入网门户(二)
- MAC地址控制
- 允许的IP地址
- 允许的主机名
- 凭证
- 文件管理
- 查看已认证的入网门户用户
- 疑难解答
MAC地址控制
MAC选项卡定义MAC地址的操作,可以使用直通MAC地址通过门户,而不需要进行身份验证,或者阻止特定MAC地址访问门户。
要管理这些MAC条目:
- 导航至系统服务>入网门户
- 在该区域单击进行编辑
- 点击MACs选项卡
- 点击添加一个新条目
- 填写如下信息:
- 动作: 定义对此条目采取的操作: 通过:无需身份验证,始终允许来自此MAC地址的通信。阻止:始终拒绝来自此MAC地址的通信
- MAC 地址: 要允许设备的MAC地址。该值必须是冒号分隔的数字对,例如:00:11:22:33:44:55。
- 描述: 一些描述该条目的文字,如果需要的话。
- 带宽限制 上传/下载:此设备可以使用的带宽量,以千比特/秒为单位指定。留空则不指定限制。
- 点击保存
保存后的页面上,可以通过单击行末的
允许的IP地址
允许的IP地址选项卡与MAC选项卡的工作方式相似,只是它会检查IP地址而不是MAC地址。 指定的IP地址、且流量方向匹配的主机始终允许通过该门户,而无需身份验证。
- IP 地址: 直通门户设备的IP地址。
- 描述: 该条目的描述性说明,如果需要的话。
- 方向: 匹配此IP地址的流量方向。To:允许来自此IP地址的流量通过门户(例如尝试访问Internet的本地客户端IP地址)或必须到达门户网络上的主机的管理客户端的IP地址。From:允许将此IP地址作为目的地的流量,例如必须通过端口转发到达的本地Web服务器IP地址或客户端必须始终访问的远程Web服务器IP地址。两者:允许此IP地址的所有进出通信。
- 带宽限制 上传/下载:此设备可以使用的带宽量。留空则不指定限制。
允许的主机名
允许的主机名与允许的IP地址条目类似,只是它是通过主机名而不是IP地址来配置。 守护进程会周期性地将主机名解析为IP地址,并允许它们通过该门户而无需在此区域中进行身份验证。
此功能最常见的用途是制作一个“围墙花园”式门户,用户可以访问一组受限制的网站,而无需向门户网站进行身份验证。 如果该页面托管在外部,这也通常与预认证重定向URL一起使用。
注意
通常,网站会将许多主机名、内容交付网络或广告服务也是其内容的一部分。为了允许站点完全加载,所有这些附加站点都必须添加到允许的主机名列表中。
- 方向: 匹配此主机名的流量方向。To:允许来自门户外面的所有客户端(甚至未经身份验证的客户端)访问此主机名。From:始终允许主机名(无需认证)通过入网门户访问外部网络。两者:允许此主机名所有进出的通信。
- 主机名: 目标主机或站点的完全合格域名(FQDN)。主机名必须存在于DNS中才能解析为IP地址。
- 描述: 该条目的描述性文字,如果需要的话。
- 带宽限制 上传/下载:此主机名可以使用的带宽量。留空则不指定限制。
凭证
凭证是用于通过入网门户获得互联网访问的一次性使用代码。凭证都是以加密方式生成的,并且包含设定的时间限制。凭证通常在经过认证但有时限的互联网访问的地方实施,无需为用户提供用户名和密码。
这种类型的配置经常在诸如咖啡店、酒店和机场等地方使用。用户在门户登录表单中输入凭证代码,获得凭证所允许的网络访问时间。凭证卷可以导出为CSV文件,有些公司甚至已将导出的凭证列表集成到销售点应用程序中,方便在客户收据上打印凭证。
如果用户注销,凭证允许的时间不会停止倒计时。凭证从会话开始直到凭证允许的时间到期。在此期间,凭证可以从相同或不同的计算机或客户端重新使用。如果凭证再次从另一台计算机使用,则前一个会话将终止。
