大家好,今天小编来为大家解答portal服务器这个问题,什么是portal认证服务器很多人还不知道,现在让我们一起来看看吧!

一、什么是portal认证服务器

Portal服务器也就是接收Portal客户端认证请求的服务器端系统,其主要作用是提供免费的门户服务和基于Web认证的界面,以及接入设备交互认证客户端的认证信息。其中的Web认证方案首先需要给用户分配一个,用于访问门户网站。

PORTAL基于浏览器,采用的是B/S构架,对不同权限的用户下发不同的VLAN访问不同的服务器资源,当通过认证后才能访问inter资源,Portal认证方式不需要安装认证客户端,减少了客户端的维护工作量,便于运营。

可以在Portal页面上开展业务拓展,如展示商家广告,联系方式等基本信息。Portal广泛应用于运营商、学校等网络。

扩展资料:

Portal认证的设备要素

Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常*机/AC会内置Portal服务器,帐号和密码保存在*机/AC。受限于接入设备存储空间、功能和*能,内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Inter服务。

如果需要实现接入、短信接入等复杂的功能,考虑到接入设备*能和认证体验,内置Portal服务器恐怕难以胜任,需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。

认证客户端:运行HTTP协议的浏览器或运行Portal客户端软件的主机。

接入设备:*机、路由器或AC(Aess Controller)等宽带接入设备的统称。如果把网络看成一栋高楼,那接入设备就是门卫,要进屋必须由门卫放行。

接入设备主要有三方面的作用:在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。在认证过程中,与Portal服务器、AAA服务器交互,完成身份认证/授权的功能。在认证通过后,允许用户访问被管理员授权的互联网资源。

Portal服务器:接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

Portal作为网关服务于因特网的一种WEB站点。Portal是链路、内容和为用户可能找到的感兴趣的信息(如新闻、天气、娱乐、商业站点、聊天室等)的指南服务的集合。Yahoo、Excite、MSN.和Netscape NetCenter都是Portal。

参考资料:百度百科——Portal

二、什么是portal 认证 (转)

PORTAL概述

Portal在英语中是入口的意思。Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。它提供了一种较为简单的用户认证方法,对用户而言,相对其它认证方式更易于使用。它有两大特色:

•免客户端

只需要网页浏览器(如IE)支持,即可为用户提供认证服务,不需要安装专门的客户端或者拨号程序。免客户端软件对于像宾馆、酒店等公共网络节点,免客户端软件是一个基本要求。

•新业务载体

利用Portal认证的门户功能,运营商可以将小区广播、广告、信息查询、网上购物等业务放到Portal上。用户上网时会强制地看到上述信息。

Portal认证的基本方式是通过在Portal页面的*位置设置认证窗口,用户开机获取IP后,通过登录Portal认证页面进行认证,认证通过后即可访问Inter。

对于用户来说有两种方式访问认证页面:

•主动Portal:用户必须知道PORTAL服务器的IP,主动登陆PORTAL服务器进行认证,之后才能访问网络。

•强制Portal:未认证用户访问网址,都会先强制定向到PORTAL服务器进行认证,用户不需要记忆Portal服务器的IP。

Portal业务可以为运营商提供方便的管理功能,基于其门户网站可以开展广告、社区服务、个*化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。

1 PORTAL系统组成

1.1 Portal的四大主要系统

•认证客户端

安装于用户终端的客户端系统,如运行HTTP/HTTPS协议的浏览器或运行Portal客户端软件的主机等。对接入终端的安全*检测是通过Portal客户端和安全策略服务器之间的信息交流完成的。

•接入设备(BAS)

*机、路由器等宽带接入设备的统称,主要有三方面的作用:

在认证之前,将用户的所有HTTP请求都重定向到Portal服务器。

在认证过程中,与Portal服务器、安全策略服务器、认证/计费服务器交互,完成身份认证/安全认证/计费的功能。

在认证通过后,允许用户访问被管理员授权的互联网资源。

• Portal服务器

接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。

•认证/计费服务器

与接入设备进行交互,完成对用户的认证和计费。

以上四个基本要素的交互过程为:

