目前在防火墙上提供了几种认证方法

EAP-MD5：

(1) 客户端向接入设备发送一个EAPoL-Start报文，开始8021x认证接入；

(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来；

(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名；

(4) 接入设备将EAP-Response/Identity报文封装到RADIUSAccess-Request报文中，发送给认证服务器；

(5) 认证服务器产生一个Challenge，通过接入设备将RADIUSAccess-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge；

(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证；

(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备；

(8) 接入设备将Challenge，ChallengedPassword和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证；

(9) RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束；

(10) 如果认证通过，用户通过标准的DHCP协议(可以是DHCPRelay)，通过接入设备获取规划的IP地址；

(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器；

EAP-PEAP：

(12) RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

EAP-PEAP：

（1）TLS 握手阶段
申请者向认证者发送EAPOL-Start 帧，启动8021x 认证流程。认证者向申请者发送
EAP-Request/Idnetity消息，要求申请者提供自己的身份。申请者发送EAP-Response/Identity
消息给认证者，消息中的Identity 域存放用户的网络访问标识符（Network Access Identifier，
NAI），一般为用户名@域名的形式。认证者将此EAP 消息通过RADIUS 协议封装后，转
发给认证服务器。认证服务器开始PEAP 认证，发送EAP-Request/PEAP/Start 消息给认证者，
认证者将其转发给申请者。这时开始TLS 握手过程，建立TLS 隧道。
申请者发送 EAP-Response/Clint_Hello 消息发送给认证者，Client_Hello 握手消息包含
TLS 版本号、客户端随机数、会话ID、客户端支持的密码算法套件和压缩算法（为NULL）。
认证者将EAP 消息转发给认证服务器。认证服务器从Client_Hello 消息中的密码算法套件挑
选出自己支持的一组密码算法，连同服务器端随机数、会话ID、压缩算法组成Server_Hello
消息。Server_Hello、服务器端证书、Server_Key_Exchange 和Server_Hello_Done消息被封
装到EAP 消息中发送给认证者，认证者转发这个EAP 消息给申请者。申请者收到后验证服
务器的数字证书，并回复给服务器密钥材料Clinet_Key_Exchange、Change_Cipher_ Spec 和
Finisisd 消息。认证服务器接收到认证者发来的EAP 消息后，验证Finished 消息的正确性，
并回复自己的Change_Cipher_Spec 和Finished 消息给申请者。申请者收到认证服务器的消
息后校验Finished 消息，并发送一个空响应给认证服务器来进行第二阶段认证。此时申请者
和认证服务器协商都推导出会话密钥，从而建立了一个加密隧道，为接下来的第二阶段EAP
认证提供机密性和完整性服务。
（2）隧道阶段
利用 TLS 记录层协议，认证服务器初始化一个新的EAP 认证。新的交换过程根据具体
EAP 认证方法的要求，完成对申请者身份的认证。值得注意的是，当这一阶段认证方法结
束之后，在隧道内认证服务器和申请者会互相发送一个EAP-TLV/ Result-TLV 数据包来揭示
认证的结果。最后认证服务器根据第二阶段EAP 方法的认证结果，发送给认证者和申请者
的EAP-Success 或EAP-Failure 消息，整个PEAP 认证过程结束。

服务器证书是SSL数字证书的一种形式，通过使用服务器证书可为不同站点提供身份鉴定并保证该站点拥有高强度加密安全。它的用处归纳如下：
1）实现信息加密传输
用户通过>nginx配置sso登录

下面的例子是如何在nginx配置sso登录服务。

用到几个主要元素：应用服务器(myweb)，ngingx服务器，和认证服务器(mycas)。

为了验证的简化，所有的服务器都搭建在一台主机上(假设当前机器名为hostexamplecom)，主机名即域名，三个服务通过三个不同的端口提供服务。

我们使用node/express来模拟应用服务器和CAS认证服务器。

参考官方文档，不细说。
>一种原因，可能是路径问题产生的，检查一下后台登陆文件调用路径是不是正确；另一种情况是您电脑问题，因为设置原因，阻止了验证码的读取与d出。具体解决方法，建议网上搜一下逐个排查解决吧。

---