当前位置：文档库 › IMC portal快速认证

IMC portal快速认证

*红色区域为配置portal认证启用快速认证需要注意的地方

UAM服务器地址为192.168.1.252，接入设备用户侧地址为192.168.30.50。PC IP地址为192.168.30.134

配置UAM服务器

1. 增加接入设备

选择“用户”页签。单击导航树中的“接入策略管理> 接入设备管理> 接入设备配置”菜单项，进入接入设备配置页面，

单击<增加>按钮，进入增加接入设备页面

单击<手工增加>按钮，弹出手工增加接入设备窗口，输入接入设备IP地址192.168.30.50，该IP地址需要与设备配置中RADIUS scheme的NAS IP一致；（如果未配置NAS IP，则使用接入设备与UAM相连接口所在VLAN的IP地址，即192.168.1.50），即设备配置中的NAS IP为192.168.30.50。单击<确定>按钮，返回增加接入设备页面。

公共参数只需要输入共享密钥\确认共享密钥“movie”，选择设备类型H3C（General），其他保持默认即可，认证端口和计费端口默认为1812、1813，且与设备配置保持一致。

单击<确定>按钮，增加接入设备完毕，进入结果显示页面。点击“返回接入设备列表”链接，返回接入设备配置页面，在列表中查看新增的接入设备。

2. 增加接入策略

选择“用户”页签。单击导航树中的“接入策略管理> 接入策略管理”菜单项，进入接入策略管理页面

单击<增加>按钮，进入增加接入策略页面，因为不需要任何接入控制，所以输入接入策略名“my permit”，其他参数保持默认即可

单击<确定>按钮，返回接入策略管理页面，新增的接入策略显示在列表中

3. 增加接入服务

选择“用户”页签。单击导航树中的“接入策略管理> 接入服务管理”菜单项，进入接入服务管理页面

单击<增加>按钮，进入增加接入服务页面

输入服务名“my portal”、服务后缀“portal”，缺省接入策略选择之前配置的“my permit”，其他参数保持默认即可，如果要启用快速认证勾选上Portal无感知认证（v5版本）、勾选上mac无感知认证（v7版本）。服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关，具体的搭配关系请参见表1

表1

单击<确定>按钮，完成增加接入服务。返回接入服务管理页面，在列表中查看新增的接入服务

4.增加接入用户

选择“用户”页签。单击导航树中的“接入用户管理> 接入用户”菜单项，进入接入用户页面

单击<增加>按钮，进入增加接入用户页面，页面中portal无感知认证最大绑定数选择值不是

“不支持绑定”实现快速认证功能。

这里可以点击选择按钮、增加用户按钮两种操作方式下面介绍点击选择按钮的方式：

输入用于认证的帐号名test001、密码及密码确认，勾选之前配置的接入服务“my portal”，其他参数保持默认即可

单击<确定>按钮，完成增加接入用户，返回接入用户页面。在列表中查看新增的接入用户

配置Portal服务

1.服务器配置

选择“用户”页签。单击导航树中的“接入策略管理> Portal服务管理> 服务器配置”菜单项，进入服务器配置页面

在服务类型列表中，单击<增加>按钮，弹出增加服务类型窗口，输入服务类型标识“portal”和服务类型“office”。服务类型标识必须与之前增加服务的服务后缀相同。服务类型是对服务类型标识的说明和区分

单击<确定>按钮，完成增加服务类型。返回服务器配置页面。在服务类型列表中查看新增的服务类型

单击<确定>按钮，完成Portal服务器配置

2. IP地址组配置

选择“用户”页签。单击导航树中的“接入策略管理> Portal服务管理> IP地址组配置”菜单项，进入IP地址组配置页面

单击<增加>按钮，进入增加IP地址组页面

单击<确定>按钮，完成增加IP地址组，返回IP地址组配置页面。在列表中查看新增的IP地址组

3. 设备配置

选择“用户”页签。单击导航树中的“接入策略管理> Portal服务管理> 设备配置”菜单项，进入设备配置页面

单击<增加>按钮，进入增加设备信息页面

输入设备名“device_portal”、IP地址“192.168.30.50”和密钥\确认密钥“expert”，并选择组网方式和版本，其他参数保持默认即可。密钥要与设备上配置的Portal服务器密钥保持一致

单击<确定>按钮，完成增加设备信息。返回设备配置页面，在列表中查看新增的设备信息

在设备信息列表中，单击操作下的端口组信息管理图标，进入端口组信息配置页面

单击<增加>按钮，进入增加端口组信息页面

输入端口组名“port_portal”，选择之前配置的“portal_test”，这里如果勾选了无感知认证则可以进行快速认证，单击<确定>按钮，完成增加端口组信息。返回端口组信息配置页面，在列表中查看新增的端口组信息

设备配置

UAM服务器地址为192.168.1.252，接入设备用户侧地址为192.168.30.50。PC IP地址为192.168.30.134

操作均在AC上操作，选用移动的宽带做网络搭建

进入系统视图。

system-view

System View: return to User View with Ctrl+Z.