1.未认证用户访问网络时,在Web浏览器栏中输入一个互联网的,那么此HTTP请求在经过接入设备时会被重定向到Portal服务器的Web认证主页上;

2.用户在认证主页/认证对话框中输入认证信息后提交,Portal服务器会将用户的认证信息传递给接入设备;

3.然后接入设备再与认证/计费服务器通信进行认证和计费;

4.认证通过后,则接入设备会打开用户与互联网的通路,允许用户访问被管理员授权的互联网资源。

认证的实现机制

2.1发起认证的方式

虽然免客户端认证是Portal认证的一种主流方式,但在需要实现更安全灵活的功能的前提下,也可以采用客户端认证的方式进行认证,这两种方式的认证流程大致如下:

对于通过Web进行认证的用户(免客户端方式),采用对HTTP报文重定向的方式,接入设备对用户连接进行TCP仿冒和认证客户端建立TCP连接,然后将页面重定向到Portal服务器,而从实现向客户推出认证页面。用户通过在该页面登录将用户信息传递给了Portal服务器,随后Portal服务器通过PAP或CHAP的方式向接入设备传递用户信息。接入设备获取到用户信息后,将该信息通过AAA模块完成认证。

对于使用客户端进行认证的用户,使用portal协议报文与portal-server进行交互,实现对客户端的相关控制和用户状态的实时上报。随后Portal服务器与接入设备交互,接入设备再通过AAA模块完成认证。

2.2用户保活机制

用户通过WEB实现认证时,认证后在线窗口处于开打状态,并采用上层的协议的get动作实现心跳机制,用户下线时需要在该页面上主动下线按钮触发下线动作,如果该页面或用户PC不正常关闭,可能导致用户在一定时间内无法手动下线,直到Portal服务器侧超时后,再触发下线动作,通知接入设备将用户下线。

用户使用专用的客户端时,使用Portal握手报文来确认用户是否在线。对于客户端来说,4个心跳没有收到答复,就认为自己已经下线,重新发起认证;对于Portal服务器,在指定的时间内没有收到心跳报文,就认为用户下线,并通知接入设备将用户下线。

2.3产品实现原理

产品对Portal的实现是基于ACL的,通过QACL模块来支持对用户报文的重定向以及限制用户可以使用的相关资源;通常我们把Portal使用的ACL分为4类(对于底层没有什么区别,主要是查找匹配的顺序)

Type1:FreeIP规则,动作是permit(到Portal-Server的规则为第1个freeip)

Type2:用户认证通过后添加的规则,动作是permit

Type3:用户网段重定向规则,对HTTP报文重定向到CPU(实现认证页面的推出)

portal服务器 什么是portal认证服务器

Type4:用户网段禁止规则,动作是deny

Portal规则在端口上下发,排列需要有严格的顺序,匹配时按照Type1-4的顺序从前往后排列。如果在一个端口上既有普通ACL规则(通过命令行配置的ACL)下发,又启用了portal,则portal所添加的规则会排列在普通ACL之后。

2.4 PORTAL协议框架

Portal协议主要涉及Portal服务器(Portal Server)和接入设备(BAS),采用C/S结构,基于UDP。

端口定义:

PortalServer通过默认端口(50100)侦听BAS发来的报文;

BAS通过端口2000侦听来自PortalServer的所有报文。

2.5对EAD系统的支持

通过EAD的系统中的安全策略服务器,Portal可以实现其扩展认证功能,实现基于客户端与安全策略服务器之间的交互来进行后续的安全检测功能。

Portal对EAD的支持需要用户在终端上安装专用的Portal客户端软件,用户在通过Portal认证后,安全策略服务器通过与Portal客户端、接入设备进行交互,完成对用户的安全认证。若对用户采用了安全策略,则用户的安全检测通过之后,安全策略服务器根据用户的安全策略,授权用户访问非受限资源。

