- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
32-iMC EIA 企业微信认证典型配置举例
本章节下载: 32-iMC EIA 企业微信认证典型配置举例 (2.84 MB)
iMC EIA 企业微信认证
典型配置举例
资料版本:5W120-20240202
产品版本:iMC EIA 7.3 (E0630)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
企业微信认证是指iMC EIA与微信服务器联动,通过企业微信客户端来验证用户身份合法性的一种认证方式。企业微信认证是在企业微信的基础上,结合Portal认证实现的一种认证方式。终端用户直接在企业微信客户端点击认证上网应用,即可完成身份认证接入网络。
企业微信认证非常适合于需要提供公共Wi-Fi的场合,如企业办公环境、公司园区、会议中心、工厂、教育机构,以及其他需要确保网络安全和用户身份验证的场所。通过这种认证方式,企业可以有效地管理网络接入权限,确保只有经过身份验证的用户才能访问网络,从而提升整体网络安全性。
在实际使用中,员工可以方便地通过企业微信客户端,在工作台页面点击相应的认证上网应用,快速完成身份验证并接入企业的Wi-Fi网络。这种方式不仅简化了用户连接流程,还为企业提供了便捷的网络管理解决方案。
某公司使用企业微信来管理企业员工考勤,公司内部员工已经注册过企业微信应用,公司内部的终端PC需要通过企业微信应用授权来访问外部网络。具体组网如图1所示。
· PC为某公司内部使用的电脑终端。
· EIA服务器IP地址为192.167.9.111
· 接入设备管理IP地址为192.167.1.212,计算机接入交换机的GE 1/0/5接口。
注:本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 接入设备为H3C S5560X-34C-HI Comware Software, Version 7.1.070, ESS 6515P06
企业微信的配置包括:
· 创建应用
· 应用配置
· 查看应用基本信息
在企业微信后台进行相关配置时,因企业微信后台版本差异,菜单路径可能会有所不同,请以实际情况为准。
(1) 使用企业微信账号登录企业微信后台台:https://work.weixin.qq.com/wework_admin/loginpage_wx,选择“应用管理>应用”菜单项,进入应用页面,然后单击<创建应用>按钮,如图2所示。
(2) 进入创建应用页面,进行如下配置,如图3所示。
¡ 应用logo:上传应用logo;
¡ 应用名称:填写应用名称,本例为“网络接入”;
¡ 应用介绍:填写应用介绍信息;
¡ 可见范围:选择部门/成员。
(3) 单击<创建应用>按钮,完成配置,进入应用配置界面。
(1) 在应用配置页面,在工作台应用主页页面,单击"设置应用主页"链接,如图4所示。
(2) 在弹出的弹窗中输入:http://ip:port/weixin/qy,IP为iMC微信认证服务器的私网IP,如图5所示。
如果需要多个企业微信后台,实现不同SSID到不同的企业微信后台获取用户进行认证,则此处设置主页需要带上SSID参数,例如:http://私网IP:8080/qy?ssid=test。
(3) 配置应用的可见范围,iMC可以同步可见范围中勾选的部门下的用户,如图6所示。
(4) 在网页授权及JS-SDK区域,单击“设置可信域名”链接,在设置可信域名弹窗输入可信域名,可信域名为iMC服务器的域名,如图7所示。
(5) 单击“下载文件”链接,下载校验文件,如图8所示。
(6) 保存至iMC安装目录:iMC/client/web/apps/ROOT下,如图9所示
(7) 确保浏览器通过域名从外网可以访问到文件:http://weixin.xxx.com:8080/WW_verify_z0JmRvxdWHUZkkXI.txt,如图10所示。
(8) 然后单击<确定>按钮,完成可信域名配置。
如果iMC微信服务器域名不是80端口,则可信域名需要配上端口号,例如:weixin.xxx.com:8080,且iMC中网页授权域名需要配置为:weixin.xxx.com:8080。
(9) 最新版企业微信后台新增应用需要配置可信IP,在配置可信IP区域,单击“配置”链接,如图11所示。
(10) 在企业可信IP弹窗填写企业可信IP:iMC的公网IP地址,如图12所示。
此处需要配置iMC所有出口的公网IP。
(1) 在应用配置页面,可查看Agentid和Secret,如图13所示。
(2) 选择“我的企业”页签,进入企业信息界面,可查看企业ID,如图14所示。
EIA中的配置包括:
· 接入设备
· 接入策略
· 接入服务