配置RADIUS策略“allpermit”。认证、计费服务器均指向UAM。认证端口、计费端口、共享密钥要与UAM中增加接入设备时的配置保持一致。

[Device]radius scheme allpermit

New Radius scheme

[Device-radius-allpermit]primary authentication 192.168.1.252 1812

[Device-radius-allpermit]primary accounting 192.168.1.252 1813

[Device-radius-allpermit]key authentication movie

[Device-radius-allpermit]key accounting movie

[Device-radius-allpermit]user-name-format with-domain用户验证时用户名输入为X@Y/ user-name-format without-domain用户验证时用户名输入为X

[Device-radius-allpermit]nas-ip 192.168.30.50

[Device-radius-allpermit]quit

配置domain域“portal”，引用配置好的“allpermit”策略。domain的名称必须与UAM中服务的后缀保持一致。

[Device]domain portal

New Domain added.

[Device-isp-portal]authentication portal radius-scheme allpermit

[Device-isp-portal]authorization portal radius-scheme allpermit

[Device-isp-portal]accounting portal radius-scheme allpermit

[Device-isp-portal]quit

配置Portal服务器“myportal”，IP地址指向UAM，key、url要与UAM上的配置一致。Ten-GigabitEthernet1/0/1为AC通向UAM服务器的接口，ip 218.201.4.3为移动dns地址

[Device]portal server myportal ip 192.168.1.252 key expert url

http://192.168.1.252:8080/portal //缺省的认证url定向地址

[Device]portal free-rule 1 source interface Ten-GigabitEthernet1/0/1 destination any

[Device]portal free-rule 2 source ip any destination ip 218.201.4.3 mask

255.255.255.255

[Device]portal mac-trigger server ip 192.168.201.3//配置MAC绑定服务器信息

在vlan接口下直接启用Portal认证，Portal服务器配置为“myportal”。

[Device]interface Vlan-interface 10

[Device-Vlan-interface10] ip address 172.19.10.2 255.255.255.0

[Device-Vlan-interface10] portal server myportal method direct

[Device-Vlan-interface10] portal domain portal

[Device-Vlan-interface10] portal nas-ip 192.168.30.50

[Device-Vlan-interface10] portal mac-trigger enable period 60 threshold 1024//配置MAC认证功能

[Device-Vlan-interface10]quit

身份认证和访问控制实现原理

身份认证和访问控制实现原理身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构，将采用利用Web服务器对SSL（Secure Socket Layer，安全套接字协议）技术的支持，可以实现系统的身份认证和访问控制安全需求。而对于C/S架构，将采用签名及签名验证的方式，来实现系统的身份认证和访问控制需求。以下将分别进行介绍：基于SSL的身份认证和访问控制目前，SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术，在用户使用浏览器访问Web服务器时，会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时：首先，服务器会传送它的服务器证书，客户端会自动的分析服务器证书，来验证服务器的身份。其次，服务器会要求用户出示客户端证书（即用户证书），服务器完成客户端证书的验证，来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效（即是否被窜改等）和客户端证书是否被吊销等。验证通过后，服务器会解析客户端证书，获取用户信息，并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成，对用户是透明的。如下图所示，除了系统中已有的客户端浏览器、Web服务器外，要实现基于SSL的身份认证和访问控制安全原理，还需要增加下列模块：基于SSL的身份认证和访问控制原理图 1.Web服务器证书要利用SSL技术，在Web服务器上必需安装一个Web服务器证书，用来表明服务器的身份，并对Web服务器的安全性进行设置，使能SSL功能。服务器证书由CA 认证中心颁发，在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web 服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效期，Web服务器需要使能SSL功能的前提是必须拥有服务器证书，利用服务器证书来协商、建立安全SSL安全通道。这样，在用户使用浏览器访问Web服务器，发出SSL握手时，Web服务器将配置的服务器证书返回给客户端，通过验证服务器证书来验证他所访问的网站是否真

医院证照管理制度

企业管理，人事管理，岗位职责。医院证照管理制度一、目的为加强医院证照原件及申办资料的管理，保护医院合法权益并按时年检，特制订本制度。二、医院证照资料的范围营业执照、组织机构代码证、法人证书、税务登记证等医院院级的证照及其申办原始资料的原件及复印件。三、证照借阅医院证照的借阅原则是：一事一借、用毕归还、再用再借、谁用谁借。四、证照的保管归档医院证照原件及复印件由办公室保管，设专人负责。五、证照的使用管理 1、各科室因工作需耍，借阅、借用、复印医院证照资料，须填写《高密市妇幼保健院医院证照使用申请单》，经科室负责人及分管院长同意并签字确认后，可到办公室办理相应手续。 2、办公室根据签批的《高密市妇幼保健院医院证照使用申诮单》办理借阅、借用、复印等业务，其他任何人提出的任何要求，均不予受理。 3、凡借阅、借用证照资料，必须在申请当日归还。 4、医院证照不得丢失、损坏。如出现损坏或丢失，除立即向主管领导报告外，要立即与发证机关联系，及时办理证照的挂失和补办手续。 5、不许擅自使用医院证照进行各种担保。 6、医院证照的电子版不得对外公布，复印件使用必须在复印件关键部位手写“本复印件仅限于办理XXX业务”。六、证照的年审、到期、变更医院证照的年审、到期、变更等相关业务由办公室专人负责，并定期按照上级部门要求进行。七、相关责任 1、专人负责的证照都应有清单和目录，确保证照数据的准确性，对于借阅和归档都应有相应人员的签字确认，证照的管理专人负有登记的及时性和完整性贲任。 2、证照借阅人负责借阅期间的保管，确保医院证照的完整性和整洁性，使用完毕后应及时归档。借阅期间不允许转借他人使用。鞠躬尽瘁，死而后已。——诸葛亮 a

