- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
31-H3C EIA 访客认证典型配置举例-整本手册.pdf (11.27 MB)
H3C EIA访客认证
典型配置举例
资料版本:5W119-20240730
产品版本:EIA(E6606)
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档详细描述了访客二维码认证的配置方法和访客使用二维码进行认证的过程,生成二维码的操作取代了访客预注册、访客手动输入用户名/密码进行认证等操作,使智能终端接入Wi-Fi网络更加便捷。
适用于用户使用EIA组件对终端访客进行二维码认证的场景,现EIA均支持使用Portal方式和MAC Portal方式对访客进行认证,对企业访客接入推荐使用MAC Portal方式。
· Portal认证通常用于企业或组织内部网络的身份验证,以确保用户访问内部资源时的安全性和合规性。
· MAC Portal认证通常用于企业网络中,允许员工使用自己的个人设备(如手机、平板电脑、笔记本电脑等)访问企业资源,并确保网络安全。
接入设备需支持Portal协议、MAC Portal认证。
某公司计划启用访客认证,访客接入网络时需要进行身份验证。具体的组网如图1所示。EIA服务器IP地址为172.19.202.241,接入设备IP地址为1.2.1.160。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA (E6606)
· 接入设备为H3C WX5510EV7。
图1 组网图(Portal)
某公司计划启用访客认证,访客接入网络时需要进行身份验证。具体的组网如图2所示。EIA服务器IP地址为1.2.4.241,接入设备IP地址为1.2.1.160。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA (E6606)
· 接入设备为H3C WX5510EV7。
配置步骤包括以下几个部分:
· 配置EIA服务器
· EIA中的访客配置
· EIA中Portal认证页面的配置
· 自助页面定制
· 配置接入设备
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>接入服务>接入设备>接入设备配置]菜单项,进入接入设备配置页面,如图3所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图4所示。
(3) 配置接入设备。
接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
单击<增加IPv4设备>按钮,进入增加接入设备页面,如图5所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
图5 手工增加接入设备
(4) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认。
本例以共享密钥\确认共享密钥“movie”为例进行介绍,其他保持默认即可,如图6所示。
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图7所示。
配置一个不进行任何接入控制的接入策略。增加接入策略的方法如下:
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>接入服务>接入策略]菜单项,进入接入策略页面,如图8所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图9所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略页面,可在接入策略列表中查看新增的接入策略,如图10所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 选择“自动化”页签,单击左侧导航树中的[接入服务>接入服务]菜单项,进入接入服务页面,如图11所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置服务名、服务后缀、缺省接入策略,其他参数保持默认,如图12所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表1。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 缺省接入策略:选择2. 增加接入策略新增的portal_Policy接入策略。
¡ 缺省安全策略:接入用户的接入场景与服务中的接入场景均不匹配时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
¡ 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
¡ 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
¡ 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 其他参数保持默认。
表1 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图13所示。
(1) 选择“自动化”页签,单击左侧导航树中的[接入用户>接入用户]菜单项,进入接入用户页面,如图14所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图15和图16所示。
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 帐号名:唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。
¡ 密码/确认密码:输入两次相同的密码。
¡ 其他参数:保持缺省值。
(3) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图17所示。
访客管理员通过自助页面进行访客审批时,会区分访客管理员的权限,即只有访客预注册时所选的的访客管理员或超级访客管理员才能审批。而二维码审批没有权限约束,即所有访客管理员可以扫描任意预注册访客的二维码后进行审批。
(1) 使用admin(或其他拥有权限的管理员/维护员)登录EIA配置页面。
(2) 选择“自动化”页签,单击左侧导航树中的[用户业务>访客用户>访客管理员]菜单项,进入访客管理员页面如图18所示。
(3) 单击<增加>按钮,进入增加访客管理员页面,如图19所示。进行如下设置:
¡ 访客管理员类型:保持默认选项“访客管理员”即可。
¡ 所管理访客的最大有效时长:配置为7天。
(4) 单击<选择接入用户>按钮,弹出如图20所示的窗口。选中3.3.1 4. 增加接入用户(用于配置默认访客管理员)接入用户后,单击<确定>按钮。
(5) 再次单击<确定>按钮,增加访客管理员完毕。新增的访客管理员如图21所示。
默认访客管理员在自动预注册时使用,不影响二维码审批流程,因此任意指定一个即可。如果系统中已经存在默认访客管理员,则无需再指定。
在访客管理员列表中,点击对应的默认访客管理员列的“否”链接,如图22所示,即可将该访客管理员指定为默认访客管理员,如图23所示。
(1) 单击左侧导航树中的[访客用户>访客策略>服务]菜单项,进入服务页面,如图24所示。
(2) 单击<增加>按钮,进入增加访客服务页面,如图25所示。然后选择服务,单击<确定>按钮,即可将所选的服务设置为访客服务。
(3) 在访客服务列表中,点击访客服务对应的“否”链接,如图26所示,即可将新增的访客服务设置为自动转正访客服务,如图27所示。
(1) 单击左侧导航树中的[访客用户>访客策略>策略]菜单项,单击<增加>按钮进入增加策略页面,如图28所示。
(2) 配置如下参数:
¡ 策略名称:填写策略名称
¡ 预注册访客自动转正:选择“禁止”选项。如果选择为允许,则预注册访客无需访客管理员审批,不适用于二维码审批的场景。
¡ 访客密码通知方式:适用于短信认证场景,选择告知访客登录密码等信息的方式。告知方式包括短信和电子邮件,可以同时选择两种方式。如果告知方式为短信,则需要启用短信功能。如果告知方式为电子邮件,邮件的内容由EIA预置,无法修改;同时只有在本系统PLAT中配置正确的邮件服务器,才能成功发送邮件。如果未选择任何一种方式,表示不将密码通知到访客。
¡ 访客预注册后显示二维码:适用于二维码访客认证方式,选择“是”选项。
¡ 扫描二维码预注册访客自动转正:适用于二维码访客认证方式,选择“禁止”选项。
¡ 访客生效方式:如果选择“手工指定生效时间”表示访客管理员可以手工指定所管理访客的生效时间和失效时间,如果选择“首次上线生效”表示访客首次上线后更新生效时间和失效时间。除了移动访客管理自助平台注册的访客,其他方式注册的访客转正时,访客生效时间都受该参数控制。
¡ 缺省访客有效时长:输入缺省情况下,访客的有效时长。注册访客时,如果未设置或无法设置失效时间,则访客的失效时间取该参数和“所管理访客的最大有效时长”的较小值。“所管理访客的最大有效时长”在增加访客管理员时配置,具体请参见增加访客管理员。在移动终端上审批访客时,输入的“有效时长”值,也将同样取其与“缺省访客有效时长”、“所管理访客的最大有效时长”的较小值。
¡ 访客密码有效时长:输入访客密码的有效时长,从访客生效时开始计算。访客只在密码失效前才能接入网络。如果该参数保持为空,则表示访客密码永不失效。
¡ 访客密码生成规则:系统自动生成访客密码的规则。EIA支持三种规则,即n位数字、n位字母和n位数字+字母的组合。该规则对访客注册过程中手工输入的密码无效。
¡ 访客在线数量限制缺省值:输入访客注册页面中“在线数量限制”缺省显示的值。
¡ 访客在线数量限制最大值:输入访客注册页面中“在线数量限制”可以配置的最大值。
¡ 短信开户与认证页面的校验方式:如果选择"随机验证码方式"后,在"短信开户与认证页面"会显示含有随机信息的图片,只有正确输入了图片中的内容才能进行注册;如果选择"指定授权码方式"后,则还需配置授权码,在“短信开户与认证页面”中会要求终端用户输入访客策略中配置的授权码,只有正确输入授权码才能进行访客注册。如果选择“不验证”后,终端用户直接可以进行访客注册。“随机验证码方式”和“指定授权码方式”可以防止恶意注册。
¡ 访客帐号名生成规则:假设某个访客在2014年1月1日8点8分8秒123毫秒开户(该时间对应的毫秒值为1388534888123,该毫秒值是自1970年1月1日0点到开户时间点的毫秒数)。如果选择“系统时间的毫秒值”,则帐号名为1388534888123;如果选择“前缀+系统时间的毫秒值”,则还需配置前缀,如果“前缀”配置为“auto”,则帐号名为auto1388534888123;如果选择“YYMMDDhhmmss时间戳+4位随机数”,则帐号名为140101080808ZZZZ,其中ZZZZ是四位随机数字。
(3) 单击<确定>按钮,完成缺省访客策略配置。
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>业务参数>Portal服务>服务器配置]菜单项,进入服务器配置页面,可查看Portal主页,如图29所示。
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>业务参数>Portal服务>IP地址组配置]菜单项,进入IP地址组配置页面,如图30所示。
图30 IP地址组配置
(2) 单击<增加>按钮,进入增加IP地址组页面,如图31所示。
图31 增加IP地址组
(3) 输入IP地址组名,本例为“46.46.46.1”,并输入起始地址和终止地址IP地址。其中,属于该地址段的终端都要进行认证。
(4) 单击<确定>按钮,完成增加IP地址组,返回IP地址组配置页面。可在IP地址组列表中查看新增的IP地址组,如图32所示。
图32 查看新增的IP地址组
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>业务参数>Portal服务>设备配置]菜单项,进入设备配置页面,如图33所示。
