本帖最后由 QAQ 于 2019-10-31 19:25 编辑
背景:某高校的一台AC已经使用多年,原本是网桥部署结合网页认证学生实名制绑定账号实现单点登录,通过用户名可以定位到具体学生上网行为,前几年是能正常看到在线用户是以认证的用户名方式显示,客户反映最近几年,在线用户中能看到认证用户名的数量越来越少,在线用户名是IP地址的增多,直到最近,能看到的用户名寥寥无几,几乎无法根据在线用户名定位到具体的学生。 单点登录是指:公司内部有自用的认证服务器,用户在认证服务器上认证成功后,AC/SG设备通过读取该服务器的用户认证信息,实现用户不需要重复认证 。
用户认证配置
web单点登录配置
沟通后发现客户现在有两种认证方式,一个是通过网页认证上网,一个是通过客户端认证上网。 网页认证
客户端认证 从上面AC的web认证配置的服务器地址发现,服务器地址是网页认证的网址。
在学生宿舍中测试通过网页认证上网和客户端认证上网,发现用网页认证上网的,AC在线用户上能显示用户名,用客户端认证的在线用户名是IP地址。学生告知他们几乎不用会使用网页认证,都是用客户端认证上网,更方便。 然后判断AC上能显示用户名的单点登录是通过网页认证的,其他大部份不需要认证的是通过客户端认证上网的。
在AC开启抓包,用学生账号使用客户端重新登录。发现客户端认证请求的hostname和在网页认证请求的hostname不同,URL中请求的参数也不同。
然后在AC的web单点登录设置修改参数,把抓包中的关键参数填上。
马上出效果了,在线用户都是以认证用户名显示和单点登录。
总结:由于新出现更为方便的客户端认证方式,取代了网页认证,AC的配置一直未做变更导致使用效果不佳。 |