访客通过QQ和新浪微博帐号接入网络
为了方便终端用户使用已有的社交媒体帐号进行身份认证,业务管理器支持与QQ和新浪微博服务器进行联动,确保终端用户在不另外注册帐号的情况下使用自己的QQ或新浪微博帐号和密码在业务管理器的页面进行认证,通过认证之后可获得接入网络的权限。
数据规划
项目 |
数据 |
说明 |
---|---|---|
SM+SC(RADIUS服务器+Portal服务器) |
域名:access.example.com |
与QQ和新浪微博服务器对接,Agile Controller-Campus服务器地址必须是域名形式。 |
访客认证后域ACL编号 |
3002 |
- |
访客接入网络的SSID |
guest |
需要在AC上配置,具体请参见无线环境中的Portal接入(含MAC优先)中的步骤6。 |
配置思路
- 配置Agile Controller-Campus与QQ服务器和新浪微博服务器进行对接。
- 定制认证页面,访客未认证访问网络时,自动跳转到访客认证页面。
- 定制Portal页面推送规则,对访客推送定制的认证页面。
- 配置认证时使用社交媒体作为外部认证源,增加授权结果和授权规则,对访客身份认证成功后授予访问控制权限。
前提条件
- 在AC/交换机和Agile Controller-Campus上已完成Portal认证的配置,具体请参见Portal的配置举例。在AC上URL模板下配置Portal认证URL时,请配置为域名形式的URL地址,不需要带端口号,如:http://access.example.com/portal。在腾讯互联平台配置应用的回调地址时,不支持URL地址中带有端口号,所以只能把Portal服务器的端口改为80端口(如果是https协议,Portal服务器的端口需要改为443端口),故这里不需要再输入端口号。
[AC] url-template name huawei [AC-url-template-huawei] url http://access.example.com/portal [AC-url-template-huawei] quit
- 社交媒体服务器(QQ、新浪微博)与Agile Controller-Campus服务器之间必须网络可达。
- 在AC/交换机上通过free rule放行QQ和新浪微博网站的地址,保证终端在认证通过前能够访问QQ和新浪微博页面认证。
- 如果AC/交换机支持通过域名放行免认证资源,在认证前需要放行如下域名:
- QQ服务器
需要放行*.qq.com、*.gtimg.com、*.qlogo.cn、*.drcom.com.cn、*.wgimg.com、*.gtimg.cn、*.gstatic.com、*.gpic.com、*.msftncsi.com。
- 新浪微博服务器
需要放行login.sina.com.cn、*.weibo.cn、*.weibo.com。
- QQ服务器
- 如果AC/交换机不支持通过域名放行免认证资源,通过命令提示符窗口运行“nslookup 完整主机名”可查到主机名对应的IP地址,然后通过IP地址形式放行免认证资源。
- 如果AC/交换机支持通过域名放行免认证资源,在认证前需要放行如下域名:
操作步骤
- 将所有Portal服务器HTTP协议的端口号修改为80,HTTPS协议的端口号修改为443。
在腾讯互联平台配置应用的回调地址时,不支持URL地址中带有端口号,所以只能把Portal服务器的端口改为80端口,以便不需要输入端口号也能访问到Portal服务器地址,如果使用https协议,则需要将Portal服务器的端口改为443。
- 配置与QQ服务器对接参数。
- 配置与新浪微博服务器对接参数。
- 在业务管理器配置与社交媒体服务器的联动参数。
- 定制认证页面。
- 配置Portal页面推送策略。
- 将SSID添加到Agile Controller-Campus中,以便通过SSID对用户进行授权。
- 配置认证时使用社交媒体作为外部认证源。
- 配置授权结果和授权规则。
- 修改缺省授权规则,将缺省授权规则的授权结果改为拒绝接入。