portal认证介绍

Portal认证技术认证技术就是AAA(认证,授权,计费)得初始步骤,AAA一般包括用户终端、AAAClient、AAA Server与计费软件四个环节。用户终端与AAA Client之间得通信方式通常称为"认证方式"。目前得主要技术有以下三种:PPPoE、Web＋Portal、IEEE802、1x。基于web方式得认证技术最广为人知得一点就是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议,在网络应用日益复杂得形势下,很多复杂得管理要求已经涉及到高层协议,面对这些要求,基于2、3层得认证技术入PPPoE,802、1x就无能为力。 1.PPPoE 通过PPPoE(Point-to-Point Protocol over Ethernet)协议,服务提供商可以在以太网上实现PPP协议得主要功能,包括采用各种灵活得方式管理用户。 PPPoE(Point-to-Point Protocol over Ethernet)协议允许通过一个连接客户得简单以太网桥启动一个PPP对话。 PPPoE得建立需要两个阶段,分别就是搜寻阶段(Discovery stage)与点对点对话阶段(PPP Session stage)。当一台主机希望启动一个PPPoE对话,它首先必须完成搜寻阶段以确定对端得以太网MAC地址,并建立一个PPPoE得对话号(SESSION_ID)。在PPP协议定义了一个端对端得关系时,搜寻阶段就是一个客户-服务器得关系。在搜寻阶段得进程中,主机(客户端)搜寻并发现一个网络设备(服务器端)。在网络拓扑中,主机能与之通信得可能有不只一个网络设备。在搜寻阶段,主机可以发现所有得网络设备但只能选择一个。当搜索阶段顺利完成,主机与网络设备将拥有能够建立PPPoE得所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立,主机与网络设备都必须为点对点对话阶段虚拟接口提供资源（1）PPPoE方式其整个通信过程都必须进行PPPoE封装,效率较低,由于宽带接入服务器要终结大量得PPP会话,将其转换为IP数据包,使宽带接入服务器成为网络性能得“瓶颈”。(2)由于点对点得特征,使组播视频业务开展受到很大得限制,视频业务大部分就是基于组播得。 (3)PPPoE在发现阶段会产生大量得广播流量,对网络性能产生很大得影响 2、802、1x 802、1x认证,起源于802、11协议,后者就是标准得无线局域网协议,802、1x协议提出得主要目得:一就是通过认证与加密来防止无线网络中得非法接入,二就是想在两层交换机上实现用户得认证,以降低整个网络得成本。其基本思想就是基于端口得网络访问控制,即通过控制面向最终用户得以太网端口,使得只有网络系统允许并授权得用户可以访问网络系统得各种业务(如以太网连接,网络层路由,Internet接入等)。 802、1x认证仅仅在认证阶段采用EAPOL(EAP encapsulation over LANs)报文,认证之后得通信过程中采用TCP/IP协议。EAP(Extensible Authentication Protocol扩展认证协议)就是对PPP协议得扩展,EAP对PPP得扩展之一就就是让提供认证服务得交换机从认证过程中解脱出来,而仅仅就是中转用户与认证服务器之间得EAP包,所有复杂得认证操作都由用户终端与认证服务器完成。 802、1x最大得优点就就是业务流与控制流分离,一旦认证通过,所有业务流与认证系统相分离,有效地避免了网络瓶颈得产生。 802、1x协议为二层协议,不需要到达三层,而且接入层交换机无需支持802、1q得VLAN,对设备得整体性能要求不高,可以有效降低建网成本。缺点: *需要特定客户端软件

Portal(WEB)及802.1X认证

青岛大学Portal（WEB）及802.1X认证使用说明书一、Portal（web）认证使用说明 (2) 1.1 登录 (2) 1.2 退出 (7) 1.3 修改密码 (8) 1.4 查询上网明细 (9) 二、802.1x认证使用说明 (10) 2.1 802.1x客户端安装 (10) 2.2 创建连接 (12) 2.3 登录 (16) 2.4 退出 (18) 2.5 修改密码 (18) 2.6 查询上网明细 (19)

在教学及办公区人员上网使用的是Portal（web）认证模式；在宿舍区上网使用的是802.1x认证模式！一、P ortal（web）认证使用说明（教学及办公区使用） 1.1 登录打开IE浏览器，在地址栏中输入网站地址，这时IE将会出现认证窗口，也可以直接在浏览器地址栏中输入http://172.20.1.1/portal，见图1-1：图1-1 Portal认证方法：用户名还是原来使用的用户名（教工为身份证号码后10位，学生为学号），密码统一为123456，请各位用户首先按下面的方法修改自己的密码。（1）、输入用户名和密码后，如果不选择“客户端”方式，直接点击<连接>，在认证成功后将会为您打开一个在线网页窗口。见图1-2：

图1-2 如果不想下线请不要关闭此窗口，如果想下线请点击<断开>，正常断开后在关闭此窗口。（2）、输入用户名和密码后，如果选择客户端方式，在认证时将会为您下载一个插件，认证成功后认证窗口将会最小化到系统托盘中。见图1-3 注：如果在下载插件过程中出现图1-4的信息时，请按照要求操作（见图1-5至1-8）：

WIFI+Portal认证解决方案_高可靠性

宽带连接世界,信息改变未来 WIFI+Portal认证解决方案 2013年02月

目录 1 概述 (3) 2 安朗WIFI+Portal认证系统解决方案 (3) 2.1 系统拓扑 (4) 2.2 系统容量估算 (4) 2.3 防火墙 (5) 2.4 负载均衡 (5) 2.5 Portal系统 (5) 2.6 AAA系统 (5) 2.7 Oracle数据库 (6) 2.8 磁盘阵列 (6) 3 方案特点 (6) 4 典型案例 (6) 4.1 广州电信本地WIFI认证平台 (6) 4.2 广交会WiFi+Portal 认证平台 (8) 广州安朗通信科技有限公司 2 / 9

