- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-账号认证典型配置举例
本章节下载: 01-账号认证典型配置举例 (1.31 MB)
目 录
本文档将详细介绍如何通过H3C简优云平台(简称云平台)来配置账号认证功能。
账号认证是指用户在连接网络时,需要输入预先分配的账号名和密码进行身份验证。这一过程确保只有授权用户才能访问网络资源,从而提高了网络的安全性和管理的有效性。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Portal认证特性。
本配置举例是在UR7104S-P路由器的ESS 0155版本上进行配置和验证的。
如图1所示,某企业出口路由器通过WAN1接口连接互联网,LAN1接口与PC相连,PC的IP地址固定为192.168.100.2/24,AP通过LAN2接口连接路由器,无线终端自动获取IP地址。AP的管理VLAN为VLAN 1,PC和无线终端均属于VLAN 2。现有如下需求:
· 无线终端需进行账号认证才能连接互联网。
· PC直接连接互联网,无需认证。
· 配置账号认证前,请先将路由器绑定到云平台,且状态为在线。
· 配置账号认证前,需要在云平台添加认证使用的账号名和密码。
# 本例选择将路由器绑定在云平台中的“公司”项目,设备名称为UR7104S-P,绑定后状态为在线。具体配置步骤参见《如何连接云平台典型配置举例》,本文档不再描述。
开启LDAP或自注册的网络可无需在简优云增加及维护固定账号。
(1) 登录简优云。
(2) 选择“首页 > 项目总数 > 我的项目”。
(3) 单击“公司”。
图2 进入项目
(4) 选择“整网管理 > 应用 > 云认证”。
图3 进入云认证
(5) 单击“账号管理”下的“去配置”。
图4 云认证引导页
(6) 选择“固定账号”页签。
(7) 单击<增加>按钮。
(8) 在弹窗中进行配置,说明见下表。带*号为必须输入的信息,其余可省略。
表1 增加固定账号
|
配置项 |
说明 |
|
账号名 |
用户在认证时需要输入的账号名。 |
|
密码 |
用户在认证时需要输入的密码。 |
|
确认密码 |
用户在认证时需要输入的密码。 |
|
备注 |
自定义备注。 |
|
手机号 |
用户的手机号。 |
|
邮箱 |
补充邮箱信息后,勾选“邮件发送账号名密码”,云平台将以邮件的方式发送账号名和密码至该邮件地址。 |
|
有效日期 |
· 永久有效。 · 限时有效:有效期以天为单位,截止到当日的24:00为一天,配置为0或不配置均表示永久有效。 |
|
配置信息 |
· 限制人数:限制同一账号同时接入网络的终端数,在下方输入框输入。 · 绑定MAC地址:在下方输入框输入限制的终端的MAC地址。若选择绑定MAC地址且未输入,表示不限制使用该固定账号的终端。 |
(9) 配置完成后,单击<确定>按钮,即可完成添加。
图5 增加固定账号
· 支持批量增加账号,单击<导入>按钮,下载模板后,填写模板表格信息,再上传即可。
· 支持导出账号信息,单击<导出>按钮即可下载。
(1) 进入“认证模板”页签。
(2) 自动弹出创建模板窗口,进行以下配置:
表2 创建模板
|
配置项 |
说明 |
|
模板名称 |
自定义名称。 |
|
描述 |
自定义描述。(可省略) |
|
认证方式 |
选择“账号认证”。 |
|
绑定业务 |
选择需要进行认证的终端所属的VLAN。如果还未创建VLAN,可单击右侧蓝色文字。 |
(3) 单击<确定>按钮,完成创建。
图6 创建模板
#进行账号认证特有配置:
(1) 创建模板后,自动进入配置模板页面。
(2) 在页面右侧的“认证配置”页签,在“账号认证”下,可进行下表中的配置,也可以不配置。
表3 账号认证配置
|
配置项 |
说明 |
|
首次登录修改密码 |