· 企业微信认证
· Portal服务
增加接入设备是为了建立EIA服务器和接入设备之间的联动关系。增加接入设备的方法如下:
(1) 在“用户”菜单下,选择“接入策略管理>接入设备管理>接入设备配置”菜单项,进入接入设备配置页面,如图15所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如图16所示。
(3) 接入设备配置参数说明:
¡ 认证端口:EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
¡ 计费端口:EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
目前仅支持将EIA同时作为认证和计费服务器,即不支持将EIA作为认证服务器,而其他服务器作为计费服务器的场景。
¡ 共享密钥/确认共享密钥:输入两次相同的共享密钥。接入设备与EIA配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果[用户>接入策略管理>业务参数配置>业务参数配置]系统参数中的“密钥显示方式”设置为明文时,只需输入一次共享密钥即可,本例配置为“fine”。
¡ 其他参数:保持默认。
(4) 配置接入设备:
配置接入设备有两种方法:
¡ 在设备列表中单击<选择>按钮,弹出选择设备窗口,根据IP地址从iMC平台中选择设备。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
¡ 在设备列表中单击<手工增加>按钮,弹出手工增加接入设备窗口,如图17所示。在起始IP地址处输入接入设备的IP地址。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
无论采用哪种方式接入设备的IP地址都必须满足以下要求:
¡ 如果在接入设备上配置radius scheme时配置了nas ip命令,则EIA中接入设备的IP地址必须与nas ip的配置保持一致。
¡ 如果未配置nas ip命令,则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址(或接口所在VLAN的虚接口IP地址)。
参数设置完成后的效果图如图18所示。
(5) 单击<确定>按钮,接入设备增加完毕。点击返回接入设备列表页面,可在接入设备列表中查看新增的接入设备,如图19所示。
增加接入策略的方法如下:
(1) 在“用户”菜单下,选择“接入策略管理>接入策略管理”菜单项,进入接入策略管理页面,如图20所示。
(2) 单击<增加>按钮,进入增加接入策略页面。输入接入策略名称,本例中策略名配置为“portal-stra”。其他参数保持缺省值即可,如图21所示。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图22所示。
接入服务是对用户进行认证授权的各种策略的集合。本例不对用户进行任何接入控制,因此只需增加一个简单的接入服务即可。增加接入服务的方法如下:
(1) 在“用户”菜单下,选择 “接入策略管理>接入服务管理”菜单项,进入接入服务管理页面,如图23所示。
(2) 单击<增加>按钮,进入增加接入服务页面,如图24所示。
配置服务的各个参数:
· 服务名:输入服务名称,在EIA中必须唯一。本例中服务名为“portal-serv”。
· 服务后缀:如何设置服务后缀与接入设备中的配置密切相关,具体请参见表1。本例中,设备RADIUS相关命令配置为携带domain,因此需要配置服务后缀。
· 缺省接入策略:选择之前配置的接入策略“portal-stra”。
· 其他参数:保持缺省值。
|
用户名 |
设备用于认证的Domain |
设备RADIUS配置的相关命令 |
EIA中的服务后缀 |
|
计算机全名 |
[Default Domain] (设备上指定的缺省域) |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
表1中的命令以H3C(General)系列设备为例,配置其他设备时请参考设备的命令手册。
(3) 单击<确定>按钮,接入服务增加完毕。返回接入服务管理页面,可在接入服务列表中查看新增的接入服务,如图25所示。
iMC EIA企业微信认证配置目的是对接在企业微信中创建的应用,以及企业微信用户在iMC中的开户信息。增加企业微信认证的方法如下:
(1) 在“用户”菜单下,选择 “接入策略管理>微信认证>企业微信”菜单项,进入企业微信页面,如图26所示。
(2) 单击<增加>按钮,进入增加企业微信页面,如图27所示。
配置参数说明:
¡ 企业微信名称:自定义一个名称。
