AC免认证怎么玩?
  

广州联悦李励 Lv7发表于 2017-4-5 14:25

    最近连续做了有2个客户的免认证配置,不做不知道,感觉跟PPT里的差别还挺大的,很多东西PPT里都没讲到,我自己总结了一下,跟大家分享交流。

    第一个客户是上网前强制登录OA认证,认证后绑定MAC,开启免认证。

配置思路:
1、做好单点登录的Web认证服务器配置

4.png             
                  
2、新增认证策略,选好认证范围,认证方式选单点登录,因为要强制上网首先到OA上输入帐号和密码,所以跳转到OA首页。

6.png

3、认证后处理,绑定MAC并开启免认证

7.png

4、到用户绑定里,高级设置,设置成每用户最多绑定5个设备(如果超过则会提示绑定失败)

8.png

5、认证高级选项,开启cookie免认证
9.png

6、因为是三层环境,所以要做跨三层取MAC

旧SNMP.png

第二个客户是短信认证,认证后绑定MAC,开启免认证。
配置思路:
1、先到外部认证服务器,新增一个短信认证服务器
7.png

2、注意,这里的短信中心的号码不是手机卡号码,是当地的短信中心的号码,例如东莞的,上网查到当地短信中心号码是8613800769500
2.png

3、新增短信认证,选定认证范围,这里的认证方式是选取了本地用户密码和短信认证同时两种(系统默认是短信认证是第一种,本地用户密码是第二种),用户上网弹出认证页面时可以自己选择用哪种方式登录。
4.png

4、认证后处理,绑定MAC并开启免认证

5.png
5、因为是二层环境,所以不用做跨三层取MAC。



后来发现还有另一种方法比之前的方法简单。
1、首先到认证后处理,取消自动录入绑定MAC

4.png
2、短信认证服务器里,勾选已认证用户自动绑定MAC并免认证,有效期30天

2.png

3、认证高级选项里,配置自动注销无流量用户时间,当MAC地址发生变动时,需要重新认证,新终端上线,注销最早登录的终端。
3.png

出来的效果跟前面是一样的。总体思路是只要在认证服务器里做绑定MAC,就不用在认证策略里做认证后绑定MAC了。


总结
1、旁路部署时,短信认证是管理口推送认证页面的。,三层取MAC的是镜像口负责。
2、如果认证界面勾选了记住登录状态,默认保留30天,这个是基于cookie的,但是免认证会叠加,只要您不清空浏览器缓存,就会一直免认证。
3、内网核心和ac对接的接口只要不是trunk口都需要做跨三层(是走trunk的话就不要配跨三层了)
4、短信认证服务器里面的免认证和认证策略的MAC免认证是有不同的:前者会叠加,比如配置的是30天,那么30天内任意一天里面登录都会重新计算,后者就不会这样,设置的多少天就是多少天.
5、如果是公司员工,认证策略是30天,认证服务器里是30天,他天天登录,应该也算是永久免认证了
6、短信认证服务器测试不成功,直接测试短信认证。
7、旁路部署不建议做密码认证之类的认证,旁路做这种认证效果可能不会特别好,当一个用户连接无线以后,交换机会把数据镜像给AC,AC就会弹出认证页面或者拒绝页面,但是可能在这个过程中,公网回复的数据包已经发给手机了,这样中间可能会存在一个时间差
导致手机有时候不认证也可以上网。
8、比如现在他的手机通过无流量注销了 那么他第二次上网就直接是免认证了的,在免认证期间内因为无流量而注销的,下次来上网,正常情况是不需要再认证的。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

PC9527 Lv12发表于 2017-4-5 18:32
  
收藏,感谢楼主的分享
Sangfor_闪电回_朱丽 发表于 2017-4-6 15:38
  
非常棒的分享,看完了以后,对免认证有了更深的理解了~
qinpeng 发表于 2017-4-7 10:49
  
收藏 谢谢楼主的分享 学习学习
nrsheng Lv9发表于 2017-4-12 16:07
  
信息一下
夏虫语冰 Lv11发表于 2017-4-13 08:32
  

收藏,感谢楼主的分享
yoooo Lv4发表于 2017-4-17 09:59
  
谢谢楼主分享,我想问下用户表单,和用户失败的信息是如何查看呢?
伟健 Lv2发表于 2017-4-18 17:55
  
感谢楼主分享
nrsheng Lv9发表于 2017-5-12 09:16
  
学习一下!
真相只有一个 Lv2发表于 2017-5-23 22:00
  
学习了 谢谢