(2) 单击<增加>按钮,进入增加设备信息页面,如图34所示。
参数说明:
¡ 设备名:输入设备名称,本例为“46.46.46.1”。
¡ IP地址:Portal接入设备的公网IP地址。
¡ 密钥\确认密钥:输入“movie”。密钥要与设备上配置的Portal服务器密钥保持一致。
¡ 组网方式:在下拉框中选择“直连”。
¡ 其他参数:保持默认值。
(3) 单击<确定>按钮,完成增加设备信息。返回设备配置页面,可在列表中查看新增的设备信息,如图35所示。
(4) 在设备列表中,选择Portal设备对应的
链接,进入如图36所示页面。
图36 Portal端口组列表
(5) 单击<增加>按钮,进入增加端口组信息页面,如图37所示,配置如下参数。
¡ 端口组名称:填写端口组名称,本例以“portal”为例。
¡ 认证方式:选择“CHAP认证”选项。
¡ 缺省认证页面:选择“PHONE-缺省Phone二维码认证”选项。
¡ 其他参数保持默认即可。
图37 Portal端口组配置
(6) 单击<确定>按钮,完成Portal端口组配置。
(1) 选择“自动化”页签,单击左侧导航树中的[接入服务>终端页面定制>预注册页面定制]菜单项,选择Phone页签,如图38所示。
(2) 单击<增加>按钮,进入定制页面,填写定制名称,类别选择“访客预注册”,如图39所示。
(3) 配置完成后,单击<确定>按钮,返回预注册页面定制页面,如图40所示。
(4) 单击绘制栏的<绘制注册页面>按钮,进入预注册Phone定制页面,如图41所示。
(5) 单击<属性设置>按钮,进入属性设置页面,如图42所示。
(6) 单击操作列的<编辑>按钮,可设置字段的别名、字段输入提示信息、是否显示该字段、是否为必填项和默认值,如图43所示。
(7) 编辑完成后,单击
按钮,保存修改的属性,全部修改完成后单击<关闭>按钮。
(8) 返回预注册Phone定制页面,单击<保存>按钮,然后单击<确定>按钮完成定制。
(9) 单击定制名称列的“访客预注册”链接,进入预注册定制详细信息页面,可查看详情,如图44所示。
(1) 选择“自动化”页签,单击左侧导航树中的[接入服务>终端页面定制>自助页面定制]菜单项,选择登录页面定制(Phone)页签,进入登录页面定制(Phone)页面,如图45所示。
(2) 单击自定义链接1修改栏的<修改>按钮,显示名称修改为“访客预注册”,URL中输入EIAIP:9066+1. 预注册页面定制中新增访客预注册页面的URL路径,本例为172.19.202.241:9066/ssvui/ssvrs/selfservice/templatePage/20240705150816740/guestPreregister.html?customId=3,如图46所示。
(3) 单击显示列的<隐藏>按钮,开启显示按钮,如图47所示。
(4) 配置完成后,单击修改列的
按钮,修改成功。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<WX5510E-160>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“allpermit”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与3.3.1 1. 增加接入设备的配置保持一致。
[WX5510E-160]radius scheme allpermit
New Radius scheme
[WX5510E-160-radius-allpermit]primary authentication 172.19.202.241 1812
[WX5510E-160-radius-allpermit]primary accounting 172.19.202.241 1813
[WX5510E-160-radius-allpermit]key authentication simple movie
[WX5510E-160-radius-allpermit]key accounting simple movie
[WX5510E-160-radius-allpermit]user-name-format with-domain
[WX5510E-160-radius-allpermit]quit
(3) 配置domain域“portal”,引用配置好的“allpermit”策略。domain的名称必须与3.3.1 3. 增加接入服务中配置的服务后缀保持一致。
[WX5510E-160]domain portal
[WX5510E-160-isp-portal]authentication portal radius-scheme allpermit
[WX5510E-160-isp-portal]authorization portal radius-scheme allpermit
[WX5510E-160-isp-portal]accounting portal radius-scheme allpermit
[WX5510E-160-isp-portal]quit
(4) 配置Portal认证服务器:名称为myportal,IP地址指向EIA服务器,key要与3.3.3 3. 设备配置中配置的密钥一致。
[WX5510E-160]portal server myportal
New portal server added.
[WX5510E-160-portal-server-myportal]ip 172.19.202.241 key simple movie
[WX5510E-160-portal-server-myportal]quit
(5) 配置Portal Web服务器的URL为http://172.19.202.241:9092/portal,要与3.3.3 1. 服务器配置中的“Portal主页”项中的配置项一致。
[WX5510E-160]portal web-server myportal
New portal web-server added.