¡ CorpID:企业ID,每一个企业微信帐户都有一个企业ID,本例为3.2.1 3. 查看应用基本信息的企业ID。
¡ CorpSecret:应用密钥,本例为3.2.1 3. 查看应用基本信息的Secret。
¡ 网页授权域名:需要申请一个域名映射到iMC公网IP地址,如果公网访问iMC需要带端口,则此处配置也需要带端口(和企业微信后台中用于认证的应用的可信域名保持一致),例如:weixin.xxx.com:8080
¡ 帐号名:帐户名可以选择用户ID或者手机号,用户ID是在企业内唯一的用户帐号,如果使用手机号进行开户,请确保每个企业微信用户都录入了手机号,否则可能导致开户失败,系统默认选中“用户ID”。
¡ 用户姓名:开户时使用企业微信用户的哪个属性作为用户姓名,系统默认选中“用户姓名”。
¡ 证件号码:开户时使用企业微信用户的哪个属性作为用户的证件号码,系统默认选中“用户姓名”。
¡ 默认密码:开户接入用户时用户使用的默认密码。如果未配置,系统缺省使用123456作为默认密码。
¡ SSID:当配置多个企业微信时,可通过SSID区分使用哪个企业微信进行认证。例如:应用主页携带的ssid参数值为“test”,则此处配置“test”,如果现场还有一个“test1”的SSID,需要到另一个企业微信后台进行认证,则在iMC中新增一个企业微信的配置,SSID配置为“test1”,另一个企业微信后台应用主页ssid参数值配置为“test1”。
¡ 认证成功后跳转URL:认证成功后跳转到的URL,不配置的话,将会跳转到系统内置的默认页面,例如:配置了“www.baidu.com”,则认证成功后企业微信的页面中会自动跳转到百度,实际使用时可以跳转到公司的官网等。
¡ 申请接入服务:开户接入用户时使用的接入服务,本例为3. 接入服务新增的接入服务portal-serv。
¡ AgenId:本例为3.2.1 3. 查看应用基本信息的Agenld。
· CorpID和CorpSecret,AgenId必须填写且必须与企业微信后台中的一致。
· 网页授权域名配置为实际iMC微信认证服务器公网IP映射的域名,例如:weixin.xxx.com。
(3) 单击<确定>按钮,企业微信应用增加完毕。返回企业微信页面,可在企业微信列表中查看新增的企业微信应用,如图28所示。
企业微信认证是基于Portal认证实现的,需要在iMC中配置Portal认证参数。具体Portal认证配置的方法如下:
(1) 在“用户”菜单下,选择 “接入策略管理>Portal服务管理>IP地址组配置”菜单项,进入IP地址组配置页面,如图29所示。
图29 IP地址组配置
(2) 单击<增加>按钮,进入IP地址组添加页面,如图30所示。
图30 增加IP地址组
配置参数说明:
· IP地址组名:IP地址组名称,起一个方便记忆的名称,本例为“212.1.5.0”。
· 起始IP地址:IP地址组的起始地址。
· 结束IP地址:IP地址组的结束地址。
· 业务分组:用于分权管理,使特定的人只能管理特性的业务,既职责分明,也不会互相越权。通过IP地址组的业务分组,分权管理。只有拥有该业务分组权限的管理员/维护员才能配置IP地址组。本例不指定特殊业务分组,使用默认“未分组”业务分组。
· 类型:IP地址组分为三种类型:普通、NAT、二次地址分配。本例使用“普通”类型。
(3) 单击<确定>按钮,完成IP地址组配置。返回IP地址组配置页面,可在列表中查看新增的地址组,如图31所示。
图31 查看新增的IP地址组
(4) 在“用户”菜单下,选择“接入策略管理>Portal服务管理>设备配置”菜单项,进入设备配置页面,如图32所示。
(5) 单击<增加>按钮,进入设备信息添加页面,如图33所示。
配置参数说明:
· 设备名:Portal接入设备的名称,不能和已经存在的任一设备名相同,本例为“zz-switch”。
· IP地址:Portal接入设备的IP地址,本例为“192.167.1.212”即接入设备的IP地址。
· 密钥:Portal服务器与设备通信时两端需要配置相同的共享密钥,否则无法通过接收方的校验,本例为接入设备“192.167.1.212”的共享秘钥。
· 其他参数保持默认。
(6) 单击<确定>按钮,完成设备信息配置。返回设备配置页面,可在列表中查看新增的设备信息,如图34所示。
(7) 在设备信息列表的操作列,单击<端口组信息管理>按钮,进入设备的端口组信息配置页面,如图35所示。
(8) 单击<增加>按钮,进入增加端口组信息页面,如图36所示。
配置参数说明:
· 端口组名:端口组的名称,不能和已添加的所有设备信息下已经存在的任一端口组名相同。
· IP地址组:选择本端口组要使用的IP地址组。如果选择了NAT方式,那么本端口组只能选择公网的IP地址组。本例使用已添加的IP地址组“212.1.5.0”。
· 其他参数保持默认。