1概述随着智能手机和手持终端的不断普及，使用者需要随时随地上网获取信息。为了给客户更好的服务，越来越多的商家开始提供免费或者收费的WIFI接入服务。在酒店、餐饮、汽车4S店等行业，都开始都提供WIFI服务。目前随着WIFI的接入增加，对于WIFI的认证也逐渐开始收到了更多的关注。特别是对于WIFI的Portal认证方式收到了越来越多的应用。对于电信运营商这一类的WIFI接入提供商来说，Portal认证系统的稳定可靠是优先考虑的，这就需要提供一个具有高可靠性的Portal 认证系统。 2安朗WIFI+Portal认证系统解决方案为了满足高可靠性的需要，安朗WIFI+ Portal系统解决方案中包括防火墙、负载均衡、Portal系统、AAA系统、Orcale数据库（负载均衡工作模式）、磁盘阵列等部分。广州安朗通信科技有限公司 3 / 9

广州安朗通信科技有限公司 4 / 9 2.1 系统拓扑 2.2 系统容量估算这里的系统容量主要是指各个系统需要采用的Portal 服务器和AAA 服务器的计算以及系统所需带宽估算，负载均衡设备和防火墙容量的估算请参考各个厂家的估算公式。系统带宽＝页面文件大小×并发用户数页面的连接数×并发用户数＝Portal 系统需要支持的连接数并发用户数/超时时间5秒（认证超时）＝AAA 系统每秒需要处理认证请求数需要的Portal 硬件数量= Portal 需要支持的连接数/单台Portal 支持的连接数

统一身份认证平台讲解

统一身份认证平台设计方案 1）系统总体设计为了加强对业务系统和办公室系统的安全控管，提高信息化安全管理水平，我们设计了基于PKI/CA技术为基础架构的统一身份认证服务平台。 1.1.设计思想为实现构建针对人员帐户管理层面和应用层面的、全面完善的安全管控需要，我们将按照如下设计思想为设计并实施统一身份认证服务平台解决方案：内部建设基于PKI/CA技术为基础架构的统一身份认证服务平台，通过集中证书管理、集中账户管理、集中授权管理、集中认证管理和集中审计管理等应用模块实现所提出的员工帐户统一、系统资源整合、应用数据共享和全面集中管控的核心目标。提供现有统一门户系统，通过集成单点登录模块和调用统一身份认证平台服务，实现针对不同的用户登录，可以展示不同的内容。可以根据用户的关注点不同来为用户提供定制桌面的功能。建立统一身份认证服务平台，通过使用唯一身份标识的数字证书即可登录所有应用系统，具有良好的扩展性和可集成性。提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护

管理功能。用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下： a)集中用户管理系统：完成各系统的用户信息整合，实现用户生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及其账号的管理复杂度，降低系统管理的安全风险。

公司证照管理制度

公司证照管理制度一、总则为了加强对公司相关证照的管理，保证其合理和高效使用，防止不必要的经济纠纷和损失。经公司研究，特制定本规定：二、证件的使用 1、证件的范围公司各项资信证书：《营业执照》、《建筑业企业资质证》、《安全生产许可证》、《组织机构代码证》、《法人代码证》、《税务登记证》、《质量管理体系认证》、《社会保障登记证》、《压力容器、锅炉、压力管道、电梯安装证》、《安防证》等。公司各项个人证书：《职称证》、《建造师证》、《消防施工员证》、《特种设备作业人员证书》、《九大员证》等。 2. 证件的保管公司各项资信证书及荣誉证书原件和个人证书均由项目管理中心档案室统一管理，并建立相应的管理台帐和《证件借用登记表》。确需长期借用公司资信证书的单位或个人必须填写《证件借用审批表》，经公司经营副总批准，并承担管理、使用、归还的责任和义务。 3.证件借用程序各单位或个人借用公司资信证书和个人证书须填写《证件外借登记簿》经经营副总批准后，由专人到项目管理中心档案室办理借用手续。特种设备安装许可证和作业人员操作证书，还需经公司总工程师批准。经办人应为公司正式员工，并按规定使用、保管好证件及资料。各类证书的借用期限原则为：长沙市内2天：长、望、济、宁四县3天；省内地区和省外交通便利的地区5天；其

它地区8天。按期归还，押金如数退还，逾期末归还的交滞纳金每本每天20元（从押金中扣除）。证照损坏严重的将押金全部扣除，如有遗失，所造成的法律责任由借证人全部承担。中标项目如需压证，须由公司项目管理中心主任批准；所压证件在项目竣工验收后一个月内由项目管理中心工程科技部协助办理解锁手续。 4.证件使用的安全性和时效性为了规范各项证件和资料的管理、使用，经常性借证单位需一次性交纳固定押金3000元至项目管理中心档案室。个人借证需交纳200 —1000兀至相关部室。所有证件的借用必须按时归还，如需延期必须经相关部室批准。如未经批准拖延归还的，每延迟一天罚款20元/本，直接从押金中扣除。如固定押金累计扣除超过3000元后，责任单位需在10内到项目管理中心档案室办理续交手续。逾期10天未归还或不按时归还造成严重不良影响的，暂停其1个月借用资格。 5、证件的转借证件原则上不得相互转借，如有特殊情况确需转借的，转借双方应报项目管理中心档案室备案后方可实行。擅自转借证件造成损失的，由原登记单位或个人承担一切责任。各单位或个人在证件的使用过程中出现任何变更均需及时报相关部室备案，否则由使用单位承担一切责任。三、其他要求以上证件只限本企业使用，不得遗失、伪造、涂改、出租、转让、买卖、和损坏，若借证单位或个人保管不妥造成遗失损坏的，对责任单位

