访客通过QQ和新浪微博帐号接入网络
为了方便终端用户使用已有的社交媒体帐号进行身份认证,业务管理器支持与QQ和新浪微博服务器进行联动,确保终端用户在不另外注册帐号的情况下使用自己的QQ或新浪微博帐号和密码在业务管理器的页面进行认证,通过认证之后可获得接入网络的权限。
数据规划
项目 |
数据 |
说明 |
|---|---|---|
SM+SC(RADIUS服务器+Portal服务器) |
域名:access.example.com |
与QQ和新浪微博服务器对接,Agile Controller-Campus服务器地址必须是域名形式。 |
访客认证后域ACL编号 |
3002 |
- |
访客接入网络的SSID |
guest |
需要在AC上配置,具体请参见无线环境中的Portal接入(含MAC优先)中的步骤6。 |
配置思路
- 配置Agile Controller-Campus与QQ服务器和新浪微博服务器进行对接。
- 定制认证页面,访客未认证访问网络时,自动跳转到访客认证页面。
- 定制Portal页面推送规则,对访客推送定制的认证页面。
- 配置认证时使用社交媒体作为外部认证源,增加授权结果和授权规则,对访客身份认证成功后授予访问控制权限。
前提条件
- 在AC/交换机和Agile Controller-Campus上已完成Portal认证的配置,具体请参见Portal的配置举例。在AC上URL模板下配置Portal认证URL时,请配置为域名形式的URL地址,不需要带端口号,如:http://access.example.com/portal。在腾讯互联平台配置应用的回调地址时,不支持URL地址中带有端口号,所以只能把Portal服务器的端口改为80端口(如果是https协议,Portal服务器的端口需要改为443端口),故这里不需要再输入端口号。
[AC] url-template name huawei [AC-url-template-huawei] url http://access.example.com/portal [AC-url-template-huawei] quit
- 社交媒体服务器(QQ、新浪微博)与Agile Controller-Campus服务器之间必须网络可达。
- 在AC/交换机上通过free rule放行QQ和新浪微博网站的地址,保证终端在认证通过前能够访问QQ和新浪微博页面认证。
- 如果AC/交换机支持通过域名放行免认证资源,在认证前需要放行如下域名:
- QQ服务器
需要放行*.qq.com、*.gtimg.com、*.qlogo.cn、*.drcom.com.cn、*.wgimg.com、*.gtimg.cn、*.gstatic.com、*.gpic.com、*.msftncsi.com。
- 新浪微博服务器
需要放行login.sina.com.cn、*.weibo.cn、*.weibo.com。
- QQ服务器
- 如果AC/交换机不支持通过域名放行免认证资源,通过命令提示符窗口运行“nslookup 完整主机名”可查到主机名对应的IP地址,然后通过IP地址形式放行免认证资源。
- 如果AC/交换机支持通过域名放行免认证资源,在认证前需要放行如下域名:
操作步骤
- 将所有Portal服务器HTTP协议的端口号修改为80,HTTPS协议的端口号修改为443。
在腾讯互联平台配置应用的回调地址时,不支持URL地址中带有端口号,所以只能把Portal服务器的端口改为80端口,以便不需要输入端口号也能访问到Portal服务器地址,如果使用https协议,则需要将Portal服务器的端口改为443。
- 修改Portal服务器的端口号。
- Windows操作系统
- 选择,输入cmd,按“Enter”,打开命令行窗口。
- 输入netstat -ano|findstr "80",按“Enter”,查看80端口是否被占用。
如果列表中有80端口,表示80端口已被占用,请释放80端口,保证80端口处于未被占用的状态。
- 输入netstat -ano|findstr "443",按“Enter”,查看443端口是否被占用。
如果列表中有443端口,表示443端口已被占用,请释放443端口,保证443端口处于未被占用的状态。
- 进入文件夹“D:\AgileController\PortalServer\conf”,其中D:\AgileController为Agile Controller-Campus的安装路径,请根据实际安装目录修改。
- 将此文件夹下的“server.xml”备份一份。
- 用Notepad++打开“server.xml”。
- 将“server.xml”中下图所示的两段代码分别复制一份到各自的下方,并修改新粘贴的代码中的内容:
- 新粘贴的两段代码中的executor="tomcatThreadPool"都修改为executor="tomcatThreadPool_qq"
- 第一段新粘贴的代码中的port="8080"修改为port="80"
- 第一段新粘贴的代码中的redirectPort="8445"修改为redirectPort="443"
- 第二段新粘贴的代码中的port="8445"修改为port="443"
- 修改完成后,保存文件。
- Euler操作系统
将80端口映射到8080端口,将8445端口映射到443端口。
- 执行终端命令iptables -t nat -L -nv --line-numbers,查看80端口和443端口是否已映射到其他端口,如果已被映射到其他端口,请记录下映射到的端口(本例假设80端口已映射到30080端口,443端口已映射到30081端口)。
- 打开“root主文件夹/文件系统/opt/AgileController/PortalServer/conf”,其中opt/AgileController为Agile Controller-Campus的安装路径,请根据实际安装目录修改。
- 将此目录下的“server.xml”备份一份。
- 使用gedit打开“server.xml”。
- 将“server.xml”中下图所示的两段代码分别复制一份到各自的下方,并修改新粘贴的代码中的内容:
- 新粘贴的两段代码中的executor="tomcatThreadPool"都修改为executor="tomcatThreadPool_qq"
- 第一段新粘贴的代码中的port="8080"修改为port="30080"(30080为80端口已映射到的端口,请根据实际端口修改)
- 第一段新粘贴的代码中的redirectPort="8445"修改为redirectPort="30081"(30081为443端口已映射到的端口,请根据实际端口修改)
- 第二段新粘贴的代码中的port="8445"修改为port="30081"(30081为443端口已映射到的端口,请根据实际端口修改)
- 如果80端口和443端口没有被映射到其他端口,请先执行命令iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port xxxx将80端口和443端口分别映射到一个未使用的端口,然后再按照上述方法修改“server.xml”文件的内容。
- Windows操作系统
- 修改Portal服务器的端口号。
- 配置与QQ服务器对接参数。
- 创建QQ应用。
QQ应用是建立QQ服务器与Agile Controller-Campus服务器通信的桥梁,QQ服务器通过该应用来授权Agile Controller-Campus服务器获取用户的昵称等信息。
- 在地址栏打开http://connect.qq.com/,单击“登录”,登录QQ互联平台。
- 选择,完善个人信息,注册成为开发者。成为开发者之后才能创建应用。
- 在“管理中心”菜单下,单击“创建应用”,创建一个“网站”应用。其中“网站地址”指应用对应的网站的地址,您需要在您的网站首页HTML代码HEAD标签中添加对应的腾讯给出的验证代码,才能进行验证,截图中的网站地址只是一个示例,请填写实际的网站地址。
该网站的地址必须是通过公网域名可以访问的地址,否则会验证失败。
“回调地址”用于QQ服务器校验用户信息后,将授权结果发送给Portal服务器,以便Portal服务器根据此结果确定用户是否能继续进行认证。“回调地址”请填写Portal服务器的地址。Portal服务器的地址必须为域名形式,且不能带端口。如:本例Portal服务器的域名为access.example.com,则填写http://access.example.com/portal或者https://access.example.com/portal。多个Portal服务器的地址以分号分隔。
在Agile Controller-Campus上定制页面时,定制页面的推送协议需要跟此处输入的回调地址保持一致,如果这里输入“https://Portal服务器域名/portal”,则在Agile Controller-Campus上定制页面时,必须选中“使用https协议推送页面”;如果这里输入“http://Portal服务器域名/portal”,则在Agile Controller-Campus上定制页面时,必须取消选中“使用https协议推送页面”。HTTP是不安全的协议,建议选择HTTPS。
- 创建应用完成后,请记录该应用对应的“APP ID”和“APP KEY”,在Agile Controller-Campus需要配置这两个参数的值。
