- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
29-iMC EIA 钉钉认证典型配置举例
本章节下载: 29-iMC EIA 钉钉认证典型配置举例 (3.87 MB)
iMC EIA 钉钉认证
典型配置举例
资料版本:5W125-20241209
产品版本:EIA 7.3 (E0630)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
EIA(Endpoint Intelligent Access,终端智能接入)钉钉认证是一种将iMC EIA与钉钉应用相结合联动的身份验证方式。EIA可为企业提供统一的网络接入策略,实现企业网络(有线、无线和VPN网络)的统一接入管理,并提供对员工、访客、设备管理员基于角色、设备类型、接入时间、接入地点的网络访问控制,满足企业多种网络接入、多种终端接入的统一运维管理需求,确保终端安全策略在整个网络无缝地执行。
通过企业在钉钉应用中创建的用户信息,进行高效的用户身份合法性校验。这不仅提升了认证体验,同时也确保了企业网络的安全性和便捷性。
EIA钉钉认证适用于那些需要结合钉钉与iMC系统共同来实现网络访问控制的企业或机构。推荐使用场合:
· 中大型企业:在员工众多且需要精细化权限管理的环境中,使用EIA钉钉认证可以简化身份验证流程,提高管理效率。
· 教育机构:对于需要管理大量师生用户访问权限的学校和培训机构,此认证方式可以提供便捷、安全的网络接入。
· 金融行业:在需要高安全性和准确用户身份验证的环境中,比如银行、保险公司,EIA钉钉认证有助于保护敏感数据。
· 政府部门:对于需要确保网络安全和用户合法访问的政府机构,该认证方式可以提供可靠的身份验证。
· EIA E0616L02及以上补丁版本和EIA E0618及以上版本支持钉钉内点击应用一键上网。
· EIA E0618及以上版本支持网页点击钉钉一键认证上网。
· EIA E0627及以上版本支持钉钉网页扫码认证。
· EIA E0632P05及以上版本支持Portal穿越NAT组网,但是在该组网下不支持钉钉APP内点击应用一键上网功能。
某公司使用钉钉来管理企业员工考勤,公司内部员工已经注册过钉钉应用,公司内部的终端PC需要通过钉钉应用授权来访问外部网络。具体组网如图1所示。
· PC为某公司内部使用的电脑终端。
· EIA服务器IP地址为192.167.39.116。
· 接入设备管理IP地址为192.167.1.212,计算机接入交换机的GE 1/0/5接口。
· 钉钉服务器的域名为login.dingtalk.com。
· 在进行钉钉认证之前,PC需要能正常访问多个钉钉使用的域名和IP。如果没有完整配置Portal域名放通规则,会导致用户无法正常上线。具体需要放通的域名和IP请参见3.2.3 8. Portal Free-Rule配置进行配置。
· 如果组网环境区分公网/私网,则需要对EIA服务器规划公网IP地址,并且在钉钉平台的安全设置配置时,同时配置上公网IP地址。
图1 组网图
注:本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 接入设备为H3C S5560X-34C-HI Comware Software, Version 7.1.070, ESS 6515P06
由于钉钉开放平台的版本差异,不同版本的功能菜单路径可能会有所不同,请以实际环境为准。
钉钉的配置包括:
· 创建应用
· 应用配置
· 权限分配
· 应用发布
· 查看应用基本信息
(1) 使用钉钉账号登录钉钉开放平台,选择“应用开发>钉钉应用”菜单项,进入钉钉应用开发页面,然后单击<H5微应用>按钮,进入H5微应用Tab页,单击<创建应用>按钮,进行应用创建,如图2所示。
图2 创建应用
(2) 在弹出的创建应用页面,进行如下配置。
¡ 应用名称:填写应用名称;
¡ 应用描述:填写应用描述信息;
¡ 应用图标:上传应用图标。
图3 创建H5微应用
(3) 单击<保存>按钮,完成配置。如图4所示,进入应用信息界面。
(1) 选择“添加应用能力”,单击[其它应用能力>网页应用]菜单的<添加>按钮,配置网页应用信息,然后单击保存。配置参数如下:
¡ 应用首页地址:IP为iMC EIA服务器IP地址,Port为部署iMC时端口号,默认为8080。可结合选择的认证方式配置相应的地址:
- 钉钉APP内一键认证地址:http://<IP地址>:<port>/weixin/dd?ssid=<无线网络ID>。本例为:http://192.167.39.116:8080/weixin/dd?ssid=000_esmdev。
- 扫码认证首页地址:http://<IP地址>:<port>/weixin/ddScanAuth.jsp?ssid=<无线网络ID>。本例为:http://192.167.39.116:8080/weixin/ddScanAuth.jsp?ssid=000_esmdev。