(9) 单击<确定>按钮,完成端口组信息配置。返回端口组信息配置页面,可在列表中查看新增的端口组信息,如图37所示。
在EIA服务器所在的网卡配置DNS。
(1) 进入[控制面板>网络和Internet>网络和共享中心>]页面,单击“本地连接”连接,弹出本地连接状态页面,如图38所示,
(2) 单击<属性>按钮,进入本地连接属性页面,如图39所示。
(3) 选中“Internet 协议版本4(TCP/IP v4)”,单击<属性>按钮,进入Internet 协议版本4(TCP/IP v4)属性页面,勾选“使用下面的DNS服务器地址”,填写DNS地址,如图40所示。
图40 配置DNS服务器
(4) 配置完成后,单击<确定>按钮。
配置RADIUS方案ddtest。
[sw_192.167.1.212]radius scheme ddtest
New RADIUS scheme.
配置RADIUS认证服务器IP,端口(端口默认为1812,与3.2.2 1. 接入设备EIA配置的认证端口保持一致)。
[sw_192.167.1.212-radius-ddtest]primary authentication 192.167.9.111 1812
配置RADIUS计费服务器IP,端口(端口默认为1813,与3.2.2 1. 接入设备EIA配置的计费端口保持一致)。
[sw_192.167.1.212-radius-ddtest]primary accounting 192.167.9.111 1813
配置RADIUS认证和计费密钥,与3.2.2 1. 接入设备EIA配置的共享密钥一致。
[sw_192.167.1.212-radius-ddtest]key authentication simple fine
[sw_192.167.1.212-radius-ddtest]key accounting simple fine
配置用户名格式,with-domain表示用户名后携带域名。
[sw_192.167.1.212-radius-ddtest]user-name-format with-domain
[sw_192.167.1.212-radius-ddtest]quit
配置Domain portal。
[sw_192.167.1.212]domain portal
指定关联的RADIUS方案。
[sw_192.167.1.212-isp-portal]authentication default radius-scheme ddtest
[sw_192.167.1.212-isp-portal]authorization default radius-scheme ddtest
[sw_192.167.1.212-isp-portal]accounting default radius-scheme ddtest
[sw_192.167.1.212-isp-portal]quit
将Domain portal 设置为默认域。
[sw_192.167.1.212]domain default enable portal
配置SSID,配置无线服务模板为vlan5
[sw_192.167.1.212] wlan service-template market3
[sw_192.167.1.212-wlan-st-market3] ssid ssid=00_esmdev
[sw_192.167.1.212-wlan-st-market3]vlan 5
[sw_192.167.1.212-wlan-st-market3]service-template enable
配置portal server ddtest。
[sw_192.167.1.212]portal server ddtest
New portal server added.
portal server ip为EIA服务器的IP地址,秘钥为接入设备的共享秘钥。
[sw_192.167.1.212-portal-server-ddtest]ip 192.167.9.111 key simple fine
[sw_192.167.1.212-portal-server-ddtest]di th
#
portal server ddtest
ip 192.167.39.116 key cipher $c$3$Hos6bQDj0Y/7UjK3LZm8YS7PrQZwdmkZ
#
return
[sw_192.167.1.212-portal-server-ddtest]quit
配置portal web-server ddtest。
[sw_192.167.1.212]portal web-server ddtest
New portal web-server added.