终端首次认证时需修改密码才能认证成功,可增强账号认证的安全性。 |
|
自助修改密码 |
用户可在认证页面自行修改密码,无需联系网络管理员操作。 |
|
找回密码 |
忘记密码的用户,可在认证页面自行发起密码找回流程,无需联系网络管理员操作。 支持通过手机号或者邮箱找回密码,需提前在固定账号页面为账号设置相应的手机号或者邮箱信息,参见增加账号。 |
|
自注册 |
开启后,用户可在认证页面自行注册固定账号,网络管理员可无需事先创建账号密码,支持设置自注册账号的有效期。 |
图7 账号认证配置
(3) 可选择开启或关闭LDAP开关。开启后,简优云将与LDAP服务器同步用户账号,用户认证时,云端将账号密码转发至LDAP服务器进行校验,根据服务器返回的校验结果授权用户是否可上网。简优云可对接微软活动目录和开源的OpenLDAP两种LDAP产品,配置时需根据LDAP服务器填写下表参数。
表4 LDAP配置
|
配置项 |
说明 |
|
服务器地址 |
运行LDAP服务的服务器的IP地址或主机名。用于客户端连接到LDAP服务器。 |
|
服务器端口 |
LDAP服务监听的端口号。默认情况下,LDAP使用389端口,而LDAPS(使用SSL/TLS加密的LDAP)使用636端口。 |
|
Base DN |
目录树的根节点,用于指定搜索和操作的起始点。例如,dc=example,dc=com。 |
|
管理员DN |
具有管理员权限的用户DN(Distinguished Name)。例如,cn=admin,dc=example,dc=com。 |
|
管理员密码 |
管理员DN对应的密码,用于身份验证。 |
|
账号名称属性 |
用于标识用户账户的属性名,例如uid或sAMAccountName。 |
(4) 开启LDAP后,将出现<模拟认证>按钮,用于保存LDAP配置后验证LDAP的可用性。
(5) 开启LDAP后,将出现<SSL连接>按钮,如果运营方的LDAP服务器购买了SSL证书,启用SSL连接可以提高连接的安全性。
图8 LDAP配置
#进行高级配置(可根据需要选择是否配置):
(6) 在“认证配置>高级配置”中,单击“上网限制”页签。进行以下配置:
表5 上网限制
|
配置项 |
说明 |
|
单次上网时长 |
每次终端认证成功后允许上网的时长,超出时长后终端需要重新认证。 |
|
每日上网时长 |
每天允许终端上网的时长,超出时长后终端无法认证通过。 |
|
是否允许PC上网 |
默认开启,启用本功能后,手提电脑以及安装了无线网卡的台式机可以进行云认证并上网,关闭本功能则无法通过认证。 |
|
首次登录强制短信认证 |
开启后,终端首次访问网络需先通过短信认证,后续再次接入无需本环节。使用本功能,可获取认证用户的手机号,适用于审计要求较高的场景,要求提前配置短信网关。 |
图9 上网限制
(7) 单击“免认证”页签。
(8) 可选择开启或关闭“再次连接免认证”开关。再次连接免认证:用户首次认证成功后,使用同一终端(同一MAC地址)再次接入网络时无需手动操作即可自动完成认证,提升用户体验。
(9) 若开启,则需要配置下表内容。
表6 免认证
|
配置项 |
说明 |
|
推送页面设置 |
开启后,用户再次接入网络,触发免认证时,认证页面将呈现登录成功页。 |
|
免认证时长 |
在配置的时间范围内,用户再次接入网络无需重复认证。 |
|
免认证起始时间 |
免认证时长计算方式: 初次认证,表示从首次认证后开始计算免认证时长。 最后一次认证,表示从最后一次认证后开始计算免认证时长。示例:当免认证时长配置为7天,上网用户首次认证后,在免认证时间内再次接入网络时,免认证时长将重新更新为7天。 |
图10 免认证
(10) 单击“上网时段限制”页签。
(11) 可根据需要,选择打开或关闭“上网时段限制”开关。可使用此功能限制通过认证的终端每日允许上网的时段。