- 网页一键认证首页地址:http://<IP地址>:<port>/weixin/ddWelcome.jsp?ssid=<无线网络ID>。本例为:http://192.167.39.116:8080/weixin/ddWelcome.jsp?ssid=000_esmdev。
¡ PC端首页地址:如果需在钉钉PC端使用钉钉认证功能,需填写PC端首页地址,与应用首页地址相同。
¡ 管理后台地址:不需填写。
图6 添加网页应用
(2) 选择“安全设置”,配置安全信息,然后单击<保存>按钮。配置参数如下:
¡ 服务器出口IP:配置iMC EIA服务器的IP地址(如果区分公网、私网,则公网IP和私网IP都需要配置);
¡ 重定向URL(回调域名):格式为:http://<iMC EIA服务器IP地址>:<端口>(端口号默认为8080);
¡ 端内免登地址:不需要填写。
图7 安全设置
(1) 选择“权限管理”,添加接口权限。
(2) 选择个人权限,然后勾选个人手机号权限、通讯录个人信息读权限,如图8所示。
(3) 选择通讯录管理所有权限,如图9所示。
(4) 选择身份验证所有权限,如图10所示。
(5) 选择获取凭证所有权限,如图11所示。
(6) 选择互联平台,然后选择钉钉通讯录管理组织读权限,如图12所示。
(7) 选择完权限之后,单击<批量申请>按钮,如图13所示。
(1) 选择“版本管理与发布”,单击右上角<创建新版本>按钮,进行版本信息编辑,添加可使用人员,然后单击<确认发布>按钮,发布应用,如图14所示。
(1) 选择“凭证与基础信息”,查看App ID、AppKey(Client ID)和AppSecret(Client Secret),如图15所示。
(2) 选择“首页”页签,进入开始界面,可查看CorpID和API Token,如图16所示。
EIA中的配置包括:
· 接入设备
· 接入策略
· 接入服务
· 钉钉认证
· Portal服务
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 在“用户”菜单下,选择“接入策略管理>接入设备管理>接入设备配置”菜单项,进入接入设备配置页面,如图17所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图18所示。
(3) 接入设备配置参数说明:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>业务参数配置]系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可,本例配置为“fine”。
¡ 其他参数:保持默认。
(4) 配置接入设备:
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮,弹出选择设备窗口,根据IP地址从iMC平台中选择设备。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
¡ 在设备列表中单击<手工增加>按钮,弹出手工增加接入设备窗口,如图19所示。在起始IP地址处输入接入设备的IP地址。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
无论采用哪种方式接入设备的IP地址都必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
参数设置完成后的效果图如图20所示。
(5) 单击<确定>按钮,接入设备增加完毕。点击返回接入设备列表页面,可在接入设备列表中查看新增的接入设备,如图21所示。
增加接入策略的方法如下:
(1) 在“用户”菜单下,选择“接入策略管理>接入策略管理”菜单项,进入接入策略管理页面,如图22所示。
(2) 单击<增加>按钮,进入增加接入策略页面。输入接入策略名称,本例中策略名配置为“portal-stra”。其他参数保持缺省值即可,如图23所示。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图24所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 在“用户”菜单下,选择 “接入策略管理>接入服务管理”菜单项,进入接入服务管理页面,如图25所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图26所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。本例中服务名为“portal-serv”。
· 服务后缀:如何设置服务后缀与接入设备中的配置密切相关,具体请参见表1。本例中,设备RADIUS相关命令配置为携带domain,因此需要配置服务后缀。
· 缺省接入策略:选择之前配置的接入策略“portal-stra”。
· 其他参数:保持缺省值。
|
用户名 |
设备用于认证的Domain |
设备RADIUS配置的相关命令 |
EIA中的服务后缀 |
|
计算机全名 |
