|
最近连续做了有2个客户的免认证配置,不做不知道,感觉跟PPT里的差别还挺大的,很多东西PPT里都没讲到,我自己总结了一下,跟大家分享交流。
第一个客户是上网前强制登录OA认证,认证后绑定MAC,开启免认证。
配置思路: 1、做好单点登录的Web认证服务器配置
2、新增认证策略,选好认证范围,认证方式选单点登录,因为要强制上网首先到OA上输入帐号和密码,所以跳转到OA首页。
3、认证后处理,绑定MAC并开启免认证
4、到用户绑定里,高级设置,设置成每用户最多绑定5个设备(如果超过则会提示绑定失败)
5、认证高级选项,开启cookie免认证
6、因为是三层环境,所以要做跨三层取MAC
第二个客户是短信认证,认证后绑定MAC,开启免认证。 配置思路: 1、先到外部认证服务器,新增一个短信认证服务器
2、注意,这里的短信中心的号码不是手机卡号码,是当地的短信中心的号码,例如东莞的,上网查到当地短信中心号码是8613800769500
3、新增短信认证,选定认证范围,这里的认证方式是选取了本地用户密码和短信认证同时两种(系统默认是短信认证是第一种,本地用户密码是第二种),用户上网弹出认证页面时可以自己选择用哪种方式登录。
4、认证后处理,绑定MAC并开启免认证
5、因为是二层环境,所以不用做跨三层取MAC。
后来发现还有另一种方法比之前的方法简单。 1、首先到认证后处理,取消自动录入绑定MAC
2、短信认证服务器里,勾选已认证用户自动绑定MAC并免认证,有效期30天
3、认证高级选项里,配置自动注销无流量用户时间,当MAC地址发生变动时,需要重新认证,新终端上线,注销最早登录的终端。
出来的效果跟前面是一样的。总体思路是只要在认证服务器里做绑定MAC,就不用在认证策略里做认证后绑定MAC了。
总结 1、旁路部署时,短信认证是管理口推送认证页面的。,三层取MAC的是镜像口负责。 2、如果认证界面勾选了记住登录状态,默认保留30天,这个是基于cookie的,但是免认证会叠加,只要您不清空浏览器缓存,就会一直免认证。 3、内网核心和ac对接的接口只要不是trunk口都需要做跨三层(是走trunk的话就不要配跨三层了) 4、短信认证服务器里面的免认证和认证策略的MAC免认证是有不同的:前者会叠加,比如配置的是30天,那么30天内任意一天里面登录都会重新计算,后者就不会这样,设置的多少天就是多少天. 5、如果是公司员工,认证策略是30天,认证服务器里是30天,他天天登录,应该也算是永久免认证了 6、短信认证服务器测试不成功,直接测试短信认证。 7、旁路部署不建议做密码认证之类的认证,旁路做这种认证效果可能不会特别好,当一个用户连接无线以后,交换机会把数据镜像给AC,AC就会弹出认证页面或者拒绝页面,但是可能在这个过程中,公网回复的数据包已经发给手机了,这样中间可能会存在一个时间差 导致手机有时候不认证也可以上网。 8、比如现在他的手机通过无流量注销了 那么他第二次上网就直接是免认证了的,在免认证期间内因为无流量而注销的,下次来上网,正常情况是不需要再认证的。 | 
发表于 2017-4-5 14:25
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-4-6 15:38
技术员3级 