需要公钥/私钥RSA密钥对来生成和验证凭证。第一次访问该页面时,防火墙会自动生成一组32位密钥,如果需要,可以手动生成一个自定义密钥对。支持的最大密钥长度是64位。使用较短的密钥将使生成的凭证更短,且不一定安全。
要配置凭证:
- 导航至系统服务> 入网门户
- 在编辑入网门户区域的行,点击
- 点击凭证标签
- 选中启用
- 根据需要填写表格。在大多数情况下,该页面上的部分选项可以保留默认值
- 凭证卷:凭证卷在页面的这一部分进行管理。 列出有关每个卷的信息以及添加新卷的链接。 直到配置并保存其他设置之后,才会出现选项。
- 凭证密钥:用于生成和验证凭证的密钥。在区域上启用凭证之前,每次加载页面时都会随机生成这些值。一旦凭证启用并保存,即可设置密钥。
注意:注意不要在保存后更改密钥
- 凭证公钥: 该密钥用于解密凭证。 可以使用预先生成的密钥,或单击生成新密钥以创建新的公钥和私钥对。 密钥也可以在其他地方生成,然后通过在此处以PEM格式粘贴RSA公钥(64位或更小)来使用。凭证私钥: 此密钥用于生成凭证代码,如果凭证已脱机生成,则不需要提供该代码。 如果密钥是在别处生成的,则可以使用预先生成的密钥,或者以PEM格式粘贴到RSA私钥(64位或更小)中。
- 字符集设置: 字符集定义哪些字符对凭证文本有效。 字符集区分大小写,并且应该包含难以与其他人混淆的可打印字符(数字,小写字母和大写字母)。 例如,避免0(数字零),O(字母O),l(小写L)和1(数字1)。 它不能包含空格,双引号或逗号。 使用较短的字符集通常会导致较长的凭证以确保随机性。
- 凭证Bits:以下“Bits”字段控制凭证本身的生成方式。 建议将这些值保留为默认值,但可根据需要进行调整。 所有Bits字段的总数必须小于RSA密钥大小。 例如,默认值是16,10和5。它们之和是31,比默认的RSA密钥大小32小1。
- # of Roll Bits:用于存储卷ID的Bits数。如果需要同时激活很多卷,可以将这个数值设置更大一点。允许的范围是1-31,默认值是16。
- # of Ticket Bits: 用于存储凭证ID的Bits数。如果每个卷都需要大量凭证,可以将这个值设置的更大一些。允许的范围是1-16,默认值是10。
- # of Checksum Bits: 在每个凭证中保留一个范围,以便在Roll和Ticket上存储简单的校验和。允许的范围是0-31,默认值是5。
- 幻数:幻数存储在每张凭证中,并在凭证检查期间进行验证。 幻数的大小取决于将Roll、Ticket和Checksum的Bits数加在一起剩下多少Bits。 如果使用所有Bits,则不会使用或检查幻数。
- 无效凭证消息:如果用户尝试输入不存在的证书或者以任何方式无效(除了过期),都会向用户显示此消息。
- 过期的凭证消息:如果用户输入的有效凭证已过期,则会向用户显示此消息
- 单击保存
一旦设置被保存,凭证管理控制将被激活。
管理凭证卷
凭证分批创建,称为卷。 每个卷都有特定的设置,这些卷是唯一的。 例如,卷可以有8小时的时间限制,而单独的卷可以有12小时的时间限制。 然后,根据用户购买的服务级别,用户可能会获得凭证代码,并且它们将被限制为与挑选的凭证卷相对应的时间。
创建凭证卷
要创建卷,请在卷列表下单击
卷号:每卷必须有一个唯一的编号。这可以是0到65535之间的任何数字。
时长:定义凭证持续的时间。 凭证时间在使用凭证时开始倒计时,并且不停止,因此计划好凭证的使用时长。 由于这是以分钟为单位定义的,因此请确保使用正确的时长。 1440分钟是24小时。