H3C AC进行Portal认证

一、组网需求：在BYOD组网方案下，我们主要通过iNode客户端、HTTP网页、终端Ma c地址以及DHCP的Option属性这四种方式获取终端的操作系统和厂商信息，实现终端识别以便完成相应的权限策略控制。其中DHCP的Option属性方式可普遍用户各种场景。由于部署DHCP服务器并安装Agent插件的方式比较繁琐，这里我们以普通Portal认证为例介绍一种通过无线控制器的DHCP-snooping功能获取记录终端的option 55（终端操作系统）和option 60（终端厂商）信息并通过Radius属性上报给iMC服务器的典型配置。 WX系列AC、Fit AP、交换机、便携机（安装有无线网卡）、iMC服务器及其他智能终端。二、组网图：三、配置步骤： 1、AC版本要求 WX系列AC从B109D012合入该特性，因此只有这个版本号及其以后的版本支持DHCP-snooping功能获取记录终端的option 55（终端操作系统）和opti on 60（终端厂商）信息并通过Radius属性上报给iMC服务器。WX系列AC可通过下面的命令查看内部版本号： _display version H3C Comware Platform Software Comware Software, Version 5.20, Release 2607P18 Comware Platform Software Version COMWAREV500R002B109D022 H3C WX5540E Software Version V200R006B09D022 Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserve d. Compiled Feb 25 2014 11:08:07, RELEASE SOFTWARE

V7iMCportal认证典型配置案例解析

V7 iMC portal认证典型配置案例一、组网需求：某公司计划启用Portal认证，用户接入网络时需要进行身份验证，具体的组网如图所示。EIA服务器IP地址为192.168.1.120，接入设备用户侧IP地址为192.168.2.1。PC IP地址为192.168.2.15，安装了Windows操作系统，并安装iNode客户端。注：本案例中各部分使用的版本如下： EIA版本为iMC EIA 7.1 (E0302) 接入设备为H3C MSR3020 version 5.20, Release 2509, Standard iNode版本为iNode PC 7.1(E0302P02) 说明：通用Portal认证不包含任何接入控制和安全检查。用户身份验证成功后便可接入网络。二、组网图：

三、配置步骤： 1、配置接入设备接入设备用于控制用户的接入。通过认证的用户可以接入网络，未通过认证的用户无法接入网络。具体的命令及其说明如下：配置RADIUS策略“portalpermit”。认证、计费服务器均指向EIA口、计费端口、共享密钥要与EIA接入设备时的配置保持一致。[router]radius scheme portalpermit New Radius scheme [router-radius-portalpermit]primary authentication 192.168.1.120 1812

[router-radius-portalpermit]primary accounting 192.168.1.120 1813 [router-radius-portalpermit]key authentication admin [router-radius-portalpermit]key accounting admin [router-radius-portalpermit]user-name-format with-domain [router-radius-portalpermit]nas-ip 192.168.2.1 [router-radius-portalpermit]qui [router]domain portal [router-isp-portal]authentication portal radius-scheme portalpermit [router-isp-portal]authorization portal radius-scheme portalpermit [router-isp-portal]accounting portal radius-scheme portalpermit [router-isp-portal]qui [router] portal free-rule 0 source ip any destination 221.10.1.1 mask 255.255.255.255 //放通访问dns，例如dns的地址为221.10.1.1。

统一身份认证平台讲解-共38页知识分享

统一身份认证平台讲解-共38页

提供基于LDAP目录服务的统一账户管理平台，通过LDAP中主、从账户的映射关系，进行应用系统级的访问控制和用户生命周期维护管理功能。用户证书保存在USB KEY中，保证证书和私钥的安全，并满足移动办公的安全需求。 1.2.平台介绍以PKI/CA技术为核心，结合国内外先进的产品架构设计，实现集中的用户管理、证书管理、认证管理、授权管理和审计等功能，为多业务系统提供用户身份、系统资源、权限策略、审计日志等统一、安全、有效的配置和服务。如图所示，统一信任管理平台各组件之间是松耦合关系，相互支撑又相互独立，具体功能如下：