[WX5510E-160-portal-websvr-myportal]url http:// 172.19.202.241:9092/portal
[WX5510E-160-portal-websvr-myportal]quit
(6) 在接口GigabitEthernet1/0/16所在VLAN虚接口Vlan-interface 50上,配置DHCP服务器,并开启直连方式的Portal,引用Portal Web服务器myportal,设置发送给Portal认证服务器的Portal报文中的bas-ip属性值,该bas-ip需和3.3.3 3. 设备配置中的IP地址保持一致。
[WX5510E-160]interface Vlan-interface 50
[WX5510E-160-Vlan-interface50]ip address 46.46.46.1 255.255.255.0
[WX5510E-160-Vlan-interface50]dhcp select relay
[WX5510E-160-Vlan-interface50]dhcp relay server-address 172.19.202.250
[WX5510E-160-Vlan-interface50]portal enable method direct
[WX5510E-160-Vlan-interface50]portal apply web-server myportal
[WX5510E-160-Vlan-interface50]portal bas-ip 46.46.46.1
[WX5510E-160-Vlan-interface50]Portal domain portal
[WX5510E-160-Vlan-interface50]quit
(7) 创建无线服务模板,配置SSID,配置无线服务模板VlAN为vlan50,并使能无线模板。
[WX5510E-160-wlan-st-market]wlan service-template market
[WX5510E-160-wlan-st-market]ssid ss_market_portal
[WX5510E-160-wlan-st-market]vlan 50
[WX5510E-160-wlan-st-market]service-template enable
(8) 配置AP,将无线服务模板绑定到Radio 1,并开启射频。
[WX5510E-160]wlan ap inode1 model WA4320i-ACN
[WX5510E-160-wlan-ap-indel]radio 1
[WX5510E-160-wlan-ap-indel-radio-1]radio enable
[WX5510E-160-wlan-ap-indel-radio-1]service-template market
[WX5510E-160-wlan-ap-indel-radio-2]quit
配置步骤包括以下几个部分:
· 配置DHCP服务器
· 配置EIA服务器
· EIA中的访客配置
· 开启MAC无感知认证功能
· 配置接入设备
(1) 启用DHCP服务器,在导航栏中单击“IPv4”选项,在菜单栏中选择“新建作用域”选项,如图48所示。
(2) 弹出新建作用域向导页面,单击<下一步>按钮,如图49所示。
(3) 进入作用域名称页面,配置作用域名称为Anony_mac,单击<下一步>按钮,如图50所示。
(4) 进入IP地址范围页面,配置地址范围为:46.46.46.2~46.46.46.254,设置子网掩码为24位,单击<下一步>按钮,如图51所示。
图51 IP地址池范围
(5) 不做具体介绍的页面均保持默认配置,一直单击<下一步>按钮,进入路由器(默认网关)页面,配置网关地址为46.46.46.1,单击<添加>按钮,将网关地址添加,然后单击<下一步>按钮,如图52所示。
(6) 进入到域名称和DNS服务器页面,配置DNS服务器的IP地址,本例配置为172.19.202.250,为DHCP服务器地址,单击<添加>按钮,将服务器地址添加,如图53所示,弹出DNS验证弹窗,待弹窗消失后,单击<下一步>按钮。
图53 DNS服务器
(7) 不做具体介绍的页面均保持默认配置,一直单击<下一步>按钮,进入正在完成新建作用域向导页面,单击<完成>按钮。匿名用户作用域配置完成,如图54所示。
参考1. 增加MAC Portal匿名用户作用域配置方式,增加接入账号作用域。名称配置为BYOD_mac,配置IP地址范围为97.97.97.2~97.97.97.254,配置网关地址为97.97.97.1。
DHCP Agent是H3C开发的一款DHCP插件,可以在安装包“<EIA安装包>/EIA/tools”目录下获取安装文件DHCP Agent.exe。
(1) 打开DHCP Agent,配置如下参数:
¡ 勾选“启用Agent”复选框。
¡ UAM服务器IP:配置为安装EIA服务器IP地址,本例为1.2.4.241。
¡ 其他参数保持默认值即可。
(2) 单击<保存配置>按钮,单击<启动DHCP Server>按钮。
(3) Agent状态显示为对号表示DHCP已正常工作。
图55 DHCP Agent
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>接入服务>页面推送策略]菜单项,进入如图56所示页面。
(2) 在页面推送策略页面,单击<增加>按钮,进入如图57所示页面,进行如下配置:
¡ 策略名称:填写策略名称,本例以“MAC Portal推送策略”为例。
¡ 认证方式:选择“MAC Portal”选项,该MAC Portal认证方式最多只能配置一条。
¡ 缺省认证页面:选择“PHONE-缺省Phone二维码认证”选项。
(3) 配置完成单击<确定>按钮,保存设置,如图58所示。
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>接入服务>接入设备>接入设备配置]菜单项,进入接入设备配置页面,如图59所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图60所示。
(3) 配置接入设备。
接入设备的IP地址都必须满意以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
单击设备列表中的<增加IPv4设备>按钮,弹出增加接入设备页面,如图61所示。输入接入设备的IP地址,单击<确定>按钮,返回增加接入设备页面。
(4) 配置公共参数。公共参数的配置要求如下:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果在[用户>接入策略管理>业务参数配置>系统配置>系统参数配置]中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可。
¡ 其他参数保持默认。
本例以共享密钥\确认共享密钥“movie”为例进行介绍,其他保持默认即可,如图62所示。
