产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【Eportal】Web认证成功后,用户下线异常,查看系统存在残留的在线用户信息

发布时间:2013-11-23
点击量:11100

1、故障现象
Web认证成功后,用户下线异常,查看系统存在残留的在线用户信息。

2、故障可能原因
 1)  系统配置的下线参数不正确
 2)  设备SNMP配置不正确
 3)  浏览器缓存导致下线请求失败

3、故障处理流程

4、故障处理步骤

步骤1 排查有线设备的下线机制是否正确
1.   通过Console口登录到接入设备,执行”show run“命令,查看当前设备的配置信息。
2.   比对以下典型配置,检查设备的web认证配置是否正确。
² 典型的有线交换机web认证模板(以S26系列设备为例)如下:
Ruijie# configure terminal
/* 配置通信密钥,对ePortal服务器返回的链接加密,实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 未认证用户访问直通地址,用于学习网关arp,通常设置网关(如192.168.33.1)为直通地址 */
Ruijie(config)# http redirect direct-site 192.168.33.1 arp
/* 设置重定向页面的主页,实例中“http://192.168.51.180/eportal/index.jsp”为ePortal重定向地址,其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://192.168.51.180/eportal/index.jsp 
/* 设置直通地址,即ePortal服务器地址,如“192.168.51.180” */
Ruijie(config)# http redirect 192.168.51.180
Ruijie(config)# interface FastEthernet 0/1
/* 端口必须开启web认证受控,否则该端口下接设备web认证不生效  */
Ruijie(config-if-FastEthernet 0/1)# web-auth port-control 
/* 启用snmp community配置,其中团体名为public,可根据实际情况修改  */
Ruijie(config)# snmp-server community public rw
/* 配置web认证下线使用的snmp报文参数 ,其中主机地址为eportal服务器IP(192.168.51.180),团体名为public,均可根据实际情况修改*/
Ruijie(config)# snmp-server host 192.168.51.180 informs version 2c public web-auth
Ruijie(config)# snmp-server enable traps web-auth

注意: 本例中“snmp-server host 192.168.51.180 informs”和“snmp-server enable traps”是下线机制的重要配置,ePortal通过SNMP-Inform 消息通知交换机用户下线信息,交换机执行下线操作后,将结果通过SNMP-trap报文回应给ePortal。
3.   查看ePortal系统配置信息,确认“设备通讯设置”和“SNMP设置”的Community与设备配置一致。

排除设备下线机制的配置后,若依然下线异常,则进入下一步骤的排查。

步骤2 排查无线设备的下线机制是否正确
1.   通过Console口登录到接入设备,执行”show run“命令,查看当前设备的配置信息。
2.   无线交换机存在两种Web认证配置方法,分别称为一代Portal认证和二代Portal认证,比对以下典型配置,检查设备的web认证配置是否正确。
² 典型的无线一代portal认证模板(以WS57系列设备为例)如下:
Ruijie# configure terminal
/* 配置通信密钥,对ePortal服务器返回的链接加密,实例中通讯密钥是“ruijie” */
Ruijie(config)# web-auth portal key ruijie
/* 设置直通地址,即ePortal服务器地址,如“172.20.1.100” */
Ruijie(config)# http redirect 172.20.1.100
/* 设置重定向页面的主页,实例中“http://172.20.1.100/eportal /index.jsp”为ePortal重定向地址,其中IP地址可替换ePortal服务IP地址 */
Ruijie(config)# http redirect homepage http://172.20.1.100/eportal/index.jsp
/* 启用snmp community配置,其中团体名为web-auth,可根据实际情况修改  */
Ruijie(config)# snmp-server community web-auth rw
Ruijie(config)# snmp-server enable traps web-auth
/* 配置web认证下线使用的snmp报文参数 ,其中主机地址为eportal服务器IP(172.20.1.100),团体名为web-auth,均可根据实际情况修改*/
Ruijie(config)# snmp-server host 172.20.1.100 inform version 2c web-auth web-auth
Ruijie(config)# wlansec 100
/* 必须启用基于WLAN的web认证受控,否则web认证不生效 */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

注意: 本例中AC采用一代Portal认证,与有线交换机认证配置基本一致,其中“snmp-server host 172.20.1.100 informs”和“snmp-server enable traps”是下线机制的重要配置,ePortal通过SNMP 报文通知交换机用户下线信息,交换机执行下线操作后,将结果通过SNMP trap报文回应给ePortal。

² 典型的无线二代portal认证模板(以WS57系列设备为例)如下:
Ruijie# configure terminal
/* 创建全局Portal服务器,服务器名为default、IP地址172.20.1.10(可修改ePortal服务IP)、认证主页http://172.20.1.10/eportal/index.jsp(URL内的IP地址可修改为ePortal服务IP) */
Ruijie(config)# portal-server default ip 172.20.1.10 url http://172.20.1.10/eportal/index.jsp
/* 配置default服务器为全局使用的Portal服务器  */
Ruijie(config)# web-auth portal-type v2 default
/* 启用AAA认证记账功能  */
Ruijie(config)# aaa new-model
/* 配置Radius-server主机地址和通讯口令,host是SAM服务器IP地址,如172.20.1.20(可修改);key为通讯口令,如ruijie(可修改)  */
Ruijie(config)# radius-server host 172.20.1.20 key ruijie
/* 配置AAA的Web认证方法列表,使用默认的RADIUS组 */
Ruijie(config)# aaa authentication web-auth default group radius
/* 配置AAA的记账方法列表,使用默认的RADIUS组 */
Ruijie(config)# aaa accounting network default start-stop group radius
/* 开启radius动态扩展授权,支持强制用户下线(DM)等功能 */
Ruijie(config)# radius dynamic-authorization-extension enable
Ruijie(config)# wlansec 100
/* 启用二代portal认证  */
Ruijie(wlansec)# web-auth portal-type v2 default
/* 基于WLAN开启Web认证功能  */
Ruijie(wlansec)# webauth
Ruijie(wlansec)# exit