凭证数量:定义此卷上将制作多少凭证。该值可以从0到1023。
注意:如果现有卷上的计数值发生变化,它将使卷上的所有其他凭证失效,因此一旦创建卷,最好不要更改此值。
描述:卷的描述说明,例如:2小时购买咖啡券。
点击“保存”,新卷即可使用。
编辑现有卷
可以通过点击
删除凭证卷
可以通过点击行尾的
导出/下载凭证卷
点击
该文件可以保存到本地,可以用电子表格编辑器中打开,例如LibreOffice Calc,Google Docs或Excel。 也可以打印出来,送入POS系统等。
在门户页面上使用凭证
凭证必须通过auth_voucher表单字段提交。有关凭证的示例,请参阅门户页面。
查看活动凭证
当前活动的凭证及其使用时间的列表可在系统状态>入网门户中的区域活动凭证选项卡上找到,如下图所示。
查看凭证卷使用情况
可以在系统状态>入网门户的凭证卷选项卡上找到凭证卷和清单数量,如图所示。
测试凭证
可以通过在系统状态>入网门户,在测试凭证选项卡上输入凭证代码来验证凭证的有效性。 提交后,如果代码有效,它将显示凭证时间限制,如下图所示。 测试凭证不会将凭证标记为已使用或过期,它仍然可以在以后使用。
到期凭证
可以在使用期间或之前使凭证过期,方法是在系统状态>入网门户中,到期凭证选项卡区域,输入过期凭证。 提交后,表单中列出的所有凭证将不再有效。 在此页面输入的有效凭证也会立即过期。
任意数量的凭证都可以在一批中过期,只需输入换行符分隔不同的凭证就可以做到。
同步凭证
在“凭证”选项卡的底部,可以选择将凭证与其他设备同步。 这与在高可用性设置中的XML-RPC配置同步类似(请参阅pfSense XML-RPC配置同步概述)。 配置后,这会将凭证卷复制到目标设备,并在使用凭证时将有关活动凭证的信息推送到目标设备。
- 同步凭证数据库IP:凭证同步的另一个节点的目标IP地址或主机名。
- 凭证同步端口:GUI正在侦听的目标节点上的端口(通常为 443)。
- 凭证同步用户名:同步访问的用户名 (必须是 admin)。
- 凭证同步密码:目标系统的GUI密码。
与高可用性群集中的配置同步不同,此同步配置在主节点和从节点上。 这样做是为了确保从节点处于活动状态时使用的凭证在返回活动状态时也会发送回主节点。 与配置同步不同,这不会产生循环。
手工生成凭证的RSA密钥
RSA公钥和私钥可以在单独的系统上手动创建,以便与凭证一起使用。为凭证生成64位密钥的命令是:
$ openssl genrsa 64 > key64.private $ openssl rsa -pubout < key64.private >key64.public
文件管理
入网门户区域中的文件管理选项卡用于上传在入网门户页面内使用的文件,例如样式表、图像文件、PHP或JavaScript文件。 所有文件的总大小限制为1 MB。
文件名称约定
使用文件管理上传文件时,文件名将自动加上前缀captiveportal-。例如,如果上传文件名为:logo.png ,则上传后会改为captiveportal-logo.png。如果一个文件的名字中已经有了这个前缀,这个名字就不会改变。
这些文件将在该区域的主入网门户服务器的根目录中进行调用。这些文件可以使用相对路径直接从门户页面HTML代码中引用。
例如: 名称为captiveportal-logo.jpg 的图像使用文件管理上传,然后可以按如下方式将其包含在门户页面中:
<img src="captiveportal-logo.jpg" />
PHP脚本也可以上传,但可能需要传递额外的参数才能正常工作,例如:
<a href="/captiveportal-aup.php?zone=$PORTAL_ZONE$&redirurl=$PORTAL_REDIRURL$"> Acceptable usage policy</a>
管理文件
上传文件:
- 导航至系统服务>入网门户
- 在区域右边点击编辑
- 单击文件管理选项卡
- 点击添加
- 点击浏览
- 找到并选择要上传的文件
- 点击上传
该文件将被传输到防火墙并存储在配置中。
要删除文件:
- 导航至系统服务>入网门户
- 在区域右边点击编辑
- 单击文件管理选项卡
- 在要删除的文件旁点击
- 单击确定确认删除操作
该文件将从门户配置中删除,并且不能再用于门户页面。
查看已认证的入网门户用户
系统状态> 入网门户下可以找到该门户的当前活动用户列表。 首先,选择一个区域,然后显示该区域的在线用户列表。 根据身份验证设置,列表中可能会出现几种不同的用户样式之一。
对于无身份验证的门户, 会如下图所示进行显示:
对于本地用户管理或RADIUS身份验证用户,如下图所示。如果使用带有MAC认证的RADIUS,则用户名将是MAC地址:
如果凭证处于活动状态,则使用凭证登录的用户会如下图所示:
疑难解答
认证失败
认证失败通常是用户输入不正确的用户名或密码造成的结果。 在RADIUS身份验证的情况下,这可能是由于配置的RADIUS服务器的连接问题或RADIUS服务器本身的问题而发生的。 检查RADIUS服务器日志以了解访问被拒绝的原因,并确保防火墙可以与RADIUS服务器进行通信。
对于本地用户,如果启用了要求入网门户登录权限的选项,请确保用户直接拥有该权限,或者是具有该权限的组的成员。
门户页面不会加载(超时),也不会加载任何其他页面
这通常是DNS故障。 如果防火墙不使用DNS,并且在DNS服务器的允许的IP地址选项卡(允许的IP地址)下没有条目,则用户无法连接DNS来解析主机名。 如果他们无法解析主机名,那么他们的浏览器将永远不会尝试加载网页,因此永远不会被重定向到门户页面。
要解决此问题,请为客户端DNS使用防火墙IP地址和DNS转发器,或为外部DNS服务器添加允许的IP地址条目。
另一种可能的原因是,门户接口上的防火墙规则不允许用户访问端口80上的网站。确保防火墙规则将流量传递到TCP端口80,并确保DNS工作,他们必须也能够在TCP和UDP端口53上到达配置的DNS服务器。
HTTPS主页用户不会被重定向到门户页面
它要么根本不工作,要么给用户一个他们通常信任的站点的可怕的SSL证书警告。 指导用户加载HTTP站点,然后他们将被重定向到门户并接收登录提示。
Apple设备无法加载门户页面或登录
iOS上某些版本的Safari无法正确处理入网门户页面的登录表单。 最常见的解决方案是在iOS上的Safari中禁用自动填充表单。在某些情况下,如果无线网络使用加密,Apple设备不会自动提示你进行入网门户登录或测试它的存在。 在这些情况下,请手动打开浏览器并导航到HTTP站点以获取登录重定向。
也有报道称,在较旧版本的OS X上,Mac会拒绝加载包括HTTPS门户在内的任何HTTPS站点,直到它可以加载证书的CRL和OSCP URL为止。 这已在当前版本的OS X中修复。一些用户必须将www.apple.com添加到允许的主机名中,以便Apple的测试页调用成功。
当目标系统登录时,转发到门户后面的主机才能工作
这是门户运作方式的副作用。 除非已通过身份验证或通过门户网站直通,否则不允许任何流量访问门户后面的主机。 如果端口转发必须始终工作到门户后面的设备,则必须设置为使用直通MAC条目(MAC地址控制)或允许的IP地址条目(允许的IP地址)绕过门户,以允许流量到达目标。