(5) 单击<确定>按钮,增加接入设备完毕,可在接入设备列表中查看新增的接入设备,如图63所示。
配置两个接入策略分别为MAC Portal匿名用户和接入账号使用。增加接入策略的方法如下:
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>接入服务>接入策略>]菜单项,进入接入策略页面,配置MAC Portal匿名用户使用的接入策略,如图64所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图65所示。输入接入策略名,配置MAC Portal匿名用户下发VLAN 50,其他参数保持默认即可。
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略页面,可在接入策略列表中查看新增的接入策略,如图66所示。
(4) 以同样的方式增加接入账号使用的接入策略mac策略,并配置下发VLAN 97,如图67所示。
图67 mac策略
接入服务是对用户进行认证授权的各种策略的集合。配置两个接入服务分别为MAC Portal匿名用户和接入账号使用。增加接入服务的方法如下:
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>接入服务]菜单项,进入接入服务管理页面,配置MAC Portal匿名用户使用的接入服务,配置如图68所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置服务名、缺省接入策略,其他参数保持默认,如图69所示。
配置服务的各个参数:
¡ 服务名:输入服务名称,在EIA中必须唯一。
¡ 服务后缀:服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表2。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 缺省接入策略:选择3. 增加接入策略新增的anony策略接入策略。
¡ 缺省安全策略:接入用户的接入场景与服务中的接入场景均不匹配时,会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控,从而实现网络的自动防御。该选项只有安装了EAD安全策略组件后才会出现。
¡ 缺省内网外连策略:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省内网外连策略的控制。
¡ 缺省单帐号最大绑定终端数:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制。该参数只有在部署了EIP组件后才会显示。
¡ 缺省单帐号在线数量限制:接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制。
¡ 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。配置该服务所属的业务分组,用于该服务的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置该业务分组。
¡ 单日累计在线最长时间(分钟):每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440。
¡ 无感知认证:默认开启。
¡ 其他参数保持默认。
表2 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
iMC中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务。返回接入服务页面,可在接入服务列表中查看新增的接入服务,如图70所示。
(4) 以同样的方式增加接入账号使用的接入服务mac服务,缺省接入选择3. 增加接入策略增加的mac策略。
图71 mac服务
配置两个接入用户分别为MAC Portal匿名用户和接入账号(用于配置访客管理员)。增加接入用户的方法如下:
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>接入用户]菜单项,进入接入用户页面,配置MAC Portal匿名用户,如图72所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如图73所示。
图74 选择接入服务
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 勾选缺省BYOD用户,缺省BYOD用户的帐号名固定为“byodanonymous”,且帐号密码不用再设置。
¡ 勾选4. 增加接入服务为MAC Portal匿名用户增加的anony服务。
¡ 其他参数:保持缺省值。
(3) 单击<确定>按钮,MAC Portal匿名用户配置完成,返回接入用户页面。可在接入用户列表中查看新增的MAC Portal匿名用户byodanonymous,如图75所示。
(4) 然后增加访客管理员使用的接入用户,单击<增加>按钮,进入增加接入用户页面,如图76所示。
图76 增加访客管理员
图77 选择接入服务
参数说明:
¡ 用户姓名、证件号码:用户的姓名及证件号码。
¡ 帐号名:唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同,不能包含如下特殊字符:#+/?%&=*'@\"[]()<>`和TAB键,且最大长度为200字符。
¡ 密码/确认密码:输入两次相同的密码。
¡ 其他参数:保持缺省值。
(5) 单击<确定>按钮,完成增加接入用户,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图78所示。
访客管理员通过自助页面进行访客审批时,会区分访客管理员的权限,即只有访客预注册时所选的的访客管理员或超级访客管理员才能审批。而二维码审批没有权限约束,即所有访客管理员可以扫描任意预注册访客的二维码后进行审批。
(1) 使用admin(或其他拥有权限的管理员/维护员)登录系统。
(2) 选择“自动化”页签,单击左侧导航树中的[用户业务>访客用户>访客管理员]菜单项,进入访客管理员页面如图79所示。
(3) 单击<增加>按钮,进入增加访客管理员页面,如图80所示。进行如下设置:
¡ 访客管理员类型:保持默认选项“访客管理员”即可。
¡ 所管理访客的最大有效时长:配置为7天。
(4) 单击<选择接入用户>按钮,弹出如图81所示的窗口。选中3.4.2 5. 增加接入用户增加的manager接入用户后,单击<确定>按钮。
(5) 再次单击<确定>按钮,增加访客管理员完毕。新增的访客管理员如图82所示。
默认访客管理员在自动预注册时使用,不影响二维码审批流程,因此任意指定一个即可。如果系统中已经存在默认访客管理员,则无需再指定。
在访客管理员列表中,点击对应的默认访客管理员列的“否”链接,如图83所示,即可将该访客管理员指定为默认访客管理员,如图84所示。
(1) 单击左侧导航树中的[访客用户>访客策略>服务]菜单项,进入服务页面,如图85所示。
