一、宁盾WIFI认证平台简介
1、平台构架
2、平台登录方式
浏览器登录WIFI个性化平台http://X.X.X.X:8080(X.X.X.X为服务器IP,默认端口8080),平台管理员admin,默认密码为admin,商户自助管理平台帐号密码为热点管理员,由WIFI集中接入平台统一配置分配。(浏览器建议IE9+,或Firefox、Chrome等)
IE下载链接:http://www.microsoft.com/china/windows/IE/upgrade/index.aspx
Mozilla Firefox下载链接:http://www.mozilla.org/zh-CN/firefox/new/
Google Chrome下载链接:http://www.google.cn/intl/zh-CN/chrome/browser/
二、认证配置
1、Portal认证配置流程
新增商户—>添加设备(—>添加SSID或AP Group)并分配给商户—>设备配置—>选择并配置认证方式
2、新增商户
在集中接入管控平台【商户列表】点击【新增商户+】,编辑商户名称、缩写选择商户类型。
为商户分配管理员:在商户列表内选中商户,点击操作栏内【配置管理员】,为商户设定管理员账户(该账户只允许登录商户自助管理平台)。
3、添加设备
● 添加BRAS/AC/胖AP设备:
添加SSID或AP Group并分配给商户,如添加SSID:
添加AP Group(胖AP不支持AP Group):
说明:AP Group的配置就是将位于不同位置的AP按区域分组,AP Group可包含一个或若干个AP,即添加AP分组后在AP分组下可以添加一个或若干个AP的MAC关联AP。将不同AP分组分配给不同商户即可实现不同AP分组不同Portal页面(如此,要求将统一个商户按区域划分成若干个子商户,如:“星巴克”商户分为“星巴克长江路店”、“星巴克火车站店”等)
● 添加认证网关设备:
4、思科 WLC 无线控制器配置
Radius
IP:服务器 IP 地址
认证端口:1812
计费端口:1813
共享密钥:ndkey(密钥为添加设备时设置的值)
离线端口:默认 3799
Portal
URL :http://localhost:8080/am/portal/ac/AC/ssid/wifi
注:要求根据不同 AP 或 AP Group 推送不同 Portal 时,此处 URL 为http://localhost:8080/am/portal/ac/AC(即 AC 设备处提供的 URL)
Portal 认证模式:PAP
免认证规则(白名单/ACL 放行):服务器 IP、Portal IP
详细配置:
4.1 添加 RADIUS 认证服务器
进入 Security->AAA->RADIUS->Authentication:
4.2 配置免认证规则
配置两条 ACL,允许用户在认证前访问 DKEY 的 Portal 页面:
4.3 配置 SSID
检查二层安全配置
将相应 SSID 的二层安装模式配为 None:
配置 Portal 跳转
Preauthentication ACL 配置为刚刚添加的认证服务器 ACL。
重 定 向 地 址 配 置 为 http://ip:3080/CheckTempCredentialServlet 。 注 : 本 次 url 填 写 :
http://x.x.x.x:3080/portal/apply/show_password/pc.xhtml
配置 SSID 的 RADIUS 认证
5、认证方式配置
5.1、短信认证
● 短信平台对接:【系统设定】—【短信通道】,选择通道类型并填写相关链接参数,完成对接,可进行测试是否对接成功。
● 启用短信认证:商户自助管理平台—【WIFI认证】—【认证配置】—选中【登录认证】—【短信认证】
仅验证手机号(不发送短信):勾选后用户登录WIFI是输入手机号码,点击“获取验证码”,验证码信息自动填充至验证码输入框。
仅启用白名单的用户:勾选后只允许手机号码在【用户】—【短信用户】短信用户列表内通过认证登录。#p#
5.2、微信认证