[Default Domain] (设备上指定的缺省域) |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
表1中的命令以H3C(General)系列设备为例,配置其他设备时请参考设备的命令手册。
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图27所示。
iMC EIA钉钉认证配置目的是对接在钉钉中创建的应用,以及钉钉用户在iMC中的开户信息。增加钉钉认证的方法如下:
(1) 在“用户”菜单下,选择“接入策略管理>钉钉认证”菜单项,进入钉钉认证页面,如图28所示。
(2) 单击<增加>按钮,进入增加钉钉认证页面,如图29所示。
配置参数说明:
· 应用名称:本例为“扫码认证”。
· SSID:此应用对应的WIFI名称。当配置多个钉钉应用时必须配置SSID。
· 钉钉类型:iMC支持普通钉钉和专有钉钉应用。本例使用“普通钉钉”。
· CorpID:企业ID,每一个钉钉企业帐户都有一个企业ID,从钉钉开放平台获取,获取方式参考3.2.1 5. 查看应用基本信息,本例为dinga4a98fe3f889979e35c2f4657eb6378f。
· AgentId:应用AgentId。每个应用都有一个唯一的AgentId,从钉钉开放平台获取,获取方式参考3.2.1 5. 查看应用基本信息,本例为2453805154。
· AppKey:应用公匙,每个企业下可以创建多个应用,每个应用都有一个唯一的应用公匙,从钉钉开放平台获取,获取方式参考3.2.1 5. 查看应用基本信息,本例为dingbzj9q5bdfzcx0wtk。
· AppSecret :应用密钥,每个企业下可以创建多个应用,每个应用都有一个唯一的应用密钥,从钉钉开放平台获取,获取方式参考3.2.1 5. 查看应用基本信息,本例为OWvfGySfLRROQHAYb396ZFb0PPvZHeaFZvv4xXrBzih-FUhBoiO6oN7O2MjldWcJ。
· 认证URL:从钉钉服务器获取用户信息后需调用的用于认证的服务器地址。认证URL配置为iMC EIA服务器IP+端口,格式http://ip:port。例如:http://192.167.39.116:8080,末尾请不要带“/”。
· 认证成功后跳转URL:认证成功后跳转到的URL,不配置的话,将会跳转到系统内置的默认页面。必须以http或https开头。
· 帐户名:开户时使用钉钉用户的哪个属性作为帐户名,有用户ID、手机号两种,用户ID是在企业内唯一的用户帐号,如果使用手机号进行开户,请确保每个钉钉用户都录入了手机号,否则可能导致开户失败。
· 用户姓名:开户时使用钉钉用户的哪个属性作为用户姓名。
· 证件号码:开户时使用钉钉用户的哪个属性作为用户的证件号码。
· 在线数量限制:开户为接入用户时的在线数量限制,默认为1。
· 定时同步:定时将钉钉用户从钉钉同步到iMC的开关。启用时,会在每日凌晨30分自动进行同步。
· 自动开户:同步用户时,iMC中如果未存在此用户,是否自动开户,本例选择“开启”。
· 同步组织架构:同步用户时,是否将钉钉的部门架构同步到iMC。此参数启用时,同步用户的时候会将钉钉的部门架构同步到iMC的用户分组。
· 用户分组:开户时用户关联的接入用户分组。当此参数开启,同步时会将钉钉的组织架构同步到此用户分组下。
· 同步转移用户分组:已同步的钉钉用户,下次同步时按照用户在钉钉应用中的组织架构进行同步。普通钉钉目前暂不支持。
· 申请接入服务:开户接入用户时申请的接入服务。
(3) 单击<确定>按钮,钉钉应用增加完毕。返回钉钉认证页面,可在钉钉认证列表中查看新增的钉钉应用,如图30所示。
钉钉认证是基于Portal认证实现的,需要在iMC中配置Portal认证参数。具体Portal认证配置的方法如下:
(1) 在“用户”菜单下,选择 “接入策略管理>Portal服务管理>IP地址组配置”菜单项,进入IP地址组配置页面,如图31所示。
图31 IP地址组配置
(2) 单击<增加>按钮,进入IP地址组添加页面,如图32所示。
图32 增加IP地址组
配置参数说明:
· IP地址组名:IP地址组名称,起一个方便记忆的名称,本例为“212.1.5.0”。
· 起始IP地址:IP地址组的起始地址。
· 结束IP地址:IP地址组的结束地址。
· 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。通过IP地址组的业务分组,分权管理。只有拥有该业务分组权限的管理员/维护员才能配置IP地址组。本例不指定特殊业务分组,使用默认“未分组”业务分组。
· 类型:IP地址组分为三种类型:普通、NAT、二次地址分配。本例使用“普通”类型。
(3) 单击<确定>按钮,完成IP地址组配置。返回IP地址组配置页面,可在列表中查看新增的地址组,如图33所示。
图33 查看新增的IP地址组
(4) 在“用户”菜单下,选择“接入策略管理>Portal服务管理>设备配置”菜单项,进入设备配置页面,如图34所示。
(5) 单击<增加>按钮,进入设备信息添加页面,如图35所示。
配置参数说明:
