更新时间:2024-07-25
1功能简介
1.1应用场景
邮箱认证的无线网络,用户连接无线后通过输入邮箱号码,和获取的邮箱验证码进行认证。一般适用于企业、商超、广场等场景。
NAC支持对接的邮箱有163邮箱、139邮箱、QQ邮箱、新浪邮箱等。NAC对用户进行认证的邮箱没有限制(取决于对接NAC的邮箱服务器是否有限制)。
支持的邮箱协议如下:
NAC3.7.4.2之前版本,只支持非加密型邮箱smtp 25。
NAC3.7.4.2及之后版本,支持非加密型邮箱smtp 25、加密邮箱型smtps 465、587。
PS:如果NAC要对接用户自己的邮箱,需要邮箱支持以上协议。
1.2适用版本
NAC3.13.0。
1.3配置思路
1、邮箱服务器上设置客户端授权码
2、NAC上启用邮件服务
3、新增认证前只允许DNS和邮箱角色
4、新增邮箱访客认证后角色
5、新增邮箱认证认证方式
5、新增邮箱认证的SSID
6、配置访客Portal有效期
7、配置邮箱认证有效期
2注意事项
2.1业务影响范围
新增新SSID配置邮箱认证不影响当前业务。
2.2注意事项
1、给临时账号认证的SSID分配的VLAN需要联网,用户连接此SSID才能自动弹出Portal页面。
2、NAC启用邮箱服务、邮箱认证不需要购买授权序列号(功能免费)。
3配置步骤
3.1网络说明
本文档示例网络如下,NAC给AP下发信号xx-Guest,用于给邮箱认证。
3.2邮箱设置客户端授权码
登录到指定发件人的邮箱,这里以163邮箱为例,发件人邮箱用于对接NAC的邮件服务。
1、点击【设置-POP3/SMTP/IMAP】。
2、在【POP3/SMTP/IMAP】开启“POP3/SMTP服务”即可(NAC不支持IMAP/SMTP服务),在弹出的“账号安全提示”点击“继续开启”。
3、使用邮箱绑定的手机扫码发送短信验证,验证通过就成功开启了POP3/SMTP服务服务,复制授权密码(授权密码只显示一次,请及时复制备份,且使用期间请勿删除,删除后NAC上的邮件服务将时效,需要重新生成新的授权密码对接)。
3.3NAC启用邮件服务
注意:启用邮件服务前请务必确保NAC能正常访问外网,NAC需要和邮箱服务器正常通信才能对接成功。
在【系统管理-服务管理-邮件服务】启用邮件服务、服务器需要验证用户名和密码。本次示例对接163邮箱服务,发件人邮箱地址填写章节3.2开启授权密码的邮箱地址;SMTP服务器填写smtp.163.com;服务器端口填写25或465;用户名填写发件人邮箱地址;密码填写章节3.2启用的授权密码。
发件人邮箱地址:用于给邮箱认证的用户发送验证码。
SMTP服务器:填写邮件发送服务器的域名或者服务器ip地址。
服务器端口:对应邮箱服务的服务器端口,支持25、465、587,也可以自定义。
用户名:发件人邮箱地址
密码:发件人邮箱授权密码(不是邮箱的登录密码)
填写完成后点击保存,点击“测试有效性”添写邮件主题、内容,测试是否能成功发送邮件到收件人邮箱地址。
在收件人邮箱成功接收到测试邮件表示邮箱服务对接成功。测试邮件如下所示。
3.4新增认证前只允许DNS和邮箱角色
用户在认证前输入邮箱地址获取验证码,需要登录邮箱查看验证码才可以继续进行认证,所以认证前需要放通邮箱相关服务与应用。认证前放通DNS用于自动弹Portal。
第一步:在【认证配置-认证授权-无线访问控制策略】点击新增访问控制策略,需要设置策略如下。
(1)放通允许用户进行认证的邮箱应用,如QQ邮箱、网易邮箱、Outlook邮箱等相关应用。
(2)放通邮箱相关服务,如SMTP、SMTPS、POP3、POP3S、IMAP、IMAPS,添加两条,连接方向分别是用户发起和用户接收。
(3)放通DNS服务,添加两条,连接方向分别是用户发起和用户接收。
(4)拒绝ANY所有,添加两条,连接方向分别是用户发起和用户接收。
第二步:在【认证配置-认证授权-角色授权】新增角色,输入名称,在无线访问控制策略里新增选择第一步创建的允许DNS和邮箱的访问控制策略,提交。
3.5新增邮箱认证后角色
在【认证配置-认证授权-角色授权】中点击新增邮箱访客认证后角色,主要用于区别其他无线用户的角色,方便给访客做应用或流量的管控。如无特殊需求也可以使用系统自带的默认角色。
在【无线授权】根据网络需求给访客角色设置对应的无线访问控制策略、流速限制策略、流量/时长配额策略等。
3.6新增邮箱认证认证方式
在【认证配置-认证授权-Web认证-访客认证】中点击新增,输入认证方式名称,勾选邮箱认证方式。
点击“邮件内容配置”设置邮件主题和邮件内容。可以保持默认。
3.7新增SSID
1、在【接入点管理-无线网络-无线网络】新增 SSID。在【基础配置】输入SSID名称,数据模式根据网络架构选择是本地转发还是集中转发,其他可以保持默认。