● 微信服务白名单:【微信设置】—【微信免认证IP】或【设备管理】—选择您的设备—【查看微信免认证IP】
将列表内IP地址加入到无线控制设备的免认证规则(白名单/ACL放行)内。
当认证服务器与wifi访问互联网不属于同一出口时,请用PC链接WIFI访问:http://dns.weixin.qq.com/cgi-bin/micromsg-bin/newgetdns?uin=0&clientversion=620888369&scene=0&net=1&md5=222d8e4ddf9d2054cfb12cf5400eff0c&devicetype=android-17&lan=zh_CN&sigver=1
并将获取的IP添加到AC或网关设备上。
注:该部分不配置免认证规则时,用户将要求先通过移动流量关注微信公众号,并通过与微信工作号交互获取登录密码,才能通过密码登录Portal。
● 启用微信认证:商户自助管理平台—【WIFI认证】—【认证配置】—选中【登录认证】—【微信认证】
是否使用私有公众号:是,商户自己绑定微信公众号;否,继承集中接入管控平台内微信设置。
公众帐号:为用户需要关注获取上网权限的微信公众号
模式:链接模式,平台通过提供一个链接添加到微信公众号自定义菜单处;API模式,提供微信公众号开发者中心内所需的URL与TOKEN
SSID名称:wifi热点名称
密码有效期:微信公众好提供的密码有效期控制,默认30分钟
● 微信公众号平台(http://mp.weixin.qq.com):
链接模式微信公众号配置:【自定义菜单】—【菜单管理】—【添加菜单】,如:“免费wifi”,【设置动作】—选【跳转到网页】
API模式微信公众号配置配置
5.3、用户名
根据需要设置用户源:
● 添加本地用户
● 链接外部数据源,选择外部用户源类型
以标准AD为例:
● 启用外部访客,启用外部访客认证需配有本地用户或外部数据源用户审核
● 启用用户名认证,选取以上配置的用户源中的一类或几类。
三、页面管理
WIFI认证平台Portal页面分为:封面页、认证页、广告页与成功页;
其中封面页、广告页为可选页面,页面展现时间可设定,默认3秒后向下一页面跳转。
【页面管理】
● 封面页、认证页、广告页、成功页均可选择【不同设备使用不同界面】或【不同设备使用相同界面】
【不同设备使用不同界面】模式下可分别编辑手机端界面、PC&PAD界面
【不同设备使用相同界面】模式下,编辑通用界面。
以下选择【不同设备使用相同界面】为例
● 封面页、广告页启用(可根据需要是否启用),默认未启用“对”,启用后“错”即可对该页面进行编辑。以封面页为例。
如下:点击更换图片,即可修改该页面展示的图片,点击编辑文字可修改该页面展示时长(默认3秒),修改完成保存即可。
● 认证页、成功页编辑时点击“更换图片”、”编辑文字”即可更改相应位置内容。
四、策略控制
登录WIFI商户自助管理平台或在WIFI集中接入管控平台通过商户列表操作“管理”按钮进入,WIFI认证—认证配置—高级配置,即可编辑相应控制策略。
点击策略明细图标 ,可查看当前策略明细,并可编辑设置高级策略 ,高级策略可针对终端设备类型或登录认证类型逐一设置。如下图:
● 上网时长控制:每用户每天的上网时长控制
● ***在线设备:单用户允许登录的设备数量控制
● 在用用户***流量控制:在设定的时间范围内,用户使用的流量低于目标值踢该用户下线。该策略可设置空闲检测时长,及当用户断开wifi链接,默认情况下AC不会立即让用户从AP上下线,而是存在默认15分钟检测时间;另该策略可设置为一时间段内将流量设置为一个不可达数值,即可是的用户在超过此时间段须重新认证。
● 允许上网的时段:该策略针对WIFI热点允许设置允许的上网时段控制,默认全时段
● 是否允许登录:针对wifi热点设置,可新增高级策略设置指定终端设备类型或登录方式不允许登录,当设定不允许登录是即用户无法通过认证正常链接wifi上网。
● 二次免认证时间:针对登录认证的用户设置其登录设备的MAC地址有效期,在有效期内用户可使用器MAC地址点击一键登录即可完成登录认证功能。