· 设备名:Portal接入设备的名称,不能和已经存在的任一设备名相同,本例为“zz-switch”。
· IP地址:Portal接入设备的IP地址,本例为“192.167.1.212”即接入设备的IP地址。
· 密钥:Portal服务器与设备通信时两端需要配置相同的共享密钥,否则无法通过接收方的校验,本例为接入设备“192.167.1.212”的共享秘钥。
· 其他参数保持默认。
(6) 单击<确定>按钮,完成设备信息配置。返回设备配置页面,可在列表中查看新增的设备信息,如图36所示。
(7) 在设备信息列表的操作列,单击<端口组信息管理>,进入设备的端口组信息配置页面,如图37所示。
(8) 单击<增加>按钮,进入增加端口组信息页面,如图38所示。
配置参数说明:
¡ 端口组名:端口组的名称,不能和已添加的所有设备信息下已经存在的任一端口组名相同。
¡ IP地址组:选择本端口组要使用的IP地址组。如果选择了NAT方式,那么本端口组只能选择公网的IP地址组。本例使用已添加的IP地址组“212.1.5.0”。
¡ 其他参数保持默认。
(9) 单击<确定>按钮,完成端口组信息配置。返回端口组信息配置页面,可在列表中查看新增的端口组信息,如图39所示。
配置RADIUS方案ddtest。
[sw_192.167.1.212]radius scheme ddtest
New RADIUS scheme.
配置RADIUS认证服务器IP,端口(端口默认为1812,与3.2.2 1. 接入设备EIA配置的认证端口保持一致)。
[sw_192.167.1.212-radius-ddtest]primary authentication 192.167.39.116 1812
配置RADIUS计费服务器IP,端口(端口默认为1813,与3.2.2 1. 接入设备EIA配置的计费端口保持一致)。
[sw_192.167.1.212-radius-ddtest]primary accounting 192.167.39.116 1813
配置RADIUS认证和计费密钥,与3.2.2 1. 接入设备EIA配置的共享密钥一致。
[sw_192.167.1.212-radius-ddtest]key authentication simple fine
[sw_192.167.1.212-radius-ddtest]key accounting simple fine
配置用户名格式,with-domain表示用户名后携带域名。
[sw_192.167.1.212-radius-ddtest]user-name-format with-domain
[sw_192.167.1.212-radius-ddtest]quit
配置Domain portal。
[sw_192.167.1.212]domain portal
指定关联的RADIUS方案。
[sw_192.167.1.212-isp-portal]authentication default radius-scheme ddtest
[sw_192.167.1.212-isp-portal]authorization default radius-scheme ddtest
[sw_192.167.1.212-isp-portal]accounting default radius-scheme ddtest
[sw_192.167.1.212-isp-portal]quit
将Domain imc 设置为默认域。
[sw_192.167.1.212]domain default enable portal
配置SSID,配置无线服务模板为vlan97
[sw_192.167.1.212] wlan service-template market3
[sw_192.167.1.212-wlan-st-market3] ssid ssid=000_esmdev
[sw_192.167.1.212-wlan-st-market3]vlan 97
[sw_192.167.1.212-wlan-st-market3]client-security authentication-mode mac
[sw_192.167.1.212-wlan-st-market3]mac-authentication domain portal
[sw_192.167.1.212-wlan-st-market3]service-template enable
不使用802.1X认证,全局和接口同时禁用802.1X功能。
[sw_192.167.1.212]undo dot1x
[sw_192.167.1.212]int g1/0/5
[sw_192.167.1.212-GigabitEthernet1/0/5]undo dot1x
[sw_192.167.1.212-GigabitEthernet1/0/5]quit
配置portal server ddtest。
[sw_192.167.1.212]portal server ddtest
New portal server added.
