二维码审核认证是适用于企业外来访客的一种认证方式,外来访客人员连接WIFI弹出认证页面,输入身份信息生成二维码申请审核入网,内部员工(审核人员)审核访客信息并授权访客上网权限,此方式有效解决了开放式访客认证被蹭网的问题。
有以下两种方式对访客进行审核入网:(两者可以同时使用)
1、企业内部员工(审核人员)连接具有审核权限的WIFI,扫描访客用户的二维码进行审核给予上网权限(较为常用)。
2、信锐云助手APP进行审核,管理员所在地点不受限制。
NAC3.13.0。
1、审核人扫码审核配置思路:
(1)新增审核人角色与二维码访客角色
(2)配置审核人的SSID
(3)新增二维码审核认证方式
(4)设置审核权限、认证附加信息
(5)新增二维码审核认证的SSID
(6)配置访客Portal有效期
2、云助手APP审核配置思路:
(1)新增二维码访客角色
(2)登录云服务
(3)新增二维码审核认证方式
(4)设置APP审核权限
(5)设置认证附加信息
(6)新增二维码审核认证的SSID
(7)配置访客Portal有效期
新增新SSID配置二维码审核认证不影响当前业务。
1、审核人的无线认证方式不能为访客认证,访客不能审核访客。
2、管理员使用信锐云助手APP给访客审核时,使用数据流量即可审核。且访客在审核通过前断开SSID也不影响APP审核。
3、给二维码审核认证的SSID分配的VLAN需要联网,用户连接此SSID才能自动弹出Portal页面。
4、访客二维码有效期默认是10分钟,只要访客不断开SSID,二维码在10分钟内一直有效,10分钟后将过期,需要访客重连使用新二维码审核认证。
本文档示例网络如下,NAC给AP下发两个信号xx-Guest、xx-office。xx-Guest是二维码审核认证,给访客连接使用。xx-office给内部人员连接,具有给二维码访客审核的权限。
在【认证配置-认证授权-角色授权】中点击新增“审核人角色”、“访客角色”。
在【无线授权】根据网络需求给访客角色设置对应的无线访问控制策略、流速限制策略、流量/时长配额策略等。
在【接入点管理-无线网络-无线网络】新增审核人的无线网络“xx-office”,数据模式根据网络架构选择是本地转发还是集中转发,其他可以保持默认。
认证类型、认证方式根据网络需求自行设置,除访客认证外(访客认证不支持审核二维码访客)。本文档以密码认证为例,配置如下。
在【VLAN设置】填写给审核人分配IP地址的VLAN网段。
在【权限设定】设置“未匹配规则的终端用户设置默认角色”选择章节3.2创建的审核人角色。也可以点击添加,基于审核人的属性分配对应角色。
在【认证配置-认证授权-Web认证-访客认证】中点击新增,输入认证方式名称,勾选二维码认证方式。
1、点击“审核权限”设置有权限审核二维码访客的审核人角色、给访客分配的角色、上网时长。
PS:可分配上网时长设置参考章节5.2。
2、点击“认证附加信息”设置二维码访客认证时需要添加的个人信息。
1、在【接入点管理-无线网络-无线网络】新增二维码访客SSID。在【基础配置】输入SSID名称xx-Guest,数据模式根据网络架构选择是本地转发还是集中转发,其他可以保持默认。
2、在【认证类型】设置认证类型为“开放式+Web认证”,认证方式选择“访客认证”,其他可以保持默认。
3、在【访客认证】认证方式选择章节3.4创建的二维码审核认证方式。
4、在【VLAN设置】填写给二维码访客分配IP地址的VLAN网段。此VLAN需要先联网,用户连接SSID才能自动弹出认证页面。
注意:
(1)本文档测试的环境是无线本地转发,访客从内网核心获取IP,给终端分配地址的VLAN是VLAN 10,如果要让访客获取的IP地址跟AP的IP地址相同网段,这里需要填写1。
(2)如果无线是集中转发,直接填写给访客分配IP地址的对应VLAN ID。
至此,配置完了审核人无线网络xx-office和二维码访客无线网络xx-Guest。
二维码访客Portal有效期在【认证配置-认证高级选项】设置“访客认证免弹Portal页面有效期”,默认永久有效,支持指定时间最小1分钟,最大1000天。
访客认证免弹Portal页面有效期:访客用户首次登录认证后,用户断开WiFi的时间超过页面设置的“访客认证免弹Portal页面有效期”的时间,则在下次连接WiFi时,会弹出portal页面,只显示登陆按钮,点击“登录”即可完成老用户快速登陆;如未超过,则在下次连接WiFi时,可以直接接入,不会弹出portal页面。
通过云助手APP审核方式不需要配置审核人相关无线、和审核人角色(章节3.2审核人角色和章节3.3不需要配置),但需要NAC登录云服务和设置APP审核权限,审核人下载云助手APP接收审核信息审核。
云助手下载:https://support.sundray.com.cn/productTool/detail?id=77&category_id=0
云助手注册及使用指导:
https://support.sundray.com.cn/productDocument/read?product_id=7&version_id=978&category_id=1230
本文档示例网络如下,NAC给AP下发信号xx-Guest。xx-Guest是二维码审核认证,给访客连接使用。管理员手机安装云助手APP用于给访客审核。
配置同章节3.2。
确保NAC能ping通过外网,在【系统管理-服务管理-信锐云】登录注册号的信锐云账号,支持账号密码登录和短信验证码登录。
登录成功并显示在线才能正常接收访客审核信息。
确保通知开关已勾选“二维码访客审核通知”,【通知策略配置】中确保“二维码访客审核通知”事件类型的已选择目前控制器登录的账号(默认是全部管理员)。
配置同章节3.4。
在【认证配置-认证授权-Web认证】编辑二维码审核认证,点击“审核权限”,新增,审核人选择超级管理员账号“admin”,或者普通管理员账号,设置可分配的角色和上网时长。
PS:普通管理员审核权限是在【系统管理-管理员账号】添加普通管理员,“关联云管家账号”添加审核人的云管家手机号,这样就可以给其他人分配APP审核权限。
配置同章节3.5。
配置同章节3.6。
配置同章节3.7。
认证附件信息可以在章节3.5自定义对应的二维码审核认证方式。
全局修改:在【认证配置-用户管理-访客账号-二维码认证】里点击“认证附件信息”修改。(全局修改会对所有二维码审核的访客生效,请谨慎配置)
可分配上网时长即是二维码审核认证有效期,可以在【认证配置-用户管理-访客账号-二维码认证】点击“有效期”设置。
访客认证通过后,在“可分配的上网时长”内,访客断开无线重连都不需要审核人重新审核认证;超过“可分配的上网时长”,访客断开无线重连会重新弹出认证页面需要访客填写信息生成二维码,审核人审核通过才能继续入网。
只给部分用户分配审核权限,可以通过给用户分配具有审核权限的角色实现。假如具有审核权限的角色名称是“审核权限1”,不同于其他用户的认证后角色,配置如下:
第一步、在审核人连接的SSID里给部分用户划分“审核权限1”:可以基于用户终端的MAC地址、接入位置,或者用户名等信息划分权限。(注意一条规则里面的条件是同时成立才会满足条件分配对应的角色)
第二步、给二维码审核策略绑定具备审核权限的角色。
1、审核人连接审核的无线网络,如xx-office,完成认证。
2、访客连接二维码审核认证的无线网络,如xx-Guest。
3、然后自动弹出portal页面,点击“认证上网”跳转到认证页面。
4、认证页面输入要填写的信息,如姓名、手机号、城市。
5、点击生成二维码,跳转到二维码页面。(在审核通过前访客断开了无线,二维码将失效,详情参考章节7.1)
6、审核人打开微信扫一扫,扫描访客的二维码。
7、确认访客信息没问题,点击下一步。
8、对访客入网权限与有效期进行授权。
9、点击确定,完成对访客的审核。
10、访客认证通过,跳转到欢迎页面。
1、访客连接二维码审核认证的无线网络,如xx-Guest。
2、在弹出的认证页面输入要填写的信息,如姓名、手机号、城市。
3、点击生成二维码,跳转到二维码页面,此时等待APP管理员审核即可。
4、云助手APP管理员的手机会收到审核通知,点击通知详情查看待审核信息,也可以打开云助手APP在右上角【通知】或【更多】-【二维码审核】查看待审核信息。
5、通过【二维码审核】进入后,点击【远程审核】,点击审核,审核访客信息,分配入网权限与有效期,再次点击审核,完成对访客的审核,访客认证通过。
1、在【首页-终端-在线用户】查看登录成功的用户。
2、在【认证配置-用户管理-访客账号-二维码认证】查看认证通过的二维码访客信息。
假如二维码访客Portal有效期“访客免弹Portal页面有效期”设置2分钟,用户无线认证后,断开无线的时间超过了2分钟,用户再次连接无线会自动弹出Portal页面进行认证,此时不需要输入个人信息让审核人审核认证,点击“登录”即可完成认证。
问题描述:二维码审核人审核访客二维码提示:You are suthorizing wireless xxxx Woule you like to proceed,点击NEXT没反应。
问题原因:访客连接无线弹出二维码,访客无线断开了就会导致二维码失效。此时审核人扫描失效的二维码会提示如上英文的页面。
解决方法:访客重连无线弹出二维码,审核人尽快审核,避免访客无线掉线二维码失效。
问题:二维码审核认证,审核人使用微信扫码访客二维码提示:已停止访问该网页。
原因:微信拦截了认证地址2.2.2.1。
解决方法:将控制器的认证域名改成securelogin.sundray.com。建议改成自己单位官网地址+wifi前缀,或者修改为纯ip,这样不会被误判拦截。如wifi.sundray.com.cn。在【认证配置】-【认证高级选项】修改。修改认证域名不会影响现有用户上网。