(2) 单击<增加>按钮,进入增加访客服务页面,如图86所示。然后选择3.4.2 4. 增加接入服务增加的mac服务,单击<确定>按钮,即可将所选的服务设置为访客服务。
(3) 在访客服务列表中,单击访客服务对应的“否”链接,即可将新增的访客服务设置为自动转正访客服务,如图87所示。
(1) 单击左侧导航树中的[访客用户>访客策略>策略]菜单项,单击<增加>按钮进入增加策略页面,如图88所示。
(2) 配置如下参数:
¡ 策略名称:填写策略名称
¡ 预注册访客自动转正:选择“禁止”选项。如果选择为允许,则预注册访客无需访客管理员审批,不适用于二维码审批的场景。
¡ 访客密码通知方式:适用于短信认证场景,选择告知访客登录密码等信息的方式。告知方式包括短信和电子邮件,可以同时选择两种方式。如果告知方式为短信,则需要启用短信功能。如果告知方式为电子邮件,邮件的内容由EIA预置,无法修改;同时只有在本系统PLAT中配置正确的邮件服务器,才能成功发送邮件。如果未选择任何一种方式,表示不将密码通知到访客。
¡ 访客预注册后显示二维码:适用于二维码访客认证方式,选择“是”选项。
¡ 扫描二维码预注册访客自动转正:适用于二维码访客认证方式,选择“禁止”选项。
¡ 访客生效方式:如果选择“手工指定生效时间”表示访客管理员可以手工指定所管理访客的生效时间和失效时间,如果选择“首次上线生效”表示访客首次上线后更新生效时间和失效时间。除了移动访客管理自助平台注册的访客,其他方式注册的访客转正时,访客生效时间都受该参数控制。
¡ 缺省访客有效时长:输入缺省情况下,访客的有效时长。注册访客时,如果未设置或无法设置失效时间,则访客的失效时间取该参数和“所管理访客的最大有效时长”的较小值。“所管理访客的最大有效时长”在增加访客管理员时配置,具体请参见增加访客管理员。在移动终端上审批访客时,输入的“有效时长”值,也将同样取其与“缺省访客有效时长”、“所管理访客的最大有效时长”的较小值。
¡ 访客密码有效时长:输入访客密码的有效时长,从访客生效时开始计算。访客只在密码失效前才能接入网络。如果该参数保持为空,则表示访客密码永不失效。
¡ 访客密码生成规则:系统自动生成访客密码的规则。EIA支持三种规则,即n位数字、n位字母和n位数字+字母的组合。该规则对访客注册过程中手工输入的密码无效。
¡ 访客在线数量限制缺省值:输入访客注册页面中“在线数量限制”缺省显示的值。
¡ 访客在线数量限制最大值:输入访客注册页面中“在线数量限制”可以配置的最大值。
¡ 短信开户与认证页面的校验方式:如果选择"随机验证码方式"后,在"短信开户与认证页面"会显示含有随机信息的图片,只有正确输入了图片中的内容才能进行注册;如果选择"指定授权码方式"后,则还需配置授权码,在“短信开户与认证页面”中会要求终端用户输入访客策略中配置的授权码,只有正确输入授权码才能进行访客注册。如果选择“不验证”后,终端用户直接可以进行访客注册。“随机验证码方式”和“指定授权码方式”可以防止恶意注册。
¡ 访客帐号名生成规则:假设某个访客在2014年1月1日8点8分8秒123毫秒开户(该时间对应的毫秒值为1388534888123,该毫秒值是自1970年1月1日0点到开户时间点的毫秒数)。如果选择“系统时间的毫秒值”,则帐号名为1388534888123;如果选择“前缀+系统时间的毫秒值”,则还需配置前缀,如果“前缀”配置为“auto”,则帐号名为auto1388534888123;如果选择“YYMMDDhhmmss时间戳+4位随机数”,则帐号名为140101080808ZZZZ,其中ZZZZ是四位随机数字。
(3) 单击<确定>按钮,完成缺省访客策略配置。
(1) 选择“自动化”页签,单击左侧导航树中的[用户业务>业务参数>接入参数>系统配置]菜单项,进入系统配置页面,如图89所示。
(2) 单击终端管理参数配置后面的配置图标,进入终端管理参数配置页面,启用无感知认证(无感知认证系统默认启用),配置完成后单击<确定>按钮,如图90所示。
接入设备用于控制用户的接入。通过认证的用户可以接入网络,未通过认证的用户无法接入网络。
以下使用Windows的CLI窗口telnet到接入设备并进行配置,具体的命令及其说明如下:
(1) 进入系统视图。
<WX5510E-160>system-view
System View: return to User View with Ctrl+Z.
(2) 配置RADIUS策略“market”。认证、计费服务器均指向EIA。认证端口、计费端口、共享密钥要与3.4.2 2. 增加接入设备的配置保持一致。开启RADIUS Session Control功能,并配置Session Cantrol客户指向EIA服务器,本例使用强制用户下线功能,必须在设备上开启此功能。
[WX5510E-160]radius scheme market
New Radius scheme
[WX5510E-160-radius-market]primary authentication 1.2.4.241 1812
[WX5510E-160-radius-market]primary accounting 1.2.4.241 1813
[WX5510E-160-radius-market]key authentication simple movie
[WX5510E-160-radius-market]key accounting simple movie
[WX5510E-160-radius-amarket]user-name-format without-domain
[WX5510E-160-radius-market]quit
[WX5510E-160]radius session-control enable
[WX5510E-160] radius session-control client ip 1.2.4.241 key simple movie
(3) 配置domain域“market”,引用配置好的“market”策略。
[WX5510E-160]domain market
[WX5510E-160-isp-market]authentication defult radius-scheme market
[WX5510E-160-isp-market]authorization defult radius-scheme market
[WX5510E-160-isp-market]accounting defult radius-scheme market
[WX5510E-160-isp-market]quit
(4) 配置Portal服务器,Portal认证服务器执行EIA服务器,配置重定向URL为http://1.2.4.241:30004/byod,指向MAC Portal认证页面,配置免认证规则,对DNS服务器和DHCP服务器进行免认证,本例DND和DHCP服务器为同一服务器,用户可根据实际情况配置。
[WX5510E-160]portal server market
New portal server added.