公司资质证照管理制度

四川0000科技有限公司资质证照证件管理制度 1.0目的 1.1各类证照是公司进行规范经营的重要依据，为加强公司的证照管理，确保证照在公司经营管理活动中安全、有效、合法的使用，服务好公司的经营管理工作，特制订本制度。 1.2公司的证照管理本着“及时办理、及时年检、统一保管”原则，保证证照管理的效率和安全性。 2.0定义政府机关及其他部门颁发给公司的各类营业执照、登记证、许可证、资质证、荣誉证、产权证等证书。以下简称“资质证照”。 3.0分类证照种类包括基础证照、专业证照及获奖证照三类： 3.1基础证照是指公司的营业执照正副本、税务登记证正副本、银行开户许可证等公司开业运营必须具备的证照。 3.2专业证照是指公司经营中取得的专业类证照：如建筑智能化工程设计与施工一级资质证书、机电设备安装工程专业承包一级资质、交安事业一级二级资质、安全工程师执业资格证书、市政公用工程总承包三级资质、公路公用工程总承包三级资质、钢结构工程专业承包三级资质、城市及道路照明工程承包二级资质、二级建造师（市政或公路）技术人员学历证、职称证、专业资格证书、特种作业Q1Q2等。 3.3获奖证照是指公司经营中获得的各项荣誉证书、发明专利、软件著作权等。 4.0管理原则公司证照原则上要求由人力资源部行政集中统一保管，结合公司当前实际情况，为了便于各项业务的顺利开展，各项目相关的资质证照可由其项目部指定人员保管，其他的资质证照全部由公司人力资源部行政集中保管。 5.0职责划分 5.1由人力资源部是公司所有资质证照的归口管理部门。具体职责如下： 5.1.1负责对公司的资质证照管理工作进行指导、检查、监督和培训； 5.1.2负责监管公司各类证照的申报、年审、变更、注销工作； 5.1.3负责建立公司资质证照管理制度的建立和完善，负责建立公司所有资质证照台账明细； 5.1.4负责公司部分资质证照申办、年审、变更、注销工作。 5.2各项目部负责其相关业务职责内的资质证照的申办、年审、变更、注销工作。 5.3其他相关部门负责其业务相关的资质证照的申办、年审、变更、注销工作。 5.4各类资质证照的责任部门为资质证照的第一责任人，要及时办理有关证照申办、年审、变更和注销工作；资质证照的保管部门为证照管理一般责任人，要及时提醒相关责任部门进行资质证照的年审、变更等工作。 5.5各类证照的具体职责划分参照《资质证照分类明细台账》 5.5.1公司人力资源部负责企业法人营业执照、组织机构代码证、进出口货物收发人报关注册登记证书、对外贸易经营者备案登记表、自理报检登记证书、货运代理备案登记证书、投资证书、商标证书、专利证书、安许证、荣誉证、国家级、保险、资质等的申办、年审、变更工作。 5.5.2财务部负责税务登记证、开户许可证、机构信用代码证的申办、年审、变更工作。 5.5.3质检部负责安全生产许可证、HSE管理体系审核证书、体系内审员证书的申办、年审、变更工作。

WebPortal无线接入认证解决方案

WebPortal无线接入认证解决方案 1 2020年4月19日

蓝海卓越WebPortal无线接入认证解决方案科技开创蓝海专业成就卓越

目录一、项目背景 (1) 二、需求分析 (1) 三、方案设计原则 (2) 四、方案详细说明 (3) 4.1 方案拓扑图 (4) 4.2 方案特色说明 (5) 五、产品介绍 (7) 5.1 蓝海卓越室外型无线AP NS712-POE (7) 5.2 蓝海卓越NS-815-POE 300M POE 供电 AP (11) 5.3 蓝海卓越Portal服务器产品 (14) 六、典型客户案例 (16) 6.1 合肥某商场 (16) 6.2 XX市建设银行 (19) 6.3 XX省图书馆 (21) 6.4 郑州某宽带运营商 (23)

一、项目背景随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。人们在外就餐、购物消费、休闲娱乐、出差住宿时对无线上网的需求也越来越强烈，不论在快餐店、商场、酒店、步行街、医院、银行、景区、车站以及机场等公共区域场所内为顾客提供无线WIFI已经成为商家企业提供服务的一种手段。商家企业经过提供易用的无线网络不但能够使顾客方便的访问互联网，也能够使顾客驻足停留吸引人气增加消费。提供WIFI已经成为商家企业提升服务水平，提高品牌知名度的一种方式。可是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不但在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。更重要的是商家企业并没有经过无线网络跟顾客建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为商家企业的当务之急。二、需求分析针对当前商场、连锁酒店等商家企业在无线网络建设及运营中存在的问题，商场、连锁酒店的无线接入认证解决方案需要满足以下需求：

直接portal认证实验总结

无线直接portal认证 1.组网需求 ●用户通过无线SSID接入，根据业务需求，接入用户通过vlan20、vlan30和vlan40，3 个网段接入，AP管理地址使用vlan10网段，所有网关在AC上，并且通过AC上的DHCP 获取地址。 ●用户接入时需要启用portal认证。 2.组网图 3.配置思路 ●在WX3024E上配置portal功能 ●配置IMC服务器 4.配置信息 ●AC配置如下： [H3C_AC-1]disp cu # version 5.20, Release 3507P18 #

sysname H3C_AC-1 # domain default enable h3c # telnet server enable # port-security enable # portal server imc ip 192.168.1.11 key cipher $c$3$JE7u4JeHMC5L06LL4Jl1jaJZB0f86sEz url http://192.168.1.11:8080/portal server-type imc # oap management-ip 192.168.0.101 slot 0 # password-recovery enable # vlan 1 # vlan 10 description to_AP # vlan 20 description _User # vlan 30 description to_User # vlan 40 description to_User # vlan 100 description to_IMC # vlan 1000 description to_Router # radius scheme imc server-type extended primary authentication 192.168.1.11 primary accounting 192.168.1.11 key authentication cipher $c$3$q+rBITlcE79qH12EH3xe3Rc8Nj/fcVy1 key accounting cipher $c$3$Uiv1821RWnPK4Mi2fIzd29DJ6yKvp38i nas-ip 192.168.1.254 # domain h3c