企业微信认证页面配置Portal认证重定向到http://iMC微信认证服务器私网IP:端口/weixin/qy/qr。
[sw_192.167.1.212-portal-websvr-ddtest]url http://192.167.9.111:8080/weixin/qy/qr
[sw_192.167.1.212-portal-websvr-ddtest]quit
[sw_192.167.1.212]int vlan5
配置直连。
[sw_192.167.1.212-Vlan-interface5]portal enable method direct
配置domain portal。
[sw_192.167.1.212-Vlan-interface5]portal domain portal
配置使用已创建的portal web-server ddtest。
[sw_192.167.1.212-Vlan-interface5]portal apply web-server ddtest
[sw_192.167.1.212-Vlan-interface5]di th
#
interface Vlan-interface5
description Auth_56.254_Nic5
ip address 212.1.5.1 255.255.255.0
dhcp server apply ip-pool vlan5
portal enable method direct
portal domain portal
portal apply web-server ddtest
#
return
[sw_192.167.1.212-Vlan-interface5]quit
在vlan-int下做nat server映射,使内网可以访问iMC微信认证服务器的域名,参考如下:
[sw_192.167.1.212]interface Vlan-interface200
[sw_192.167.1.212-Vlan-interface200]nat server global 212.12.9.169:80 inside 192.167.9.111:8080
接入设备上配置DNS Server,使接入设备可以解析到https://open.weixin.qq.com的IP地址
[sw_192.167.1.212]dns server 114.114.114.114
[sw_192.167.1.212]dns proxy enable
portal free-rule放行:iMC微信认证服务器的域名、微信相关域名、内网DNS服务器IP地址和公网DNS服务器IP地址114.114.114.114,参考如下:
[sw_192.167.1.212]portal free-rule 0 destination weixin.xxx.com
[sw_192.167.1.212]portal free-rule 1 destination open.weixin.qq.com
[sw_192.167.1.212]portal free-rule 2 destination mpv6.weixin.qq.com
[sw_192.167.1.212]portal free-rule 3 destination work.weixin.qq.com
[sw_192.167.1.212]portal free-rule 4 destination i.work.weixin.qq.com
[sw_192.167.1.212]portal free-rule 5 destination gap.work.weixin.qq.com
[sw_192.167.1.212]portal free-rule 6 destination res.wx.qq.com
[sw_192.167.1.212]portal free-rule 7 destination reswx.tc.qq.com
[sw_192.167.1.212]portal free-rule 8 destination *.servicewechat.com
[sw_192.167.1.212]portal free-rule 9 destination *.weixin.qq.com
[sw_192.167.1.212]portal free-rule 10 destination *.wx.qq.com
[sw_192.167.1.212]portal free-rule 11 destination *.qq.com
[sw_192.167.1.212]portal free-rule 13 destination ip 114.114.114.114 255.255.255.255
[sw_192.167.1.212]portal free-rule 14 destination ip 182.254.116.117 255.255.255.255
[sw_192.167.1.212]portal free-rule 15 destination ip 182.254.118.119 255.255.255.255
[sw_192.167.1.212]portal free-rule 16 open.work.weixin.qq.com
[sw_192.167.1.212]portal free-rule 17 destination *.work.weixin.qq.com
[sw_192.167.1.212]portal free-rule 18 destination tmfsdktcp.m.qq.com
[sw_192.167.1.212]portal free-rule 19 destination localsaas.work.weixin.qq.com
(1) 使用移动终端连接名为“00_esmdev”的无线网络,登录企业微信客户端。
(2) 在工作台中,单击网络接入,进行认证,如图41所示。
图42 认证页面
(3) 无需输入账号、密码,企业微信用户直接上线成功,如图43所示。
(1) 使用移动终端连接名为“00_esmdev”的无线网络,单击任意网页或等待弹出认证页面。
(2) 打开企业微信扫描二维码,企业微信客户端进行认证,如图44所示。
(1) PC开机后连接名为“00_esmdev”的无线网络,单击任意网页或等待弹出扫码认证页面。如图45所示。
(2) 使用安装了企业微信的移动终端,打开企业微信APP进行扫码然后确认授权。
(3) 确认授权后,终端认证成功,页面跳转到认证成功页,终端即正常可访问网络,如图46所示。
(1) 完成认证后,企业微信用户自动同步到iMC中,在“用户>接入用户”中,输入企业微信账号名可以看到用户已同步到iMC,如图47所示。
(2) 认证成功后,同时可在iMC中的在线用户列表中查询到已在线的终端用户。如图48所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