[WX5510E-160-portal-server-market]ip 1.2.4.241 key simple movie
[WX5510E-160-portal-server-market]quit
[WX5510E-160]portal web-server market
[WX5510E-160-portal-websvr-market]url http://1.2.4.241:30004/byod
[WX5510E-160-portal-websvr-market]quit
[WX5510E-160]portal free-rule 112 destination 172.19.202.250 32
要保证MAC Portal作用域下发的地址与服务器网络互通,设备通过portal free-url 可以给上线的匿名用户下发推送的页面URL。
(5) 配置MAC Portal匿名用户使用的公共VLAN 50,配置对应VLAN接口的IP地址为46.46.46.1,和3.4.1 1. 增加MAC Portal匿名用户作用域Anony_mac的网关地址保持一致。
[WX5510E-160]vlan 50
[WX5510E-160-vlan50]interface vlan-interface 50
[WX5510E-160-vlan-interface50]ip address 46.46.46.1 24
(6) 开启DHCP relay功能,并配置DHCP relay对应的DHCP服务器地址,当接口收到DHCP客户端发来的DHCP报文时,会将报文转发给DHCP服务器,由服务器分配地址。
[WX5510E-160-vlan-interface50]dhcp select relay
[WX5510E-160-vlan-interface50]dhcp relay sever-address 172.19.202.250
(7) 开启Portal认证,引用Portal Web服务器;通过该配置,BYOD用户第一次上线时被重定向到MAC Portal认证页面
[WX5510E-160-vlan-interface50]portal enable method direct
[WX5510E-160-vlan-interface50]portal apply web-server market
[WX5510E-160-vlan-interface50]quit
(8) 配置用户业务VLAN 97,以配置VLAN 50同样的方式配置VLAN 97的接口IP地址,开启DHCP relay功能
[WX5510E-160]vlan 97
[WX5510E-160-vlan97]interface vlan-interface 97
[WX5510E-160-vlan-interface97]ip address 97.97.97.1 24
[WX5510E-160-vlan-interface97]dhcp select relay
[WX5510E-160-vlan-interface97]dhcp relay sever-address 172.19.202.250
(9) 创建无线服务模板,配置SSID。
[WX5510E-160] wlan service-template market3
[WX5510E-160-wlan-st-market3] ssid ss_market_mac
(10) 创建AKM模式为PSK,并配置PSK密钥,使用明文的字符串12345678为共享密钥,配置CCMP为加密套件,WPA为安全信息元素,此配置为无线安全方案,用于保障无线通信安全,用户可根据需要配置。
[WX5510E-160-wlan-st-market3]akm mode psk
[WX5510E-160-wlan-st-market3]preshared-key pass-phrase simple 12345678
[WX5510E-160-wlan-st-market3]cipher-suite ccmp
[WX5510E-160-wlan-st-market3]security-ie wpa
(11) 配置用户接入方式为MAC地址认证,配置认证domain,使能无线服务模板。
[WX5510E-160-wlan-st-market3]client-security authentication-mode mac
[WX5510E-160-wlan-st-market3]mac-authentication domain market
[WX5510E-160-wlan-st-market3]service-template enable
[WX5510E-160-wlan-st-market3]quit
(12) 配置AP,将无线服务模板绑定到Radio 1,并开启射频。
[WX5510E-160]wlan ap ap1
[WX5510E-160-wlan-ap-ap1]radio 1
[WX5510E-160-wlan-ap-ap1-radio-1]server-template market3
[WX5510E-160-wlan-ap-ap1-radio-1]radio enable
[WX5510E-160-wlan-ap-ap1-radio-1]quit
[WX5510E-160-wlan-ap-ap1]quit
(13) 配置上传MAC地址的格式,本例配置为上传一串数字和字母,中间不带“-”分隔符。
[WX5510E-160]mac-authentication user-name-format mac-address without-hyphen lowercase
介绍以下几种访客认证方案:
· Portal二维码审批方案
· MAC Portal二维码审批方案
· 管理自助平台二维码认证方案(Portal)
· 访客预注册二维码认证方案(Portal)