(12) 若开启 “上网时段限制”开关,需要在“启用时间”内选择时间。
¡ 结束时间配置为“00:00”时表示结束时间为24点,配置的起始时间和结束时间均为“00:00”时表示终端可以在当天任意时间点上网。
¡ 单击时间区段后的“+”、“-”按钮,可在下一行分别增加、减少一个时间区段。每天的时间区段最多为5个。
图11 上网时段限制
# 进行个性化页面绘制(可根据需要选择是否配置):
(13) 在“顶部操作栏”,单击主题色边的< ∨ >按钮,可修改主题色,此配置将作用于模板内的所有按钮。
图12 主题色
(14) 在页面左侧选择需绘制的页面类型和终端类型。
(15) 单击页面右侧的“页面绘制”页签,即可开始绘制认证页面。
图13 页面绘制
(16) 在“页面绘制”区域的“背景图组件设置”单击<重新上传>按钮,系统弹出图片选择弹框。提供2种图片更换方式:
¡ 使用预置图片:单击“选择场景图片”按钮,勾选图片即可使用。
¡ 使用本地图片:单击“选择本地图片”按钮,将制作好的图片上传至云端。
图14 图片选择
· 上传的图片名称长度范围为1-64位,单张图片最大支持5MB。
· 背景图尺寸要求:手机端尺寸为750*1334px、PC端尺寸为1920*1080px。
· 同一个模板内,最多可上传20张用于选择的图片,超出时请删除不需要的图片。
(17) 选择相应的页面类型后,在“页面绘制”页签可编辑文字。
图15 编辑文字
(18) 配置完成后,单击“认证配置”页面右上角的<保存并预览>按钮,可预览手机端和PC端的认证页面效果。
(19) 预览无误后,打开页面顶部中心的“启用状态”开关。
(20) 单击<保存>按钮,该模板将下发至相应的业务网络VLAN,配置完成。
# 使用R0162以前版本的UR路由器需要在路由器Web管理界面启用云认证功能,配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“认证管理 > Portal认证”,进入Portal认证页面。
(2) 单击“云认证”页签进入云认证配置页面,
(3) 单击VLAN 2对应的云认证功能列的按钮,使得按钮状态为“开启”,开启云认证功能。
图16 启用云认证功能
· 您可以选择通过免IP地址或免MAC地址的方式,使得PC上网时无需认证,本例选择免IP地址方式。
· 若您的组网中所有终端连接互联网时都需要进行认证,可以忽略此步骤。
# 将PC的IP地址段设置为一个地址组,方便在设置免认证时引用。配置步骤如下:
(1) 在设备Web管理界面导航栏中选择“网络设置 > 地址组”,进入地址组配置页面。
(2) 单击<添加>按钮,进入添加地址组配置页面。
(3) 在“地址组的名称”配置项处,输入PC。
(4) 在“IP地址”配置项处,起始地址框框输入192.168.100.2。
(5) 单击< > >按钮,提交配置的地址组内容。
(6) 其它配置项均保持默认情况即可,单击<确定>按钮保存配置。
图17 配置地址组
(1) 在设备Web管理界面导航中选择“认证管理 > Portal认证”,进入Portal认证页面。
(2) 单击“免认证IP地址”页签,进入免认证IP地址配置页面。
(3) 单击<添加>按钮,进入“添加免认证IP地址”页面。
(4) 在“地址组添加方式”配置项处,选择“源IP地址组”。
(5) 在“免认证源地址分组”配置项处,选择刚创建的有线网地址组。
(6) 单击<确定>按钮,完成配置。
图18 配置免认证IP地址
(1) 使用手机连接AP下发的SSID(本例为@账号认证)。
(2) 将弹出认证页面,输入账号和密码。
(3) 完成认证。PC可以无需认证直接访问互联网,表明配置验证成功。
图19 认证页面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