portal server ip为EIA服务器的IP地址,秘钥为接入设备的共享秘钥。
[sw_192.167.1.212-portal-server-ddtest]ip 192.167.39.116 key simple fine
[sw_192.167.1.212-portal-server-ddtest]di th
#
portal server ddtest
ip 192.167.39.116 key cipher $c$3$Hos6bQDj0Y/7UjK3LZm8YS7PrQZwdmkZ
#
return
[sw_192.167.1.212-portal-server-ddtest]quit
配置portal web-server ddtest。
[sw_192.167.1.212]portal web-server ddtest
New portal web-server added.
钉钉认证页面配置portal认证重定向地址,并携带路径参数ssid即在钉钉认证中配置的无线网络ID。
[sw_192.167.1.212-portal-websvr-ddtest]url http://192.167.39.116:8080/weixin/ddScanAuth.jsp?ssid=000_esmdev//扫码认证
[sw_192.167.1.212-portal-websvr-ddtest]url http://192.167.39.116:8080/weixin/ddWelcome.jsp?ssid=000_esmdev//网页一键认证
[sw_192.167.1.212-portal-websvr-ddtest] url-parameter userip source-address
[sw_192.167.1.212-portal-websvr-ddtest]di th
#
portal web-server ddtest
url http://192.167.39.116:8080/weixin/ddScanAuth.jsp?ssid=000_esmdev
portal web-server ddtest
http://192.167.39.116:8080/weixin/ddWelcome.jsp?ssid=000_esmdev
#
Return
[sw_192.167.1.212-portal-websvr-ddtest]captive-bypass ios optimize enable
[sw_192.167.1.212-portal-websvr-ddtest]quit
[sw_192.167.1.212]int vlan5
//配置直连。
[sw_192.167.1.212-Vlan-interface5]portal enable method direct
//配置domain portal
[sw_192.167.1.212-Vlan-interface5]portal domain portal
//配置使用已创建的portal web-server ddtest。
[sw_192.167.1.212-Vlan-interface5]portal apply web-server ddtest
[sw_192.167.1.212-Vlan-interface5]di th
#
interface Vlan-interface5
description Auth_56.254_Nic5
ip address 212.1.5.1 255.255.255.0
dhcp server apply ip-pool vlan5
portal enable method direct
portal domain portal
portal apply web-server ddtest
#
return
[sw_192.167.1.212-Vlan-interface5]quit
配置钉钉服务器IP(IP如下4条,都必须配置)、*.servicewechat.com、钉钉服务器域名、其他域名。
[sw_192.167.1.212]portal free-rule 0 source ip any destination ip 203.119.0.0 25
5.255.0.0
[sw_192.167.1.212]portal free-rule 1 source ip any destination ip 140.205.0.0 25
5.255.0.0
[sw_192.167.1.212]portal free-rule 2 source ip any destination ip 106.11.0.0 255
.255.0.0
[sw_192.167.1.212]portal free-rule 3 source ip any destination ip 198.11.0.0 255
.255.0.0
[sw_192.167.1.212]portal free-rule 4 destination *.servicewechat.com
[sw_192.167.1.212]portal free-rule 5 destination login.dingtalk.com
[sw_192.167.1.212]portal free-rule 6 destination oapi.dingtalk.com