Portal在EAD系统中通过联动的机制主动的实施安全策略,联动的基本方式如下:

•客户端与安全策略服务器联动

1、客户端上线时Portal服务器会在Login-Response报文中携带EAD服务器的IP及端口号;

2、用户上线后客户端和安全策略服务器进行交互,服务器下发检查策略,客户端按策略检查所在PC的安全情况,并上报服务器;

3、用户在线过程中客户端仍会定期上报安全情况,以适应动态检测(即EAD心跳),安全检测使用的报文为UDP,通常端口号是9019(Server)/10102(Client)。

•接入设备与安全策略服务器的联动

H3C对Radius协议进行了扩展,定义了Type20(Session-Control),当用户上线后,通过该类型的Radius报文下发隔离ACL,等通过安全检查后,再下发安全ACL。

认证方式

3.1认证方式分类

不同的组网方式下,可采用不同的Portal认证方式。按照网络中实施Portal认证的网络层次来分,Portal的认证方式分为两种:二层认证方式和三层认证方式。

•二层认证方式

二层认证方式支持在接入设备连接用户的二层端口上开启Portal认证功能,只允许源MAC通过认证的用户才能访问外部网络资源。目前,该认证方式仅支持本地Portal认证,即接入设备作为本地Portal服务器向用户提供Web认证服务。

•三层认证方式

三层认证方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为三种不同的认证方式:认证方式、二次分配认证方式和跨三层认证方式。认证方式和二次分配认证方式下,认证客户端必须通过二层连接到接入设备;跨三层认证方式下,认证客户端和接入设备之间可以跨接三层转发设备。

认证

用户在认证前通过手工配置或DHCP获取一个IP,只能访问Portal服务器,以及设定的free IP;认证通过后即可访问网络资源。认证流程相对二次分配认证较为简单。

二次分配认证

用户在认证前通过DHCP获取一个私网IP,只能访问Portal服务器,以及设定的免费访问;认证通过后,用户会重新申请到一个公网IP,即可访问网络资源。该认证方式解决了IP规划和分配问题,对未认证通过的用户不分配公网IP。例如运营商对于小区宽带用户只在访问小区外部资源时才分配公网IP。

跨三层认证

和认证方式基本相同,但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。

对于以上三种认证方式,IP都是用户的唯一标识。接入设备基于用户的IP下发ACL对接口上通过认证的用户报文转发进行控制。由于认证和二次分配认证下的接入设备与用户之间未跨越三层转发设备,因此接口可以学习到用户的MAC,接入设备可以利用学习到MAC增强对用户报文转发的控制粒度。

3.2二层Portal认证过程

(1) Portal用户通过HTTP或HTTPS协议发起认证请求。HTTP报文经过配置了本地Portal服务器的接入设备的端口时会被重定向到本地Portal服务器的监听IP,本地Portal服务器提供Web页面供用户输入用户名和密码来进行认证。该本地Portal服务器的监听IP为接入设备上一个与用户之间路由可达的三层接口IP(通常为Loopback接口IP)。

(2)接入设备与RADIUS服务器之间进行RADIUS协议报文的交互,对用户身份进行验证。

(3)如果RADIUS认证成功,则接入设备上的本地Portal服务器向客户端发送登录成功页面,通知客户端认证(上线)成功。

3.3三层Portal认证过程

认证和可跨三层Portal认证的流程

认证/可跨三层Portal认证流程:

(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时,对于访问Portal服务器或设定的免费访问的HTTP报文,接入设备允许其通过;对于访问其它的HTTP报文,接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

(2) Portal服务器与接入设备之间进行CHAP(Challenge HandshakeAuthentication Protocol,质询握手验证协议)认证交互。若采用PAP(PasswordAuthentication Protocol,密码验证协议)认证则进入下一步骤。

(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备,同时开启定时器等待认证应答报文。

(4)接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(5)接入设备向Portal服务器发送认证应答报文。

