网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
网络控制器NAC 文档 功能配置 认证配置 NAC对接外部MSSQL数据库配置指导
{{sendMatomoQuery("网络控制器NAC","NAC对接外部MSSQL数据库配置指导")}}

NAC对接外部MSSQL数据库配置指导

更新时间:2024-09-10

1功能简介

1.1应用场景

对接SQL server进行认证

1.2适用版本

NAC3.13.0

1.3配置思路

1、确定SQL server信息

2、配置对接SQL server

3、配置无线SSID调用SQL server

2注意事项

2.1业务影响范围

不影响。

2.2配置注意事项

1、密码字段的加密类型,务必与数据库中存储的类型保持一致,否则认证无法通过;
2、企业级认证仅支持加密类型为明文和NT-Password
3、开放式+Web认证支持所有加密类型。

3  配置步骤  

3.1SQL server数据库信息确认

1) SQL server数据库IP;

2) SQL server数据库远程连接端口;

3) 数据库名;

4) 连接数据库的管理员账号与密码,并确保账号有远程连接与查询对应数据库的权限;

5) 存储有用户名/密码的数据表名、用户名字段、密码字段等。

3.2SQL server数据库对接配置

1)第一步:新增mssql数据库对接

在控制器【认证配置】-【认证授权】-【外部服务器】-【认证服务器】新增mssql数据库,填写第一步确认好的服务器信息

2)第二步:确认数据表信息

以下面一个SQL server数据库中的数据表(表名:yzk)中的数据为例,用户登录账号的字段是“姓名”,密码字段是“学号”,其中该数据库中存储的密码字段是明文。

3)第三步:新增密码字段

在"新增MSSQL数据库"->"获取数据"中,新增配置密码字段。配置该字段后,即可通过对应的Select语句在数据库中查询对应用户名的密码信息,用于用户登录WiFi时做密码校验。用户登录账号的字段是“姓名”,密码字段是“学号”,其中该数据库中存储的密码为明文。

例如:SELECT 学号 FROM yzk WHERE 姓名 = $$USERNAME$$

其中“学号”“姓名”等字段为数据库中表头名,加密类型为“学号”字段在表中的加密类型,由于此表中没有做加密所以选择为明文。

   注意:

1 密码字段的加密类型,务必与数据库中存储的类型保持一致,否则认证无法通过;
2 企业级认证仅支持加密类型为明文和NT-Password;
3 Web 认证支持所有加密类型。

4)第四步:配置用户组字段(按需选配)

若数据库中不同的用户所属的分组(部门)不同,而客户期望针对不同的用户分组分配不同的用户权限,或匹配不同的vlan,则可通过用户组字段读取数据库中用户所属的分组(部门),来给不同的用户分配不同的角色权限。

例如:

SELECT 姓名 FROM yzk WHERE 姓名 = $$USERNAME$$

根据数据库中“姓名”(性别)字段进行查询,并将查询结果作为分组。

5)第五步:配置有效期字段(按需选配)

若数据库中不同的用户有有效期时间,而客户期望在有效期内的用户可以连接WiFi认证,而不在有效期内的用户拒绝接入,则可通过配置该字段实现。

SELECT times FROM tacuser WHERE name = $$USERNAME$$

   

6)第六步:配置其他字段(按需选配)

包括创建时间/自定义1/自定义2预留字段,均可以通过SQL语句从数据库中读取,若客户需要读取更多的数据,可以使用以上预留字段查询。

3.3无线网络配置

下面以开放式+web的认证类型为例进行无线网络配置,若数据库中密码字段加密,请根据第四章节注意事项选择合适的认证类型。

1)第一步:在【接入点管理】-【无线网络】-【无线网络】中,点击【新增无线网络】,在【基本配置】中设置无线的基础类型,“接入点”中可以选择要发射信号的AP,“数据模式”需要结合内网AP无线部署模式进行选择,“生效射频”可以设置对应的AP发射此信号时为5G单频发射、2.4G单频发射、2.4G与5G双频发射。

  

2)第二步:【认证类型】中,选择开放式+web认证,认证方式选择账号认证,认证界面可以根据实际情况进行选择不同的界面进行展示,认证前角色可以点击帮我创建认证前角色(由于开放式+web认证需要弹出portal界面进行认证,而认证前角色就是只放通DNS角色,让控制器将终端流量进行重定向然后弹出web界面)重定向端口采用默认即可。

 

3)第三步:【账号认证】中,点击认证服务器,在弹出的选择框中选择数据库对接中添加的数据库。

4)第四步:【VLAN设置】中,选择用户连接无线后获取的地址段。此处的用户vlan需要与第一步【数据模式】中的转发模式结合配置,避免出现用户无法获取地址的情况。

5)第五步:根据查询指令返回的值,可以在【权限设定】中,根据用户组等进行设置角色,实现上网权限的精细控制。点击添加后,在弹出的规则列表中设置规则,并设置匹配规则后分配的角色,如果用户属性未命中任何配置的规则,则匹配最后一个角色,若无权限分配需求,则只需要配置未匹配规则的终端用户设置默认角色。

4   效果   演示

用户名等于“原泽坤”时匹配角色也为“原泽坤”