访客通过QQ和新浪微博帐号接入网络

WLAN产品对接配置专题

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

访客通过QQ和新浪微博帐号接入网络

为了方便终端用户使用已有的社交媒体帐号进行身份认证，业务管理器支持与QQ和新浪微博服务器进行联动，确保终端用户在不另外注册帐号的情况下使用自己的QQ或新浪微博帐号和密码在业务管理器的页面进行认证，通过认证之后可获得接入网络的权限。

举例产品和版本

产品类型	产品名称	版本
RADIUS服务器 Portal服务器	Agile Controller-Campus	V100R003C00

组网需求

某企业已部署一套身份认证系统，对所有通过无线接入企业网络的人员进行准入控制，确保只有合法用户才能接入网络。员工通过PC接入，访客通过手机接入。对于企业的员工，管理员已统一创建本地帐号，员工通过本地帐号进行认证，员工部分的配置本例不做详细介绍。现在针对访客帐号，要求配置访客能够使用QQ或新浪微博帐号进行身份认证。

数据规划

表1-18 数据规划

项目	数据	说明
SM+SC（RADIUS服务器+Portal服务器）	域名：access.example.com	与QQ和新浪微博服务器对接，Agile Controller-Campus服务器地址必须是域名形式。
访客认证后域ACL编号	3002	-
访客接入网络的SSID	guest	需要在AC上配置，具体请参见无线环境中的Portal接入（含MAC优先）中的步骤6。

配置思路

配置Agile Controller-Campus与QQ服务器和新浪微博服务器进行对接。
定制认证页面，访客未认证访问网络时，自动跳转到访客认证页面。
定制Portal页面推送规则，对访客推送定制的认证页面。
配置认证时使用社交媒体作为外部认证源，增加授权结果和授权规则，对访客身份认证成功后授予访问控制权限。

前提条件

在AC/交换机和Agile Controller-Campus上已完成Portal认证的配置，具体请参见Portal的配置举例。
在AC上URL模板下配置Portal认证URL时，请配置为域名形式的URL地址，不需要带端口号，如：http://access.example.com/portal。在腾讯互联平台配置应用的回调地址时，不支持URL地址中带有端口号，所以只能把Portal服务器的端口改为80端口（如果是https协议，Portal服务器的端口需要改为443端口），故这里不需要再输入端口号。
```
[AC] url-template name huawei
[AC-url-template-huawei] url http://access.example.com/portal
[AC-url-template-huawei] quit
```
社交媒体服务器（QQ、新浪微博）与Agile Controller-Campus服务器之间必须网络可达。
在AC/交换机上通过free rule放行QQ和新浪微博网站的地址，保证终端在认证通过前能够访问QQ和新浪微博页面认证。
- 如果AC/交换机支持通过域名放行免认证资源，在认证前需要放行如下域名：
  - QQ服务器
    需要放行*.qq.com、*.gtimg.com、*.qlogo.cn、*.drcom.com.cn、*.wgimg.com、*.gtimg.cn、*.gstatic.com、*.gpic.com、*.msftncsi.com。
  - 新浪微博服务器
    需要放行login.sina.com.cn、*.weibo.cn、*.weibo.com。
- 如果AC/交换机不支持通过域名放行免认证资源，通过命令提示符窗口运行“nslookup 完整主机名”可查到主机名对应的IP地址，然后通过IP地址形式放行免认证资源。

操作步骤

将所有Portal服务器HTTP协议的端口号修改为80，HTTPS协议的端口号修改为443。
在腾讯互联平台配置应用的回调地址时，不支持URL地址中带有端口号，所以只能把Portal服务器的端口改为80端口，以便不需要输入端口号也能访问到Portal服务器地址，如果使用https协议，则需要将Portal服务器的端口改为443。
1. 登录安装业务控制器的服务器。
2. 修改Portal服务器的端口号。
  - Windows操作系统
    1. 选择“开始 > 运行”，输入cmd，按“Enter”，打开命令行窗口。
    2. 输入netstat -ano|findstr "80"，按“Enter”，查看80端口是否被占用。
      如果列表中有80端口，表示80端口已被占用，请释放80端口，保证80端口处于未被占用的状态。
    3. 输入netstat -ano|findstr "443"，按“Enter”，查看443端口是否被占用。
      如果列表中有443端口，表示443端口已被占用，请释放443端口，保证443端口处于未被占用的状态。
    4. 进入文件夹“D:\AgileController\PortalServer\conf”，其中D:\AgileController为Agile Controller-Campus的安装路径，请根据实际安装目录修改。
    5. 将此文件夹下的“server.xml”备份一份。
    6. 用Notepad++打开“server.xml”。
    7. 将“server.xml”中下图所示的两段代码分别复制一份到各自的下方，并修改新粘贴的代码中的内容：
      
      新粘贴的两段代码中的executor="tomcatThreadPool"都修改为executor="tomcatThreadPool_qq"
      
      第一段新粘贴的代码中的port="8080"修改为port="80"
      
      第一段新粘贴的代码中的redirectPort="8445"修改为redirectPort="443"
      
      第二段新粘贴的代码中的port="8445"修改为port="443"
    8. 修改完成后，保存文件。
  - Euler操作系统
    将80端口映射到8080端口，将8445端口映射到443端口。
    1. 执行终端命令iptables -t nat -L -nv --line-numbers，查看80端口和443端口是否已映射到其他端口，如果已被映射到其他端口，请记录下映射到的端口（本例假设80端口已映射到30080端口，443端口已映射到30081端口）。
    2. 打开“root主文件夹/文件系统/opt/AgileController/PortalServer/conf”，其中opt/AgileController为Agile Controller-Campus的安装路径，请根据实际安装目录修改。
    3. 将此目录下的“server.xml”备份一份。
    4. 使用gedit打开“server.xml”。
    5. 将“server.xml”中下图所示的两段代码分别复制一份到各自的下方，并修改新粘贴的代码中的内容：
      - 新粘贴的两段代码中的executor="tomcatThreadPool"都修改为executor="tomcatThreadPool_qq"
      - 第一段新粘贴的代码中的port="8080"修改为port="30080"（30080为80端口已映射到的端口，请根据实际端口修改）
      - 第一段新粘贴的代码中的redirectPort="8445"修改为redirectPort="30081"（30081为443端口已映射到的端口，请根据实际端口修改）
      - 第二段新粘贴的代码中的port="8445"修改为port="30081"（30081为443端口已映射到的端口，请根据实际端口修改）
    6. 如果80端口和443端口没有被映射到其他端口，请先执行命令iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port xxxx将80端口和443端口分别映射到一个未使用的端口，然后再按照上述方法修改“server.xml”文件的内容。
3. 端口号修改完成后，需要重新启动Agile Controller-Campus。
配置与QQ服务器对接参数。
1. 申请QQ帐号。
  要支持终端用户使用已有的QQ帐号进行身份认证的功能，企业必须向腾讯申请自己独立的QQ帐号，并通过腾讯的实名认证注册成为开发者，以便获得腾讯的合法授权。
  1. 运行Web浏览器。
  2. 在地址栏打开http://zc.qq.com/chs/index.html?from=pt。
  3. 注册一个帐号。
2. 创建QQ应用。
  QQ应用是建立QQ服务器与Agile Controller-Campus服务器通信的桥梁，QQ服务器通过该应用来授权Agile Controller-Campus服务器获取用户的昵称等信息。
  1. 在地址栏打开http://connect.qq.com/，单击“登录”，登录QQ互联平台。
  2. 选择“QQ登录 > 申请加入”，完善个人信息，注册成为开发者。成为开发者之后才能创建应用。
  3. 在“管理中心”菜单下，单击“创建应用”，创建一个“网站”应用。
    其中“网站地址”指应用对应的网站的地址，您需要在您的网站首页HTML代码HEAD标签中添加对应的腾讯给出的验证代码，才能进行验证，截图中的网站地址只是一个示例，请填写实际的网站地址。
    
    该网站的地址必须是通过公网域名可以访问的地址，否则会验证失败。
    
    “回调地址”用于QQ服务器校验用户信息后，将授权结果发送给Portal服务器，以便Portal服务器根据此结果确定用户是否能继续进行认证。“回调地址”请填写Portal服务器的地址。Portal服务器的地址必须为域名形式，且不能带端口。如：本例Portal服务器的域名为access.example.com，则填写http://access.example.com/portal或者https://access.example.com/portal。多个Portal服务器的地址以分号分隔。
    
    在Agile Controller-Campus上定制页面时，定制页面的推送协议需要跟此处输入的回调地址保持一致，如果这里输入“https://Portal服务器域名/portal”，则在Agile Controller-Campus上定制页面时，必须选中“使用https协议推送页面”；如果这里输入“http://Portal服务器域名/portal”，则在Agile Controller-Campus上定制页面时，必须取消选中“使用https协议推送页面”。
    
    HTTP是不安全的协议，建议选择HTTPS。
  4. 创建应用完成后，请记录该应用对应的“APP ID”和“APP KEY”，在Agile Controller-Campus需要配置这两个参数的值。
配置与新浪微博服务器对接参数。
1. 申请新浪微博帐号。
  要支持终端用户使用已有的新浪微博帐号进行身份认证的功能，企业必须向新浪微博申请自己独立的新浪微博帐号，并通过新浪微博的实名认证，以便获得新浪微博的合法授权。
  1. 运行Web浏览器。
  2. 在地址栏打开http://weibo.com/signup/signup.php?。
  3. 注册一个帐号。
2. 创建新浪微博应用。
  新浪微博应用是建立新浪微博服务器与Agile Controller-Campus服务器通信的桥梁，新浪微博服务器通过该应用来授权Agile Controller-Campus服务器获取用户的昵称等信息。
  1. 在地址栏打开http://open.weibo.com/connect，单击“登录”，登录微博开放平台。
  2. 单击“微连接 > 其他”，填写应用名称，应用分类选择“网页应用”，单击“创建”。
    完善个人信息并进行邮箱验证，验证通过后才能创建应用。
  3. 填写应用的基本信息，单击“保存以上信息”。
  4. 记录“App Key”和“App Secret”，在Agile Controller-Campus需要配置这两个参数的值。
  5. 进行开发者身份认证，并将应用提交审核后，应用才能上线。
  6. 在左侧单击“高级信息”菜单，配置授权回调页地址。
    “授权回调页”用于新浪微博服务器校验用户信息后，将授权结果发送给Portal服务器，以便Portal服务器根据此结果确定用户是否能继续进行认证；“取消授权回调页”用于用户在授权页面取消授权后，将用户取消授权的结果发送给Portal服务器，Portal服务器返回用户认证失败。“授权回调页”和“取消授权回调页”需要填写“http://Portal服务器域名/portal”或者“https://Portal服务器域名/portal”。新浪微博开放平台的授权回调页不支持添加多个，如果存在多个Portal服务器，请将多台Portal服务器设置为相同的域名。
    
    在Agile Controller-Campus上定制页面时，定制页面的推送协议需要跟此处输入的授权回调页地址保持一致，如果这里输入“https://Portal服务器域名/portal”，则在Agile Controller-Campus上定制页面时，必须选中“使用https协议推送页面”；如果这里输入“http://Portal服务器域名/portal”，则在Agile Controller-Campus上定制页面时，必须取消选中“使用https协议推送页面”。
    
    HTTP是不安全的协议，建议选择HTTPS。
  7. 单击“提交”。
    如果还未进行开发者身份认证，无法将应用提交审核，可先在左侧单击“测试信息”菜单，添加用于测试的微博帐号进行测试。
在业务管理器配置与社交媒体服务器的联动参数。
1. 选择“系统 > 外部认证源 > 第三方应用”。
  社交媒体类型选中“QQ”和“新浪微博”，填写对接参数。
定制认证页面。
1. 选择“策略 > 准入控制 > 页面定制 > 页面定制”。
2. 选择“系统-会员+社交帐号认证模板”，单击“由此模板新建”。
3. 输入页面基本参数。
  如果在允许访客使用社交媒体帐号认证的同时还需要允许访客自注册帐号，则需要选中“是否允许访客自注册”。
  - 如果在社交媒体服务器回调地址配置的是“https://Portal服务器域名/portal”，则选中“使用https协议推送页面”。
  - 如果在社交媒体服务器回调地址配置的是“http://Portal服务器域名/portal”，则取消选中“使用https协议推送页面”。
4. 单击“确定”，定制“认证页面”、“认证成功页面”和“用户须知页面”，在认证页面添加QQ和新浪微博认证的图标。
5. 单击“下一步”，采用同样的方式在PC页面添加QQ和新浪微博认证图标。
6. 单击“发布”。

配置Portal页面推送策略。

选择“策略 > 准入控制 > 页面定制 > Portal页面推送策略”，单击“增加”。

参数	取值	说明
名称	社交媒体页面推送策略	-
自定义参数	ssid=guest	“ssid=guest”表示只要未认证的访客选择guest这个ssid，AC就会推送“推送页面”。自定义参数的详细说明请参见配置Portal页面推送策略。自定义参数中用到了哪个URL参数，需要AC通过URL参数模板发送给Portal服务器才能匹配条件。例如本例配置了url-parameter ssid ssid，参数中包含ssid参数，故能够正常匹配条件。
推送页面	选择在5中定制的页面。	-

单击“确定”。

将SSID添加到Agile Controller-Campus中，以便通过SSID对用户进行授权。
1. 选择“策略 > 准入控制 > 策略元素 > SSID”。
2. 单击“增加”，添加访客SSID。
  该SSID的名称（含大小写）必须与AC上配置的SSID的名称一致。
配置认证时使用社交媒体作为外部认证源。
1. 选择“策略 > 准入控制 > 认证授权 > 认证规则”，单击“增加”。
  
  参数
  
  取值
  
  名称
  
  社交媒体
  
  定制条件
  
  社交媒体帐号
  
  数据源
  
  第三方应用数据源
  
  请选择允许使用的认证协议
  
  选择全部协议
2. 单击“确定”。
配置授权结果和授权规则。
1. 选择“策略 > 准入控制 > 认证授权 > 授权结果”，单击“增加”。
  
  参数
  
  取值
  
  名称
  
  社交媒体
  
  ACL号
  
  3002（已经在交换机上配置好，认证通过之后访客允许访问的网络资源由此ACL号设定）
2. 单击“确定”。
3. 选择“策略 > 准入控制 > 认证授权 > 授权规则”，单击“增加”。
  
  参数
  
  取值
  
  名称
  
  社交媒体的授权规则
  
  定制条件
  
  社交媒体帐号
  
  授权结果
  
  社交媒体
4. 单击“确定”。
修改缺省授权规则，将缺省授权规则的授权结果改为拒绝接入。
1. 选择“策略 > 准入控制 > 认证授权 > 授权规则”。
2. 单击“缺省授权规则”右侧的。
3. 将“授权结果”改为“拒绝接入”。

参数	取值
名称	社交媒体
定制条件	社交媒体帐号
数据源	第三方应用数据源
请选择允许使用的认证协议	选择全部协议

参数	取值
名称	社交媒体
ACL号	3002（已经在交换机上配置好，认证通过之后访客允许访问的网络资源由此ACL号设定）

参数	取值
名称	社交媒体的授权规则
定制条件	社交媒体帐号
授权结果	社交媒体

验证

以QQ认证为例。

用户通过手机连接Wi-Fi，选择guest热点，访问Internet，被重定向至访客认证页面。
在认证页面，单击QQ对应的图标，显示QQ登录页面。
输入QQ帐号和密码，单击“登录”，开始认证。
认证成功后显示认证成功页面。
在业务管理器选择“资源 > 用户 > 在线用户管理”，可以看到帐号的在线信息，帐号为“QQ\昵称”。
在业务管理器选择“资源 > 用户 > RADIUS日志”，可查到帐号的RADIUS认证日志。

翻译

English

下载文档

更新时间：2020-12-17

文档编号：EDOC1000113778

浏览量：175642

下载量：10083

平均得分:

本文档适用于这些产品