2、在【认证类型】设置认证类型为“开放式+Web认证”,认证方式选择“访客认证”,,认证前角色选择章节3.4创建的角色。其他可以保持默认。
3、在【访客认证】认证方式选择章节3.6创建的邮箱认证方式,角色分配选择章节3.5创建的临时账号认证后角色。
4、在【VLAN设置】填写给访客分配IP地址的VLAN网段。此VLAN需要先联网,用户连接SSID才能自动弹出认证页面。
注意:
(1)本文档测试的环境是无线本地转发,访客从内网核心获取IP,给终端分配地址的VLAN是VLAN 10,如果要让访客获取的IP地址跟AP的IP地址相同网段,这里需要填写1。
(2)如果无线是集中转发,直接填写给访客分配IP地址的对应VLAN ID。
3.8配置访客Portal有效期
邮箱访客Portal有效期在【认证配置-认证高级选项】设置“访客认证免弹Portal页面有效期”,默认永久有效,支持指定时间最小1分钟,最大1000天。
访客认证免弹Portal页面有效期:访客用户首次登录认证后,用户断开WiFi的时间超过页面设置的“访客认证免弹Portal页面有效期”的时间,则在下次连接WiFi时,会弹出portal页面,只显示登陆按钮,点击“登录”即可完成老用户快速登陆;如未超过,则在下次连接WiFi时,可以直接接入,不会弹出portal页面。
3.9配置邮箱认证有效期
邮箱认证相关有效期在【认证配置-认证高级选项】设置,分别有如下3个有效期设置:
1、邮箱登录有效期:终端通过认证后,在有效期内不需要重复输入邮箱地址、验证码认证,有效期到了之后会弹出认证页面需要重新输入邮箱地址获取验证码通过认证入网。默认永久有效,支持指定时间最小10分钟,最大1000天。
2、邮箱验证码有效期:默认多次有效。支持设置多次有效、单次有效。
①多次有效:终端获取验证码后,在验证码有效期内,终端可以使用这个验证码多次认证(仅限这个终端)。
②单次有效:终端获取验证码后,在验证码有效期内,终端只能使用这个验证码进行一次认证。
3、邮箱验证码有效时长:终端获取验证码后,在有效期内验证码有效,有效期到了验证码将失效无法认证,需要重新获取验证码。默认10分钟,指定时间支持设置最小10分钟,最大1000天,支持设置永久有效。
4其他附加配置项
4.1QQ邮件服务配置示例
1、登录用于对接NAC的QQ邮箱,点击【设置-账号】。
2、找到【POP3/IMAP/SMTP/Exchange/...服务】点击开启服务,使用邮箱绑定的手机扫码发送短信验证,验证通过就成功开启了POP3/IMAP/SMTP/Exchange/...服务,复制授权码。
3、在【系统管理-服务管理-邮件服务】启用邮件服务、服务器需要验证用户名和密码。
发件人邮箱地址:输入QQ邮箱地址
SMTP服务器:smtp.qq.com
服务器端口:465
用户名:添加发件人邮箱地址
密码:输入授权码
4、填写完成后点击保存,点击“测试有效性”添写邮件主题、内容,测试是否能成功发送邮件到收件人邮箱地址。
在收件人邮箱成功接收到测试邮件表示邮箱服务对接成功。测试邮件如下所示。
5效果演示
5.1邮箱认证流程
1、用户连接邮箱认证的无线网络,如xx-Guest。
2、然后自动弹出portal页面,点击“认证上网”跳转到认证页面。
3、认证页面输入用户的邮箱地址,点击获取验证码。
4、登录到获取验证码的邮箱查看收到的验证码。
5、认证页面输入验证码点击登录。
6、用户认证通过,跳转到欢迎页面。
5.2用户认证状态查看
1、在【首页-终端-在线用户】查看登录成功的用户。
2、在【认证配置-用户管理-访客账号-社交应用】查看认证通过的邮箱访客信息。支持导出。
5.3Portal有效期超时重新认证流程
假如邮箱访客Portal有效期“访客免弹Portal页面有效期”设置2分钟,用户无线认证后,断开无线的时间超过了2分钟,用户再次连接无线会自动弹出Portal页面进行认证,此时不需要重新输入邮箱地址获取验证码进行认证,点击“登录”即可完成认证。
6常见问题
6.1测试邮箱服务有效性失败
问题:邮件服务测试有效性失败:请检查邮件服务器配置及网络环境是否正常。
排查建议:
1、检查对接邮件服务填写的几个参数是否正确。如:
①更换服务器端口,如服务器端口25改成465或587。
②在邮箱上更换smtp的授权密码。参考章节3.2。
2、检查NAC是否能访问外网,NAC ping外网域名或smtp服务器域名(如smtp.163.com)测试。
3、根据此配置手册检查是否有遗漏的配置步骤。
6.2收不到邮件
问题:用户邮件认证收不到验证码邮件。
排查建议:
1、检查NAC邮件服务测试有效性是否能成功。参考章节3.3。且是否能成功接收到测试邮件。
2、使用“发件人邮箱地址”给认证用户的邮箱发送邮件,确认认证用户的邮箱是否能正常接收到邮件。
3、确认以上两点没问题依然收不到邮件,请联系信锐售后处理。