对接SQL server进行认证
NAC3.13.0
1、确定SQL server信息
2、配置对接SQL server
3、配置无线SSID调用SQL server
不影响。
1、密码字段的加密类型,务必与数据库中存储的类型保持一致,否则认证无法通过;
2、企业级认证仅支持加密类型为明文和NT-Password;
3、开放式+Web认证支持所有加密类型。
1) SQL server数据库IP;
2) SQL server数据库远程连接端口;
3) 数据库名;
4) 连接数据库的管理员账号与密码,并确保账号有远程连接与查询对应数据库的权限;
5) 存储有用户名/密码的数据表名、用户名字段、密码字段等。
1)第一步:新增mssql数据库对接
在控制器【认证配置】-【认证授权】-【外部服务器】-【认证服务器】新增mssql数据库,填写第一步确认好的服务器信息
2)第二步:确认数据表信息
以下面一个SQL server数据库中的数据表(表名:yzk)中的数据为例,用户登录账号的字段是“姓名”,密码字段是“学号”,其中该数据库中存储的密码字段是明文。
3)第三步:新增密码字段
在"新增MSSQL数据库"->"获取数据"中,新增配置密码字段。配置该字段后,即可通过对应的Select语句在数据库中查询对应用户名的密码信息,用于用户登录WiFi时做密码校验。用户登录账号的字段是“姓名”,密码字段是“学号”,其中该数据库中存储的密码为明文。
例如:SELECT 学号 FROM yzk WHERE 姓名 = $$USERNAME$$
其中“学号”“姓名”等字段为数据库中表头名,加密类型为“学号”字段在表中的加密类型,由于此表中没有做加密所以选择为明文。
注意:
1 密码字段的加密类型,务必与数据库中存储的类型保持一致,否则认证无法通过;
2 企业级认证仅支持加密类型为明文和NT-Password;
3 Web 认证支持所有加密类型。
4)第四步:配置用户组字段(按需选配)
若数据库中不同的用户所属的分组(部门)不同,而客户期望针对不同的用户分组分配不同的用户权限,或匹配不同的vlan,则可通过用户组字段读取数据库中用户所属的分组(部门),来给不同的用户分配不同的角色权限。
例如:
SELECT 姓名 FROM yzk WHERE 姓名 = $$USERNAME$$
根据数据库中“姓名”(性别)字段进行查询,并将查询结果作为分组。
5)第五步:配置有效期字段(按需选配)
若数据库中不同的用户有有效期时间,而客户期望在有效期内的用户可以连接WiFi认证,而不在有效期内的用户拒绝接入,则可通过配置该字段实现。
SELECT times FROM tacuser WHERE name = $$USERNAME$$
6)第六步:配置其他字段(按需选配)
包括创建时间/自定义1/自定义2预留字段,均可以通过SQL语句从数据库中读取,若客户需要读取更多的数据,可以使用以上预留字段查询。
下面以开放式+web的认证类型为例进行无线网络配置,若数据库中密码字段加密,请根据第四章节注意事项选择合适的认证类型。
1)第一步:在【接入点管理】-【无线网络】-【无线网络】中,点击【新增无线网络】,在【基本配置】中设置无线的基础类型,“接入点”中可以选择要发射信号的AP,“数据模式”需要结合内网AP无线部署模式进行选择,“生效射频”可以设置对应的AP发射此信号时为5G单频发射、2.4G单频发射、2.4G与5G双频发射。
2)第二步:【认证类型】中,选择开放式+web认证,认证方式选择账号认证,认证界面可以根据实际情况进行选择不同的界面进行展示,认证前角色可以点击帮我创建认证前角色(由于开放式+web认证需要弹出portal界面进行认证,而认证前角色就是只放通DNS角色,让控制器将终端流量进行重定向然后弹出web界面)重定向端口采用默认即可。
3)第三步:【账号认证】中,点击认证服务器,在弹出的选择框中选择数据库对接中添加的数据库。
4)第四步:【VLAN设置】中,选择用户连接无线后获取的地址段。此处的用户vlan需要与第一步【数据模式】中的转发模式结合配置,避免出现用户无法获取地址的情况。
5)第五步:根据查询指令返回的值,可以在【权限设定】中,根据用户组等进行设置角色,实现上网权限的精细控制。点击添加后,在弹出的规则列表中设置规则,并设置匹配规则后分配的角色,如果用户属性未命中任何配置的规则,则匹配最后一个角色,若无权限分配需求,则只需要配置未匹配规则的终端用户设置默认角色。
用户名等于“原泽坤”时匹配角色也为“原泽坤”
