.20.30 ，内含Portal Server，FreeRadius2. 技术原理 下文中的命令凡是在radius相关的目录，都是FreeRadius组件（开源代码可以下载）PortalServer目录里面，都是OSSH安装的服务器 3. 操作系统启动1， 下载Ossh-Portal-0.1-cd.iso ，一定要用64bit vmware虚拟机环境；2， VM先建立物理机—稍后安装操作系统 （其他方法安装不行）3， 再安装光盘，选择linux2.6.44， 1cpu，2core，2G内存，5G硬盘5， 网卡不用NAT，而是桥接，与物理PC同网段即可，否则可能网络不通；Image C:\Users\z\Documents\Virtual Machines4. VM IP设置1. VM地址：192.168.20.302. 密码： m0n0Radius 很多时候，只修改第一步就可以HOST à VMping通了 1，ifconfig命令配置 ifconfig eth0 192.168.20.30 netmask 255.255.255.0 2，修改网关 vi /etc/sysconfig/network 192.168.20.1 #上外网必须设置路由器默认路由，否则不通 route add default gw192.168.20.1 3，设置IP参数， vi /etc/sysconfig/network-scrips/ifcfg-eth0DEVICE=eth0IPADDR=192.168.20.30NETMASK=255.255.255.0GATEWAY=192.168.20.1 DNS 一般在 /etc/resolv.conf 里面4，设置DNSvi/etc/resolv.conf 增加/修改如下两行，配置两个服务器nameserver 202.197.64.6nameserver 202.197.64.22第一个是首选DNS第二个是备用DNS5，重启端口#ifdown eth0#ifup eth0#service network restart 采用ssh登录linux（也可以直接配置） 用web登录 192.168.20.30:8088，显示下面页面 [root@ossh ~]# netstat -antupl Active Internet connections (servers and established)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1070/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1146/master tcp 0 48 192.168.1.50:22 192.168.1.107:53151 ESTABLISHED 3034/sshd tcp 0 0 ::ffff:127.0.0.1:8005 :::* LISTEN 1183/java tcp 0 0 :::8009 :::* LISTEN 1183/java tcp 0 0 :::22 :::* LISTEN 1070/sshd tcp 0 0 :::8088 :::* LISTEN 1183/java tcp 0 0 ::1:25 :::* LISTEN 1146/master udp 0 0 0.0.0.0:1812 0.0.0.0:* 3028/radiusd udp 0 0 0.0.0.0:1813 0.0.0.0:* 3028/radiusd udp 0 0 0.0.0.0:1814 0.0.0.0:* 3028/radiusd udp 0 0 127.0.0.1:18120 0.0.0.0:* 3028/radiusd udp 0 0 0.0.0.0:51274 0.0.0.0:* 3028/radiusd udp 0 0 :::34153 :::* 1183/java [root@ossh ~]# ^C5. nginx服务开启6. Web Portal配置 l 编辑配置文件：vi /usr/local/portalServer/webapps/portalServer/WEB-NF/classes/configs.prod.properties修改以下内容：acHost=192.168.20.1 // AC服务器(交换机上行口)的地址acPort=2000 // 与AC服务器通信的端口sharedSecret=www.ossh.org // AC上配置与radius和portalServer通信的共享密钥#chap 0 pap 1authType=0 // 认证方式chap为0 pap为1timeoutSec=3 // 报文发送超时时间，默认为3，单位秒修改后保存，注意：每次修改配置文件后，需重启portalServer服务后方能生 l 启动portalServer服务，执行：/usr/local/portalServer/bin/startup.sh等待片刻后后，启动本地浏览器，输入http://portal的地址:8088，如果出现网页OSSH的网页，则OK。 7. 用户管理l 添加用户 vi/usr/local/etc/raddb/users 本例子采用users文件保存用户名，高级方式可以采用mysql来做。截图中的信息如下：#steveCleartext-Password := testing steveCleartext-Password := testing 111Cleartext-Password := 111 在文件中创建一个用户 111 密码111 注意事项：格式非常敏感，建议把原文件的steve用户注释删掉即可，l 保存该文件后重启radius服务 /etc/init.d/rc.radiusd restart测试认证信息 使用命令echo User-Name=steve,User-Password=testing | radclient -x127.0.0.1:1812auth testing123用户一 ： 用户名steve 密码 testing 认证 authecho User-Name=111,User-Password=111 | radclient -x127.0.0.1:1812auth testing123由上图可以看出已经测试认证成功，并且下发了一些列的参数 l 测试记账信息（如果不计费， 则不必测试）使用命令echo User-Name=steve,User-Password=testing | radclient -x127.0.0.1:1813acct testing123用户一 ： 用户名steve 密码 testing 计费 acctecho User-Name=111,User-Password=111 | radclient -x127.0.0.1:1813acct testing123 用户二： 用户名111 密码 111 计费 acct 由上图可以看出响应了记账信息返回信息如下：Sending Accounting-Request of id 128 to 127.0.0.1 port 1813 User-Name = 111 User-Password = 111 rad_recv: Accounting-Response packet from host 127.0.0.1 port 1813, id=128, length=20蓝色文字的返回信息，表示已经记账包测试成功这时候就可以使用111这帐号进行WEB弹出页面的登录认证测试了AC端需要配置相应的认证和记账模版8. 交换机配置Vlan 10: 用户口, g0/04， 192.168.10.xVlan 20: 服务器口，g0/0/2420.30 交换机配置如下配置步骤 步骤 1创建 VLAN 并配置接口允许通过的 VLAN，保证网络通畅。 # 创建 VLAN10 和 VLAN20。 [SWITCH] vlan batch 10 20 # 配置交换机连接上行网络的接口 E0/0/1 为 Access 类型接口，并将 GE0/0/1 加入VLAN20。 [SWITCH] interface Ethernet0/0/1[SWITCH-Ethernet0/0/2] port link-type access [SWITCH-Ethernet0/0/2] port default vlan 20[SWITCH-Ethernet0/0/2] quit # 配置交换机连接 RADIUS 和 portalServer 的接口 E0/0/2 为Access 类型接口，并将 GE0/0/2 加入 VLAN20。 [SWITCH] interface Ethernet0/0/2 [SWITCH-Ethernet0/0/2] port link-type access [SWITCH-Ethernet0/0/2] port default vlan 20 [SWITCH-Ethernet0/0/2] quit # 创建 VLANIF10 和 VLANIF20，并配置VLANIF 的 IP 地址，以使用户终端、Switch、企业内网资源之间能够建立起路由。此处假设 VLANIF10 的 IP 地址为192.168.10.20/24； VLANIF20 的 IP 地址为 192.168.20.29/24。 [SWITCH] interface vlanif 10 [SWITCH-Vlanif10] ip address 192.168.10.20 24 //10.1 [SWITCH] interface vlanif 20 [SWITCH-Vlanif20] ip address 192.168.20.29 24 //20.1[SWITCH-Vlanif20] quit 步骤 2创建并配置 RADIUS 服务器模板、AAA 方案以及认证域。 # 创建并配置 RADIUS 服务器模板“rd1”。 [SWITCH] radius-server template rd1 [SWITCH-radius-rd1] radius-server authentication 192.168.20.30 1812 [SWITCH-radius-rd1] radius-server shared-key simple testing123 ( 手册里面的不对www.ossh.org )[SWITCH-radius-rd1] radius-server retransmit 2 [SWITCH-radius-rd1] quit # 创建 AAA 方案“abc”并配置认证方式为 RADIUS。 [SWITCH] aaa [SWITCH-aaa] authentication-scheme abc [SWITCH-aaa-authen-abc] authentication-mode radius [SWITCH-aaa-authen-abc] quit # 创建认证域“ossh.org”，并在其上绑定AAA 方案“abc”与RADIUS 服务器模板“rd1”。 [SWITCH-aaa] domain ossh.org [SWITCH-aaa-domain-isp1] authentication-scheme abc [SWITCH-aaa-domain-isp1] radius-server rd1 [SWITCH-aaa-domain-isp1] quit [SWITCH-aaa] quit # 配置全局默认域为“ossh.org”。用户进行接入认证时，以格式“user@ossh.org”输入用户名即可在 ossh.org 域下进行 aaa 认证。如果用户名中不携带域名或携带的域名不存在，用户将会在默认域中进行认证。 [SWITCH] domain ossh.org 步骤 3配置外部 Portal 认证 # 创建并配置名称为“abc”的 Portal 服务器模板。 [SWITCH] web-auth-server abc [SWITCH -web-auth-server-abc] server-ip 192.168.20.30 [SWITCH -web-auth-server-abc] port 50100 [SWITCH -web-auth-server-abc] shared-key cipher www.ossh.org [SWITCH -web-auth-server-abc] url http://192.168.20.30:8088 [SWITCH -web-auth-server-abc] quit # 使能 Portal 认证功能。 [SWITCH] interface vlanif 10 [SWITCH -Vlanif10] web-auth-server abc direct[SWITCH -Vlanif10] quit 步骤 4查看配置的 Portal 服务器的参数信息。 # 执行命令 display web-auth-server configuration 查看 Portal 服务器相关的 配置信息。 SWITCH display web-auth-server configuration Listening port : 2000 Portal : version 1, version 2 Include reply message : enabled———————————————————————– – Web-auth-server Name : abc IP-address : 192.168.20.30 Shared-key : %$%$]$c{$)Bp!XFdN G2DBG(T#wn%$%$ Port / PortFlag : 50100 / NO URL : http://192.168.20.30:8088 Bounded Vlanif : 10 ———————————————————————– – 1 Web authentication server(s) in total 步骤 5在交换机上添加默认路由：ip route-static 0.0.0.0 0.0.0.0 192.168.20.1 其中 192.168.20.1为交换机上行端口的网关地址 步骤 6配置 portal 白名单 portal free-rule 0 destination ip 192.168.1.1 mask 255.255.255.255 其中的 192.168.1.1 为用户认证之后上网所需的 DNS 地址，实际以真实网络环境中的 DNS为准 可选配置：# Portal用户下线探测9. Portal配置安装portalServer —本系统OSSH已经安装，不必再操作1)、解压portal安装文件:tar –zxvf ./portalServer_2013-12-26.tar.gz2)、移动文件到指定目录：mv ./portalServer /usr/local 3)、配置portal参数—重要：修改以下内容：acHost=192.168.20.1// AC服务器(交换机上行口)的地址acPort=2000 // 与AC服务器通信的端口sharedSecret=www.ossh.org // AC上配置与radius和portalServer通信的共享密钥#chap 0 pap 1authType=0// 认证方式chap为0 pap为1timeoutSec=3// 报文发送超时时间，默认为3，单位秒修改后保存，注意：每次修改配置文件后，需重启portalServer服务后方能生效 4)、启动portalServer服务，执行：/usr/local/portalServer/bin/startup.sh10. Free Radius配置11. Bingo 用户登录成功12. 关键点汇总13. 切换到mysql14. 附录1-调试过程记录15. 附录2-调试过程16. 附录3-交换机调试信息17. 附录4-portal服务器调试18. 附录5-常用命令