(6) Portal服务器向客户端发送认证通过报文,通知客户端认证(上线)成功。

(7) Portal服务器向接入设备发送认证应答确认。

(8)客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全*是否合格,包括是否安装防病*软件、是否更新病*库、是否安装了非法软件、是否更新操作系统补丁等。

(9)安全策略服务器根据用户的安全*授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(8)、(9)为Portal认证扩展功能的交互过程

二次分配认证方式的流程:

二次分配认证流程:

(1)~(4)同/可跨三层Portal认证中步骤(1)~(4)。

(5)用户在接入设备上认证成功后,BAS向Portal-Server发送带有IP-Config属*的认证回应报文,指出用户需要更新IP。

(6) Portal-Server再向客户端发送带有IP-Config属*的认证通过报文(Login-Response),要求客户程序释放再申请IP。

(7)客户端成功更新IP后,向Portal-Server报告更新IP成功。

(8) Portal服务器通知接入设备客户端获得新公网IP。

(9)接入设备通过检测ARP协议报文检测到了用户IP变化,并通告Portal服务器已检测到用户IP变化。

(10) Portal服务器通知客户端上线成功。

(11) Portal服务器向接入设备发送IP变化确认报文。

(12)客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全*是否合格,包括是否安装防病*软件、是否更新病*库、是否安装了非法软件、是否更新操作系统补丁等。

(13)安全策略服务器根据用户的安全*授权用户访问非受限资源,授权信息保存到接入设备中,接入设备将使用该信息控制用户的访问。

步骤(12)、(13)为Portal认证扩展功能的交互过程

三、Portal是什么, Portal主要有什么功能

Portal是一个基于Web的应用,他主要提供个*化,单点登录(Single Sign-on),聚集各个信息员的内容并作为信息系统表现层的宿主。聚集主要是指把各个信息源的内容集成到同一个Web页面。

Portal主要有如下三种功能:

1.Portlet容器:

Portlet容器与servlet容器非常类似,所有的portlet都部署在portlet容器里,portlet容器控制portlet的生命周期并为其提供必要的资源和环境信息。Portlet容器负责初始化和销毁portlets,向portlets传送用户请求并合成响应。

2.内容聚集:

Portlet规范中规定portal的主要工作之一是聚集由各种portlet应用生成的内容。

3.公共服务:

portlet服务器的一个强项是它所提供的一套公共服务。这些服务并不是portlet规范所要求的,但portal的商业实现版本提供了丰富的公共服务以有别于它们的竞争者。在大部分实现中都有望找到的几个公共服务有:

a.单点登录:只需登录portal服务器一次就可以访问所有其它的应用,这意味着你无需再分别登录每一个应用。例如一旦我登录了我的intra网站,我就能访问mail应用、IM消息应用和其它的intra应用,不必再分别登录这些应用。

Portal服务器会为你分配一个通行证库。你只需要在mail应用里设定一次用户名和密码,这些信息将以加密的方式存储在通行证库中。在你已登录到intra网站并要访问mail应用的时候,portal服务器会从通行证库中读取你的通行证替你登录到mail服务器上。你对其它应用的访问也将照此处理。

b.个*化:个*化服务的基本实现使用户能从两方面个*化他的页面:第一,用户可以根据他的自身喜好决定标题条的颜色和控制图标。第二,用户可以决定在他的页面上有哪些portlets。例如,如果我是个体育迷,我可能会用一个能提供我钟爱球队最新信息的portlet来取代股票和新闻portlets。

一些在个*化服务方面领先的商业实现版本允许你建立为用户显示什么样的应用所依据的标准(如收入和兴趣)。在这种情况下,可以设定一些像“对任何收入为X的用户显示馈赠商品的portlet”和“对任何收入为X的用户显示打折商品的portlet”这样的商业规则。

此外还有一些公共服务,比如机器翻译,是由portal服务器将portlet生成的内容翻译为用户要求的语言。大部分的商业portal服务器都支持手持设备访问并具有针对不同的浏览终端生成不同内容的能力。