访客使用智能终端A(访客自带的智能终端)连接SSID:ss_market_portal,访客生成审批二维码
访客使用智能终端A打开浏览器,在浏览器输入任意地址如2.2.2.2,浏览器自动跳转到二维码开户和认证页面,并自动完成访客预注册且在页面上显示审批二维码,如图91所示。
如果生成审批二维码后,访客关闭浏览器、重新打开浏览器并访问了网络,则会预注册一个新的访客并生成一个新的审批二维码。如果反复进行关闭打开浏览器并访问网络,会生成大量的预注册访客。
图91 Portal审批二维码
(1) 访客管理员使用智能终端B(访客管理员的智能终端)打开浏览器,使用浏览器自带的二维码扫描工具扫描二维码,如图92所示。
访客管理员连接的网络需要与内网认证环境网络相通。(不能使用自己手机的运营商网络)
(2) 扫描智能终端A上的二维码,智能终端B直接进入访客管理自助平台,此时会出现以下两种情况:
¡ 如果访客管理员尚未登录,则进入登录页面,如图93所示。输入访客管理员的帐号密码后,进入审批页面,如图94所示。
¡ 如果访客管理员已登录,则扫描完二维码后,直接进入如图94所示的审批页面。
(3) 在访客审批页面,单击<通过>按钮,即可将预注册访客转正,结果如图95所示。
(4) 访客自动上线和手动上线
¡ 如果访客在智能终端A上生成审批二维码未超过5分钟,则访客管理员在智能终端B上审批完成后的5秒钟内,智能终端A自动进行认证并上线,结果如图96所示。
¡ 如果生成审批二维码已经超过5分钟,智能终端A上会显示如图97所示的失败信息。访客管理员在智能终端B上审批完成后,点击“自动登录失败。请点击重试”链接,即可完成上线。上线成功页面如图96所示。
选择“用户”页签,单击左侧导航树中的[接入用户管理>在线用户]菜单项,进入本地在线用户页面,查看在线用户,如图98所示。
(1) 访客使用智能终端A(访客自带的智能终端)连接SSID:ss_market_mac,访客使用智能终端A打开浏览器,在浏览器输入任意地址如2.2.2.2。浏览器自动跳转到二维码开户和认证页面,并自动完成访客预注册且在页面上显示审批二维码,如图99所示。
如果生成审批二维码后,访客关闭浏览器、重新打开浏览器并访问了网络,则会预注册一个新的访客并生成一个新的审批二维码。如果反复进行关闭打开浏览器并访问网络,会生成大量的预注册访客。
(2) 访客用户第一次认证时,用户与MAC Portal匿名用户byodanonymous绑定,下发公共VLAN 50,终端的IP地址为46.46.46.73。
图100 第一次认证IP地址
(3) 查看在线用户,在线用户为MAC Portal匿名用户byodanonymous,登录名为移动终端的MAC地址,绑定的服务为anony服务如图101所示
(4) 查看终端设备列表显示MAC地址与匿名用户byodanonymous绑定,如图102所示。
(1) 访客管理员使用智能终端B(访客管理员的智能终端)打开浏览器,使用浏览器自带的二维码扫描工具扫描二维码,如图103所示。
访客管理员连接的网络需要与内网认证环境网络相通。(不能使用自己手机的运营商网络)
(2) 扫描智能终端A上的二维码,智能终端B直接进入访客管理自助平台,此时会出现以下两种情况:
¡ 如果访客管理员尚未登录,则进入登录页面,如图104所示。输入访客管理员的帐号密码后,进入审批页面,如图105所示。
¡ 如果访客管理员已登录,则扫描完二维码后,直接进入如图105所示的审批页面。
(3) 进入访客审批页面,访客管理员需尽快进行审批,否则会出现超时从而导致访客无法正常上线,单击<通过>按钮,即可将预注册访客转正,结果如图106所示。
(4) 访客管理员审批通过后,EIA会解除终端MAC地址与匿名用户byodanonymous的绑定,重新将终端MAC地址与转正的访客用户进行绑定,终端将被强制下线,Wi-Fi自动断开,用户需要再次连接SSID:ss_market_mac,终端再次发起认证,默认使用之前访客管理员转正的访客账号进行认证,EIA下发用户VLAN 97,无需审批自动上线。
(5) 终端IP地址变为97.97.97.4,如图107所示。
(6) 再次查看在线用户信息,在线用户账号为访客账号,登录名为终端MAC地址,绑定的服务名为mac服务,如图108所示。
(7) 查看终端设备列表显示MAC地址与访客账号绑定,如图109所示
(1) 访客管理员在智能终端B(访客管理员的智能终端)上使用浏览器输入http://172.19.202.241:9066/ssvui/mlogin/html,进入访客管理自助平台页面,如图110所示。
(2) 输入访客管理员帐号/密码后进入访客注册页面, 单击页面下方的<访客注册>按钮,然后单击在页面的<手机注册>按钮,输入手机号,勾选“生成二维码”选项,如图111所示。
(3) 单击<注册>按钮,生成认证二维码,如图112所示。
访客使用智能终端A(访客自带的智能终端)连接Portal认证的SSID:ss_market_portal。
(1) 访客在智能终端A上打开浏览器,使用浏览器自带的的二维码扫描工具,如图113所示。
(2) 扫描智能终端B上的认证二维码,扫描完成后,直接跳转到认证成功页面,如图114所示。
选择“用户”页签,单击左侧导航树中的[接入用户管理>在线用户]菜单项,进入本地在线用户页面,查看在线用户,可以看到访客如图115所示。
(1) 访客登录http://172.19.202.241:9066地址,进入自助平台页面,如图116所示。单击“访客预注册”链接,跳转到访客预注册页面,如图117所示。
(2) 正确填写所需信息,单击<确定>按钮,生成预注册访客,并生成二维码页面,如图118所示。
(3) 访客管理员扫描二维码进行转正,同3.5.1 2. 访客管理员审批操作,转正成功之后,访客自动上线成功,如图119所示。
选择“用户”页签,单击左侧导航树中的[接入用户管理>在线用户]菜单项,进入本地在线用户页面,查看在线用户,如图120所示。
支持
