#原创分享#深信服AC对接无线AC做AD域账号密码认证

感谢楼主的精彩分享，有助工作。

非常好的实践教程，谢谢分享

每天坚持打卡学习签到！！

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励60000+“

某公司AC上网行为管理结合**无线AC和AD域控做账号密码认证（mac免认证优先）

拓扑如下

AC管理地址**

**AC管理地址**

AD域控**

实现效果：

1.无线用户首次连接SSID后，会弹出某公司AC认证界面，输入AD域账号密码后登录成功。（某公司AC配置AD外部认证，某公司AC充当** AC的radius服务器）

2.登录成功前不允许访问除SSID网段外的其他网段。

3.第一次AD域账号密码认证成功后，进行用户名/MAC地址绑定，实现MAC免认证优先。

4.用户手动登录1.1.1.3个人管理中心手动注销账号后，MAC免认证禁用，需要重新输入账号密码认证。

配置前准备：

1.    升级无线控制器软件版本和AP对应的软件版本（对接需要某版本以上）

原版本AC6003V200R008C10SPC300.cc

新版本AC6003_V200R019C00SPC500.cc

2.    某公司AC打对接补丁

某公司AC配置：

配置外部认证服务器

配置第三方认证控制器，选**portal认证

针对无线网段配置认证策略

**无线AC配置：

VAP模板配置

portal认证模板配置

MAC接入模板配置

radius模板配置

无线业务关联之前配置的模板

测试过程遇到个问题：

某公司AC上注销后，重新登录时虽然有弹1.1.1.3的认证界面，但是认证前就能访问内网所有网段。

经过一系列排查，定位是**AC免认证上线了，如果是**AC跳转触发的认证地址应该是AC管理口***而不是**虚拟IP。 **AC免认证是要找某公司AC确认的，问题又回到某公司这边。

进一步抓包判断，发现某公司AC回包确实Accept通过认证了，但是mac绑定关系是禁用的

我感觉这就不符合处理逻辑了，最终联系某公司研发大佬反馈，确认了补丁有一些瑕疵，经过多次调整补丁包后问题解决。

最终验证成功效果

第一次登录的是密码认证，后面再次登录是免认证

注销后MAC绑定信息会自动禁用，自动跳账号密码认证

效果最终是实现了，但是过程比较曲折，协调了双方技术支持，得到双方大佬协助。

感谢大佬们。:爱你: