评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
访客通过社交媒体帐号(使用googlePlus帐号/Facebook帐号/Twitter帐号)接入网络
为了方便终端用户使用已有的社交媒体帐号进行身份认证,业务管理器支持与google/Facebook/Twitter认证服务器进行联动,确保终端用户在不另外注册帐号的情况下使用自己的社交媒体帐号和密码在业务管理器的页面进行认证,通过认证之后可获得接入网络的权限。
数据规划
表1-16 数据规划
项目 |
数据 |
说明 |
---|---|---|
SM+SC(RADIUS服务器+Portal服务器) |
域名:controller.sz |
- |
访客认证后域ACL编号 |
3002 |
- |
访客接入网络的SSID |
guest |
需要在AC上配置,具体请参见无线环境中的Portal接入(含MAC优先)中的步骤6。 |
配置思路
- 分别配置Agile Controller-Campus与google认证服务器、Facebook认证服务器或Twitter认证服务器进行对接。
- 定制认证页面,访客未认证访问网络时,自动跳转到访客认证页面。
- 定制Portal页面推送规则,对访客推送定制的认证页面。
- 配置认证时使用社交媒体作为外部认证源,增加授权结果和授权规则,对访客身份认证成功后授予访问控制权限。
前提条件
- 在AC/交换机和Agile Controller-Campus上已完成Portal认证的配置,具体请参见Portal的配置举例。配置时需要注意以下几点:
- URL模板中配置Portal服务器的URL地址时,必须配置域名形式的地址。
[AC] url-template name huawei [AC-url-template-huawei] url http://Portal服务器域名:8080/portal [AC-url-template-huawei] quit
- 在AC/交换机上通过free rule放行社交媒体网站的地址,保证终端在认证通过前能够访问社交媒体认证页面认证。
- 如果AC/交换机支持通过域名放行免认证资源,在认证前需要放行如下域名:
- 对于Google服务器,需要放行www.googleapis.com、apis.google.com、accounts.google.com。
- 对于Facebook服务器,需要放行connect.facebook.net、www.facebook.com。
- 对于Twitter服务器,需要放行api.twitter.com、abs.twimg.com、mobile.twitter.com、twitter.com。
<AC> system-view [AC] acl 6000 //创建一条编号在6000~6031之间的ACL规则,ACL规则中放行免认证域名 [AC-acl-adv-6000] rule 1 permit ip destination passthrough-domain www.googleapis.com //以放通www.googleapis.com为例 [AC-acl-adv-6000] quit [AC] free-rule-template name default_free_rule //进入免认证规则模板视图 [AC-free-rule-default_free_rule] free-rule acl 6000 //通过ACL放行免认证资源 [AC-free-rule-default_free_rule] quit
- 如果AC/交换机不支持通过域名放行免认证资源,通过命令提示符窗口运行“nslookup 完整主机名”可查到主机名对应的IP地址,然后通过IP地址形式放行免认证资源。
<AC> system-view [AC] portal free-rule 1 destination ip 216.58.200.42 mask 255.255.255.255 [AC] portal free-rule 1 destination ip 172.217.24.10 mask 255.255.255.255 [AC] portal free-rule 1 destination ip 172.217.160.74 mask 255.255.255.255 [AC] portal free-rule 1 destination ip 172.217.160.106 mask 255.255.255.255 [AC] portal free-rule 1 destination ip 216.58.200.234 mask 255.255.255.255 [AC] portal free-rule 1 destination ip 172.217.27.138 mask 255.255.255.255
- 如果AC/交换机支持通过域名放行免认证资源,在认证前需要放行如下域名:
- 如果企业自己搭建了DNS服务器,并且接入控制设备作为DHCP服务器,需要在接入控制设备上与终端通信的VLANIF接口下配置DNS服务器的地址。
[AC] interface vlanif 101 [AC-Vlanif101] ip address 192.168.0.1 255.255.255.0 [AC-Vlanif101] dhcp select interface [AC-Vlanif101] dhcp server dns-list 172.18.1.2 //配置DNS服务器地址,172.18.1.2是本地DNS服务器的地址,这里只是一个举例,请配置为实际的DNS服务器的地址。 [AC-Vlanif101] quit
- URL模板中配置Portal服务器的URL地址时,必须配置域名形式的地址。
- 社交媒体服务器与Agile Controller-Campus服务器之间必须网络可达。
操作步骤
- 配置与google认证服务器对接参数。
由于google api变更,当前仅支持2019年3月7日之前与控制器对接成功的谷歌应用。相关约束限制请参见:https://developers.google.com/+/scopes-shutdown和https://developers.google.com/people/legacy
- 配置与Facebook认证服务器对接参数。
- 配置与twitter认证服务器对接参数。
- 在业务管理器配置与google认证服务器、Facebook认证服务器、Twitter认证服务器的联动参数。
- 定制认证页面。
- 配置Portal页面推送策略。
- 将SSID添加到Agile Controller-Campus中,以便通过SSID对用户进行授权。
- 配置认证时使用社交媒体作为外部认证源。
- 配置授权结果和授权规则。