本帖最后由 萌大爷 于 2017-11-14 12:35 编辑
AC 11.X版本用户绑定效果实测
一、前言 用户绑定大家都清楚,就是限定用户只能在某台终端上登录。 但是至于实际效果和注意点是怎么样,今天跟大家一起探讨。
测试前提: 密码认证或短信认证已设置绑定mac免认证。
二、绑定逻辑测试 a)同一个用户可以绑定多个mac,所以当密码认证或者短信认证用户有多个终端时,可以用同一账户登录多个终端。 举例: 用户A同时在手机和笔记本电脑进行密码认证。
如果用户用手机号A在手机上登录了,也可以用手机号A在笔记本电脑上登录,会自动产生绑定记录。 (第一条是已有记录,第二条是短信认证后,自动生成的绑定记录,两条记录分别绑定手机和笔记本电脑的mac)
b)但是一个mac不能绑定多个用户,会提示冲突。 举例: 如果一个mac地址已经绑定过其他用户,则提示冲突; 如果一个终端已用手机号A进行短信认证,再次认证时则不能用手机号B进行认证,会提示绑定校验失败; 密码认证同理(如果一个mac绑定了一个用户,这个mac的pc用其他用户登录,就会以上用户绑定校验失败)。
三、问题探讨 3.1 有一种情况下,会出现mac绑定错误的问题。 a)问题出现条件,不开启mac地址变动注销用户功能: b)密码认证方式测试(短信认证方式同理) c)第一次登录,生成绑定记录,用户是180****03,MAC是FE:FC:FE:5A:AC:F8;
第二次登录,IP同是192.168.50.22,mac是FE:FC:FE:0E:BB:F7,模拟IP释放出来后被其他终端获取情况; 其他终端获取后,不需认证即可上网,在线信息不变,期间没有注销和重新登录; 自动生成(认证策略勾选了自动录入绑定关系并开启免认证)绑定记录,用户是1802****03,MAC是FE:FC:FE:0E:BB:F7。 d)造成问题: 只要IP在在线用户列表,被其他终端获取后,该终端就会自动上线并绑定到错误的用户,并以错误的用户名上线。短信认证同理,该手机mac可能会绑定到错误的手机号上,或者该手机号的用户绑定会多出其他人的mac。同时由于被自动错误绑定了,可能会造成下次短信认证时,出现绑定校验失败的问题。
原因猜测: 数据包访问会首先查看该IP是否在在线用户列表,如果不在,则重定向到认证页面;如果在在线用户列表,则会优先已在线用户列表里的用户上线。即使该mac在在线用户列表里绑定其他用户,则依然不会以用户绑定的身份上线。 得知:优先匹配在线用户列表的用户身份,其次匹配用户绑定的用户身份。
3.2 解决方式
a)设置mac地址变动重新认证功能
b)终端1----IP:192.168.50.22,MAC:fe-fc-fe-0e-bb-f7上线,在在线用户列表(IP:192.168.50.22),直接可以上网。 终端2----IP:192.168.50.22,MAC:FE:FC:FE:5A:AC:F8上线, 虽然IP是在在线用户列表,但是由于mac发生变动,该在线用户后被注销,然后需要重新认证(模拟IP释放后,被终端2获取),
不过这里也要分情况的:
用户绑定没有该mac绑定的情况: 会重新认证,并且产生新的绑定条目,用新的用户身份上线:
用户绑定有该mac绑定的情况: (用户在免认证有限期内)。会重新认证,但由于该mac的绑定条目设置了免认证,实际则以无感知免认证方式上网,用该mac绑定的身份上线。
(免认证已过期或者被禁用)会重新认证(短信认证),由于该mac的绑定条目禁止了免认证功能(或者过期了),所以需要打开浏览器重定向到认证页面,重新登录: 如果登录用户跟绑定条目的用户不一致,会提示绑定校验失败; 如果一致,则通过认证并正上线。
四、疑问 这两个有什么区别? a)短信认证里勾选自动绑定mac免认证 b)短信认证里不勾选自动绑定mac免认证,改为在认证策略里自动录入绑定关系并免认证。
| 
发表于 2017-10-21 11:01
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2017-10-23 16:55
技术员3级 