统一身份认证系统技术方案

智慧海事一期统一身份认证系统技术方案

目录目录...................................................................................................................................................... I 1.总体设计 (2) 1.1设计原则 (2) 1.2设计目标 (3) 1.3设计实现 (3) 1.4系统部署 (4) 2.方案产品介绍 (6) 2.1统一认证管理系统 (6) 2.1.1系统详细架构设计 (6) 2.1.2身份认证服务设计 (7) 2.1.3授权管理服务设计 (10) 2.1.4单点登录服务设计 (13) 2.1.5身份信息共享与同步设计 (15) 2.1.6后台管理设计 (19) 2.1.7安全审计设计 (21) 2.1.8业务系统接入设计 (23) 2.2数字证书认证系统 (23) 2.2.1产品介绍 (23) 2.2.2系统框架 (24) 2.2.3软件功能清单 (25) 2.2.4技术标准 (26) 3.数字证书运行服务方案 (28) 3.1运行服务体系 (28) 3.2证书服务方案 (29) 3.2.1证书服务方案概述 (29) 3.2.2服务交付方案 (30) 3.2.3服务支持方案 (36) 3.3CA基础设施运维方案 (38) 3.3.1运维方案概述 (38) 3.3.2CA系统运行管理 (38) 3.3.3CA系统访问管理 (39) 3.3.4业务可持续性管理 (39) 3.3.5CA审计 (39)

公司资质证照管理制度.doc

公司资质证照管理制度1 四川0000科技有限公司资质证照证件管理制度 1.0目的 1.1各类证照是公司进行规范经营的重要依据，为加强公司的证照管理，确保证照在公司经营管理活动中安全、有效、合法的使用，服务好公司的经营管理工作，特制订本制度。 1.2公司的证照管理本着“及时办理、及时年检、统一保管”原则，保证证照管理的效率和安全性。 2.0定义政府机关及其他部门颁发给公司的各类营业执照、登记证、许可证、资质证、荣誉证、产权证等证书。以下简称“资质证照”。 3.0分类证照种类包括基础证照、专业证照及获奖证照三类： 3.1基础证照是指公司的营业执照正副本、税务登记证正副本、银行开户许可证等公司开业运营必须具备的证照。 3.2专业证照是指公司经营中取得的专业类证照：如建筑智能化工程设计与施工一级资质证书、机电设备安装工程专业承包一级资质、交安事业一级二级资质、安全工程师执业资格证书、市政公用工程总承包三级资质、公路公用工程总承包三级资质、

钢结构工程专业承包三级资质、城市及道路照明工程承包二级资质、二级建造师（市政或公路）技术人员学历证、职称证、专业资格证书、特种作业Q1Q2等。 3.3获奖证照是指公司经营中获得的各项荣誉证书、发明专利、软件著作权等。 4.0管理原则公司证照原则上要求由人力资源部行政集中统一保管，结合公司当前实际情况，为了便于各项业务的顺利开展，各项目相关的资质证照可由其项目部指定人员保管，其他的资质证照全部由公司人力资源部行政集中保管。 5.0职责划分 5.1由人力资源部是公司所有资质证照的归口管理部门。具体职责如下： 5.1.1负责对公司的资质证照管理工作进行指导、检查、监督和培训； 5.1.2负责监管公司各类证照的申报、年审、变更、注销工作； 5.1.3负责建立公司资质证照管理制度的建立和完善，负责建立公司所有资质证照台账明细； 5.1.4负责公司部分资质证照申办、年审、变更、注销工作。 5.2各项目部负责其相关业务职责内的资质证照的申办、年

portal认证介绍

P o r t a l认证技术认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为"认证方式"。目前的主要技术有以下三种：PPPoE、Web＋Portal、。基于web方式的认证技术最广为人知的一点是不需要在客户端安装任何拨号与认证软件。它能够处理高层协议，在网络应用日益复杂的形势下，很多复杂的管理要求已经涉及到高层协议，面对这些要求，基于2、3层的认证技术入PPPoE，就无能为力。 1.PPPoE 通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。 PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE 的对话号（SESSION_ID）。在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源（1）PPPoE方式其整个通信过程都必须进行PPPoE封装，效率较低，由于宽带接入服务器要终结大量的PPP会话，将其转换为IP数据包，使宽带接入服务器成为网络性能的“瓶颈”。（2）（2）由于点对点的特征，使组播视频业务开展受到很大的限制，视频业务大部分是基于组播的。（3）PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响 2、认证，起源于协议，后者是标准的无线局域网协议，协议提出的主要目的：一是通过认证和加密来防止无线网络中的非法接入，二是想在两层交换机上实现用户的认证，以降低整个网络的成本。其基本思想是基于端口的网络访问控制，即通过控制面向最终用户的以太网端口，使得只有网络系统允许并授权的用户可以访问网络系统的各种业务（如以太网连接，网络层路由，Internet接入等）。认证仅仅在认证阶段采用EAPOL（EAP encapsulation over LANs）报文，认证之后的通信过程中采用TCP/IP 协议。EAP（Extensible Authentication Protocol扩展认证协议）是对PPP协议的扩展，EAP对PPP的扩展之一就是让提供认证服务的交换机从认证过程中解脱出来，而仅仅是中转用户和认证服务器之间的EAP包，所有复杂的认证操作都由用户终端和认证服务器完成。最大的优点就是业务流与控制流分离，一旦认证通过，所有业务流与认证系统相分离，有效地避免了网络瓶颈的产生。协议为二层协议，不需要到达三层，而且接入层交换机无需支持的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。缺点： *需要特定客户端软件 *网络现有楼道交换机的问题：由于是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题； *IP地址分配和网络安全问题：协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，因此，单靠以太网交换机＋，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题； *计费问题：协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求。 Web+ Portal

