VPN如何在LDAP没有手机字段的情况下使用短信认证

1.背景：客户使用VPN（7.6.8R2）访问内部业务系统，配置ldap服务器认证，现在想增加辅助认证（短信认证）。客户ldap服务器没有mobile字段。所以需要进行一定配置

2.短信平台为客户自建仅提供相关参数

短信参数如下：

短信平台地址为：http://X.X.X.X:8686/Home/msgSendPhone?pswd=短信平台秘钥&account=系统标识&tsCode=MD5(系统标识+短信平台秘钥+手机号)&phone=1xxxxxxxxxx&content=【签名】内容。17202499 这是秘钥,VPN（大写）是系统标识

注：短信平台秘钥请提供调用系统ip地址,MD5加密为32位小写，请求为get,认证成功回复 result “0”

3.配置短信平台，在认证设置--辅助认证--第三方辅助认证（这里不选默认的短信配置，不够灵活），新增http(s)验证码认证填写对应参数，请注意，里面的md5加密的时候要调整好顺序。

平台说明：sms_content {{config.sms_content}} 短信内容

md5 {{md5:data}} 对模板变量（参考表 1）计算 md5 值。如：{{md5:user.user_pwd}}计算用户密码的 md5 值。

env env.data 高级模式中脚本定义或响应解析配置中自定义的说明：a data  支持的参数为 自 定义的变量

更多说明参考相关手册，

配置完成后，测试短信，发送成功，进入下一步，如果不成功和短信平台沟通，对比参数填写，此处有两个地方需要注意，1.md5加密顺序，2.短信平台需要将VPN的接口IP加入到信任或者对应位置，如果是集群则都加。

3.响应配置也要配置，本次未截图，认证成功回复 result “0”

4.新建本地用户组，用于后续同步

5.新建ldap服务器，找客户获取ldap服务器地址，管理员账号（至少拥有读权限的账号），此处配置了角色映射，后面同步到设备的用户组无需关联对应角色

因为客户的ldap服务器没有填写手机号，此处需要将ldap用户同步到VPN设备，在VPN设备上面绑定手机号，在

6.调整用户组，同时开启用户组的短信认证

7.因为用户ldap没有手机信息，同时设备也没有手机记录，所以需要开启允许手机自定绑定

8.用户登录后，会在完成用户名密码认证后，弹出绑定手机号界面，绑定效果如下

9.验证正常，仅供大家参考思路。