- 创建QQ应用。
- 配置与新浪微博服务器对接参数。
- 创建新浪微博应用。
新浪微博应用是建立新浪微博服务器与Agile Controller-Campus服务器通信的桥梁,新浪微博服务器通过该应用来授权Agile Controller-Campus服务器获取用户的昵称等信息。
- 在地址栏打开http://open.weibo.com/connect,单击“登录”,登录微博开放平台。
- 单击,填写应用名称,应用分类选择“网页应用”,单击“创建”。
完善个人信息并进行邮箱验证,验证通过后才能创建应用。
- 填写应用的基本信息,单击“保存以上信息”。
- 记录“App Key”和“App Secret”,在Agile Controller-Campus需要配置这两个参数的值。
- 进行开发者身份认证,并将应用提交审核后,应用才能上线。
- 在左侧单击“高级信息”菜单,配置授权回调页地址。
“授权回调页”用于新浪微博服务器校验用户信息后,将授权结果发送给Portal服务器,以便Portal服务器根据此结果确定用户是否能继续进行认证;“取消授权回调页”用于用户在授权页面取消授权后,将用户取消授权的结果发送给Portal服务器,Portal服务器返回用户认证失败。“授权回调页”和“取消授权回调页”需要填写“http://Portal服务器域名/portal”或者“https://Portal服务器域名/portal”。新浪微博开放平台的授权回调页不支持添加多个,如果存在多个Portal服务器,请将多台Portal服务器设置为相同的域名。
在Agile Controller-Campus上定制页面时,定制页面的推送协议需要跟此处输入的授权回调页地址保持一致,如果这里输入“https://Portal服务器域名/portal”,则在Agile Controller-Campus上定制页面时,必须选中“使用https协议推送页面”;如果这里输入“http://Portal服务器域名/portal”,则在Agile Controller-Campus上定制页面时,必须取消选中“使用https协议推送页面”。HTTP是不安全的协议,建议选择HTTPS。
- 单击“提交”。
如果还未进行开发者身份认证,无法将应用提交审核,可先在左侧单击“测试信息”菜单,添加用于测试的微博帐号进行测试。
- 在地址栏打开http://open.weibo.com/connect,单击“登录”,登录微博开放平台。
- 创建新浪微博应用。
- 在业务管理器配置与社交媒体服务器的联动参数。
- 选择。
社交媒体类型选中“QQ”和“新浪微博”,填写对接参数。
- 选择。
- 定制认证页面。
- 输入页面基本参数。
如果在允许访客使用社交媒体帐号认证的同时还需要允许访客自注册帐号,则需要选中“是否允许访客自注册”。
- 如果在社交媒体服务器回调地址配置的是“https://Portal服务器域名/portal”,则选中“使用https协议推送页面”。
- 如果在社交媒体服务器回调地址配置的是“http://Portal服务器域名/portal”,则取消选中“使用https协议推送页面”。
- 单击“确定”,定制“认证页面”、“认证成功页面”和“用户须知页面”,在认证页面添加QQ和新浪微博认证的图标。
- 输入页面基本参数。
- 配置Portal页面推送策略。
- 选择,单击“增加”。
参数
取值
说明
名称
社交媒体页面推送策略
-
自定义参数
ssid=guest
- “ssid=guest”表示只要未认证的访客选择guest这个ssid,AC就会推送“推送页面”。
- 自定义参数的详细说明请参见配置Portal页面推送策略。
- 自定义参数中用到了哪个URL参数,需要AC通过URL参数模板发送给Portal服务器才能匹配条件。例如本例配置了url-parameter ssid ssid,参数中包含ssid参数,故能够正常匹配条件。
推送页面
选择在5中定制的页面。
-
- 选择,单击“增加”。
- 将SSID添加到Agile Controller-Campus中,以便通过SSID对用户进行授权。
- 单击“增加”,添加访客SSID。
该SSID的名称(含大小写)必须与AC上配置的SSID的名称一致。
- 单击“增加”,添加访客SSID。
- 配置认证时使用社交媒体作为外部认证源。
- 选择,单击“增加”。
- 选择,单击“增加”。
- 配置授权结果和授权规则。
- 选择,单击“增加”。
- 选择,单击“增加”。
- 选择,单击“增加”。
- 修改缺省授权规则,将缺省授权规则的授权结果改为拒绝接入。
- 单击“缺省授权规则”右侧的
。
- 将“授权结果”改为“拒绝接入”。
- 单击“缺省授权规则”右侧的
。