注意: 本例AC采用二代Portal认证配置,与一代不同的是,AC与ePortal之间使用portal协议传递信息(包括下线信息),其中“ radius dynamic-authorization-extension enable ”命令必须配置,否则SAM强制用户下线功能失效。
3.   查看ePortal系统配置信息,确认“设备通讯设置”和“SNMP设置”的Community与设备配置一致。

排除设备下线机制的配置后,若依然下线异常,则进入下一步骤的排查。
 

步骤3 排查ACE设备的下线机制是否正确
1.   ACE设备作为Web认证接入设备时,用户在主动下线时,ePortal系统不会与ACE设备直接交互,而是通过SAM系统通知ACE设备用户下线信息。
首先,ePortal系统接收到用户下线请求后,向SAM系统发起Radius记账结束请求,记账结束后,SAM通过第三方上下线消息通知ePortal用户下线成功。
因此SAM必须启用“第三方上下线消息通知”功能,否则用户下线不成功。步骤如下:
 登录SAM管理界面,进入“系统配置”,查看“系统对接配置”下的“第三方上下线消息通知”处于启用状态。
 

其次,查看JMS消息服务是否正常。步骤如下:
1)  进入“开始”--“运行”,输入CMD命令,回车并打开命令窗口,如下:
 

2)  在命令窗口执行“netstat –aon”,查看JMS消息服务的进程信息,如下:

注意:若执行命令后,未输出任何信息,则说明8093端口未使用,即SAM系统的JMS服务没有启动,必须重启SAM服务。
3) 打开任务管理器,查看进程名称和进程ID信息,通过对比进程ID,确认占用JMS端口的进程是否SAM服务,如下:
 

注意:若比对进程ID后,占用8093端口的不是SAM进程,则必须结束该进程,并重启SAM服务。

排除设备下线机制的配置后,若依然下线异常,则进入下一步骤的排查。

步骤4 排查浏览器是否正确发送下线请求
 ePortal1.23(p1)及之前版本和ePortal1.40版本存在一个比较特殊的下线异常的故障,具体现象是,在浏览器缓存的情况下,不关闭下线成功页面再次认证,继续点击下线,网页提示“下线成功”;但事实上 ePortal 并未发起记账结束,导致用户仍然在线的情况。
该故障已经在ePortal1.23(p2)和ePortal1.40(p1)版本做了修订,可通过升级解决。
若暂无升级计划,通过以下步骤进行规避解决:
1.   以ePortal1.23版本为例,首先打开ePortal服务管理器,停止ePortal服务;
2.   进入ePortal的安装目录(如C:\RG-ePortal),找到“C:\RG-ePortal\jboss\server\default\deploy”路径下的WebPortal.ear文件,如下:

3.  备份WebPortal.ear到其他分区, 打开压缩包,将“WebPortal.ear\WebPortalWeb.war\logout.jsp”文件拖放到当前目录,如下:
 

4.   编辑logout.jsp文件,找到function logOut的函数方法, 在这个方法中将url地址后面加上一个随机参数 ;
 即:var url = “./user.do?method=logout&rnd=“+Math.random(); 如下:
 

5.   修改logout.jsp后,保存并关闭文件,并将该文件拖回“WebPortal.ear\WebPortalWeb.war”路径,替换旧文件,如下:
 

注意:与ePortal1.23版本不同,ePortal1.40的logout.jsp文件内找不到function logOut函数方法, 该方法路径已经迁移到“WebPortal.ear\WebPortalWeb.war\plugins\js\logout_js.jsp”,对应修改logout_js.jsp文件,其他操作不变。如下图:
 

6.   关闭WebPortal.ear和WebPortalWeb.war文件,重启ePortal服务。

排除浏览器未正确发送下线请求的故障后,若依然下线异常,则进入下一步骤的排查。

步骤5 收集信息并联系4008111000协助处理
拨打4008111000寻求技术支持,收集如下故障信息,进行故障进一步处理。
1.  ePortal和SAM的软件版本号
登录ePortal系统,点击“关于系统”图标,弹出版本信息。如下图例:
 

登录SAM系统,点击右下角“关于”图标,弹出版本信息。如下图例:

2.  接入设备的配置信息
若接入设备为交换机或AC无线设备,登录设备进入特权模式,执行“show run”命令,将输出结果保存成文件。
若接入设备为ACE设备,请将“认证服务器配置”的配置内容截图。
3.  ePortal系统配置和SAM的系统配置截图
ePortal系统配置,关注Radius和SNMP配置部分,截图如下:
 

SAM的系统配置,关注系统对接配置部分,截图如下:
 

4.  ePortal服务器填写的接入设备信息
进入“设备管理”菜单,选择查看设备,弹出设备详细信息。请截图说明,示例如下:
 

5.  SAM服务器填写的接入设备信息
进入“设备管理”菜单,选择查看设备,弹出设备详细信息。请截图说明,示例如下:
 

6.  提供PC端、ePortal服务端、SAM服务端的报文
1)  分别在PC端、ePortal服务端和SAM服务端,打开wireshark工具,并监控网卡,准备开始抓包;
2)  在PC上执行一次完整的下线操作;
3)  完成web认证操作后,停止wireshark抓包,将抓取的报文保存成pcap文件;
4)  提交pcap报文时,请附带说明报文文件的来源(PC端、ePortal端、SAM端)以及来源的IP地址。

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式