公司证照管理制度

公司证照管理规定第一版一、总则为了规范公司各证照的管理，规避证照在保管、使用过程中的风险，特制订本制度。二、证照的种类 1、公司注册类证照：营业执照、组织机构代码证、开户许可证、机构信用代码证等。 2、公司经营许可类证照：食品经营许可证等。 3、行业颁发的荣耀奖类：主要有（一）重庆是教育委员会颁发的重庆高校标准化食堂、重庆高校后勤系统合唱比赛等，（二）重庆教育后勤协会颁发的重庆高校伙食工作先进集体、重庆市高校伙食工作优秀餐饮服务企业等。 4、由公司保管员工职称类证照，政府认证机构颁发的职称证，如：培训合格证食品安全管理员等。三、证照的办理 1、公司注册类证照，属于工商、民政等主管部门核发的由行政部门办理，属于银行机构核发的由财务办理，行政部门配合。 2、公司经营许可类证照，属于食药监局等主管部门核发的，由所在各

后勤公司行政部门办理，经营公司相关业务部门配合。 3、行业颁发的荣耀奖，由所在各后勤公司项目负责人参与申报办理。 4、员工类职称证由员工自行办理，入职时交公司档案室保存使用。三、证照的保管 1、公司及所属单位的证照均由公司机要档案室统一保管。任何个人和公司不得擅自保管、截留公司证照，违者对当事人和相关责任人予以处罚，造成后果的将追究经济和法律责任。 2、公司证照原件应在办理后48小时内交至公司机要档案室归档，公司注册变更、资质办理的资料应在证照办理完毕后一周内移交公司档案室，对未按时移交归档公司证照和相关资料的，公司档案室可视情况予以处罚。 3、公司证照原件应存于锁闭的档案柜或保险柜内，实行证照档案专人专柜专锁保管。非机要档案人员不得保管和代管企业证照。 4、证照保管人员应定期（每季度）对保管的证照进行清理核对，并建立和完善证照台账登记查询目录。四证照的使用 1、需要查阅、复印公司证照的，应填写《档案查阅、复印申请（审批）表》，完成审批手续后方可办理，复印证照时应用签字笔在证照复印件上标明用途，需加盖印章的，还应需要履行相关用印手续，多页资料的应加盖骑缝章。 2、需要借阅公司证照原件的：使用人须填写《档案原件资料借阅申请

portal 认证技术实现方式

Portal认证方式具有：不需要安装认证客户端，减少客户端的维护工作量、；便于运营，可以在Portal页面上开展业务拓展、技术成熟等优点而被广泛应用于运营商、学校等网络。目前在公共场合也有很多的WIFI热点.WIFI本身不加密,但是当用户访问网络的时候,会要求用户输入用户名和密码.认证成功后就可以上网了.WEB认证的特点显而易见,就是不需要特殊的客户端,有浏览器就可以了.所以,手机也可以方面的使用. 方法/步骤用户连接到网络后，终端通过DHCP由BAS做DHCP-Relay，向DHCP Server要IP地址（私网或公网）；(也可能由BAS直接做DHCP Server)。用户获取到地址后，可以通过IE访问网页，BAS为该用户构造对应表项信息（基于端口号、IP），添加用户ACL服务策略（让用户只能访问portal server和一些内部服务器，个别外部服务器如DNS），并将用户访问其他地址的请求强制重定向到强制Web认证服务器进行访问。表现的结果就是用户连接上但不认证的情况下，只能访问指定的页面，浏览指定页面上的广告、新闻等免费信息。 Portal server向用户提供认证页面，在该页面中，用户输入帐号和口令，并单击"log in"按钮，也可不输入由帐号和口令，直接单击"Log in"按钮；

该按钮启动portal server上的Java程序，该程序将用户信息（IP地址，帐号和口令）送给网络中心设备BAS； BAS利用IP地址得到用户的二层地址、物理端口号（如Vlan ID, ADSL PVC ID，PPP session ID），利用这些信息，对用户的合法性进行检查，如果用户输入了帐号，使用用户输入的帐号和口令到Radius server对用户进行认证，如果用户未输入帐号，则认为用户是固定用户，网络设备利用Vlan ID（或PVC ID）查用户表得到用户的帐号和口令，将帐号送到Radius server进行认证； Radius Server返回认证结果给BAS；认证通过后，BAS修改该用户的ACL，用户可以访问外部因特网或特定的网络服务；BAS 开始计费。用户离开网络前，连接到portal server上，单击"断开网络"按钮，系统停止计费，删除用户的ACL和转发信息，限制用户不能访问外部网络；注意事项二次地址分配问题：二次地址分配是指在802.1X或Web Portal接入方式中，初始DHCP时为用户预分配IP 地址（通常为私网地址），在用户通过认证后，重新为用户分配地址（通常为公网地址）的技术。这是因为如果在用户开机后未经过认证，DHCP时全部为用户分配公网IP地址，显然是对IP地址资源的极大浪费。采用二次地址分配则可以较为有效的解决公网地址不足的问题，提高公网地址的利用率。二次地址分配的配置是在BRAS上配置认证域时配置的，需要启用二次地址分配功能并