《分享》透過網頁做身份驗證

在STAS這篇中，有測試過如何透過AD上的Agent來達到SSO的設定，
那假設客戶端環境主機不允許裝Agent，那還有什麼方法可以做到使用者驗證呢？

在眾多方法中，最簡單的應該就是透過網頁驗證了∼
因為只要有瀏覽就可以驗證，而且不用安裝任何東西。
以下，我們就來看看XG上要如何設定，才能實現透過網頁進行身份驗證。

• 啟用網頁認證的必要條件，
  就是在Device Access要勾選 Captive Portal 與 Client Authentication。
  
  
  
  
• 然後在Policy中，設定一筆LAN to WAN Drop或Reject的規則，觸發user導轉到認證頁面Captive Portal。
  
  
  
  以順子來說，還會開一條LAN to WAN的DNS放行規則最上面，放行使用者的DNS解析需求，
  然後才是第二條LAN to WAN的身份驗證規則，
  最後再來drop掉LAN to WAN規則，強迫導轉到Captive Portal。
  
  
• 未證認的使用者在開啟瀏覽器上網時，就會被導轉到Captive Portal了。
  
  
  
  而成功登入後，在Captive Portal頁面下會有提示，關掉此頁面會被登出喔∼
  
  
  
  試著關閉網頁看看，果然出現被登出的訊息！
  
  
  
  
• 有沒有辦法設定為登入後，即有效一陣子？不用被此Captive Portal所綁住？
  有的，在 System > Authentication > Authentication Services 功能頁面最下方有Captive Portal Settings的相關設定。
  
  
  
  Disable掉 Keep Alive Request For Captive Portal 後，下方 User Inactivity Timeout 變成可以使用。
  可以使用預設的 Unlimited 不登出使用者，或設定在閒閒幾分鐘登出使用者。
  而閒置的條件判斷為資料傳輸量小於 Data Transfer Threshold 的Bytes數。
  
  
  
  以上圖為例，就是在3分鐘內，網路傳輸量小於1024 Bytes (1M)，會被判定為閒置而被XG強制登出。
  
  打開使用者瀏覽器來看，原本Captive Portal下方有的關閉導致登出提示已經不見了。
  
  
  
  使用者可以關掉此頁面，放心的上網∼

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》登出後DNS解析無法正常使用120秒？

順子在客戶端測試網頁驗證時，突然發現一個怪現象，
驗證使用者在按下下方Logout按鈕後，即使XG中最上方有一條針對DNS放行的rule，
但DNS還是會因無法正常解析，而在開啟網頁時，無法導引到Captive Portal...



而奇怪的是在120秒後，什麼都不用做，DNS恢復正常解析，
當然導引到Captive Portal的功能也就恢復正常了。


但在順子的簡單LAB中，卻又不會有這樣情況？
究竟是什麼原因造成這個現象呢？

原來這是啟用STAS後的一個機制所造成！
而順子的LAB中沒有啟用STAS，所以沒有這個問題。



在XG上啟用CTA，加入網域中的Collector後，會產生一個drop unauth-traffic的機制，預設時間是120秒；
所以在這120秒內，登出的使用者是會被丟棄所有封包，當然包括DNS解析的需求。

而這個時間值是可以調整的，範圍在1到120秒間，
在下達以下指令，將時間調整到1秒後，這個DNS解析失敗的問題，就等同消失了∼

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》V16的行為改變

最近客戶有些功能需要V16版的韌體才能解決。
但一上V16後，發現Captive Portal的導轉行為做了很大且不人性的改變！

在使用者開啟網頁要做身份驗證時，取而代之的是一個block頁面！



使用者要點下方的“Click here to log in”連結才能再轉到Captive Portal，
而且這個連結在下方又很容易讓人忽略掉...

這真的是一個很糟糕的改變！
希望能在下個版本再改回來...
Automatically Displayed Captive Portal


此外V16在網頁認證上，還做了一個調整；
網頁認證除了可全域性的啟用/停用外，在每一條規則中還可以自行定義“網頁認證”顯示與否。



意思是我們可以在需要的規則中，啟用網頁證認，
然後在全域性的 Authentication > Service 中，停用網頁證認。



在這樣的設定運作下，防火牆由上往下逐一比對時，遇到了這條規則後，就會直接導向“先封阻，後驗證”的Captive Portal。
因此套用此功能時，務必將其設定在最後面一條使用者驗證的防火牆規則上，
否則就會因為這個功能，而直接出現Captive Portal，無法往下繼續比對適用的規則！

***** 2017/03/03 順子補充更新 *****
經測試，在16.05.1 MR-1版本後，勾選“Show captive portal to unknown users”功能，已可以直接跳出使用者帳/密的驗證畫面，
略過這個讓人困擾的封鎖頁面。

由 shunze 在 2017-03-03, 09:55 最後修改.

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!