[sw_192.167.1.212]portal free-rule 7 destination open.dingtalk.com
[sw_192.167.1.212]portal free-rule 8 destination g.alicdn.com
[sw_192.167.1.212]portal free-rule 9 destination at.alicdn.com
(1) 使用移动终端连接名为“000_esmdev”的无线网络,登录钉钉客户端。
(2) 在工作台中,点击上网应用,进行认证,如图40所示。
(3) 打开一键上网应用后,无需输入账号、密码,钉钉用户直接上线成功,如图41所示。
(1) 使用移动终端连接名为“000_esmdev”的无线网络,点击任意网页或等待弹出认证页面。
(2) 单击<请打开钉钉进行认证上网>按钮,自动拉起钉钉客户端进行认证,如图42所示。
(1) PC开机后连接名为“000_esmdev”的无线网络,点击任意网页或等待弹出扫码认证页面。如图43所示。
(2) 使用安装了钉钉的移动终端,打开钉钉APP进行扫码然后确认授权,如图44所示。
(3) 确认授权后,终端认证成功,页面跳转到认证成功页,终端即正常可访问网络,如图45所示。
(1) 完成认证后,钉钉用户自动同步到iMC中,在“用户>接入用户”中,输入钉钉账号名可以看到用户已同步到iMC,如图46所示。
(2) 认证成功后,同时可在iMC中的在线用户列表中查询到已在线的终端用户。如图47所示。
终端接入SSID后,打开钉钉客户端进行认证,认证失败,提示“获取钉钉用户失败”,如图48所示。
(1) 登录iMC,进入“系统管理>系统配置>日志配置”菜单项,找到进程名为“jserver”的日志,将日志级别修改为“DEBUG”,单击<下载>按钮,下载日志,如图49所示。
(2) 打开下载的imcforeground.log日志,搜索“get dingding user err”查找到对应的错误日志信息。
(3) 定位到错误日志处,可查看到打印的错误信息中包含“访问IP不在白名单中”。可知此问题的原因是:当前终端所在网络的出口IP不在可访问钉钉应用的白名单中,请求被拦截,故获取不到钉钉的用户信息。
(1) 在日志信息中,打印的错误信息“get dingding user err”处可查看到当前被拦截的IP,复制此IP。
(2) 登录钉钉开放平台,进入“应用开发>钉钉应用>H5微应用,选择对应的应用,进入应用配置页面,选择“安全设置”菜单,将IP添加到“服务器出口IP”并保存,重新认证即可。
当iMC中配置了多个钉钉应用,终端接入SSID后,打开钉钉客户端进行认证,认证失败,提示“系统中未配置当前钉钉应用”,如图50所示。
登录iMC,进入“用户>接入策略管理>钉钉认证,查看钉钉应用是否均配置了SSID。
(1) 若iMC中有多个钉钉应用,且SSID未配置,请配置对应的SSID。应用和SSID一定要匹配。例如终端连接WIFI“wifi_1”,需要在钉钉客户端点击应用“认证上网1”进行认证,才可成功接入网络,那么在iMC中对应钉钉应用“认证上网1”中,SSID必须设置为“wifi_1”。
图51 应用和SSID匹配对应
(2) 若iMC中有多个钉钉应用且均配置了SSID,那么需要修改钉钉开放平台中对应应用的应用首页地址。登录钉钉开放平台,进入“应用开发>钉钉应用>H5微应用”,选择应用,选择“网页应用”菜单,
¡ 如果应用首页地址没有SSID信息,需要在原有的应用首页地址后添加“?ssid=<无线网络ID>”,并且SSID的值与应用里面配置的SSID对应。
¡ 如果应用首页地址已有SSID信息,需要确保SSID的值与应用里面配置的SSID对应。
图52 ssid的值与应用里面配置的ssid对应
iPhone手机、MAC电脑或其他部分终端连接WIFI后自动弹出的扫码页面,二维码加载失败。
重新连接WIFI,等待自动弹出页面或进入浏览器手动触发跳转至扫码页面。
iPhone手机、MAC电脑或其他部分终端连接WIFI后自动弹出一键认证页面,点击后无反应。
由于自动弹出的浏览器不兼容,点击一键认证后无法弹出打开钉钉客户端的提示框。
· EIA E0630之前的版本需要切换浏览器,手动触发跳转至一键认证页面,进行一键认证。
· EIA E0630及之后的版本在接入设备portal web-server配置captive-bypass ios optimize enable搭配if-match命令解决此问题,如下所示:
captive-bypass ios optimize enable
if-match original-url http://captive.apple.com/hotspot-detect.html user-agent Mozilla temp-pass redirect-url http://iMC的服务器IP地址:iMC端口/portal/
if-match original-url http://www.apple.com user-agent Mozilla temp-pass redirect-url http://iMC服务器的IP地址:iMC端口/portal/
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
