“Webauth”的版本间的差异

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索
用户名认证
短信认证
 
(未显示同一用户的38个中间版本)
第1行: 第1行:
 
{{DISPLAYTITLE:Web认证}}
 
{{DISPLAYTITLE:Web认证}}
== Web认证 ==
+
== 概述 ==
 
“Web认证”主要包括两大功能:
 
“Web认证”主要包括两大功能:
* 用户名认证:基于用户名口令进行认证。
+
* 用户名认证:基于用户名口令进行认证,支持本地认证、Email认证、LDAP认证和Radius认证四种方式。
* 营销认证:微信登录等社交网络登录,可以实现网络营销的目的。
+
* 第三方认证:通过第三方接口进行认证,支持钉钉扫码认证、企业微信扫码认证、
 +
* 访客认证:手机短信认证、二维码认证等方式,可用于公众网络实名上网。
 
结合其他模块,还可以实现:
 
结合其他模块,还可以实现:
 
* 显示拨入的IP和用户名(实时流量图)。
 
* 显示拨入的IP和用户名(实时流量图)。
* 记录Web认证用户的上网行为(上网记录模块)。
+
* 记录Web认证用户的上网行为( [[wfquery|上网记录模块]])。
* 配置Web认证用户的上网策略(上网行为管理各模块)。
+
* 配置Web认证用户的上网策略([[Policy|行为管理模块]])。
 +
* Web认证的日志查询( [[account|账号管理模块]])
  
用户名认证和营销认证都需要先在“本地账号”中创建可用账号。
+
用户名认证和第三方认证都需要先在“本地账号”中创建可用账号。
  
 
== 用户名认证 ==
 
== 用户名认证 ==
第17行: 第19行:
 
其他配置项:
 
其他配置项:
 
* IP范围:启用Web认证的IP段。
 
* IP范围:启用Web认证的IP段。
* 认证方式
+
* 认证方式。
** 本地认证:在“本地账号”中配置的账号,且该账号必须有“Web认证”的权限。
+
** 本地认证:通过“账号管理”中配置的本地账号进行认证,该本地账号必须有“Web认证”的权限。
** 远程认证:远程radius认证。例如:可以发送到AD域进行radius认证,参见:[[Enable_AD_Radius|如何配置域控制器的Radius服务?]]
+
** Email认证:到指定的Email服务器进行认证,支持POP和IMAP两种邮件服务器。
** 两者都启用时,先做本地认证,如果本地未发现此账号,再进行远程认证。
+
** LDAP认证:到指定的LDAP服务器(如:域控制器)进行认证,需要配置LDAP服务器的IP地址、端口和域名。
 +
** Radius认证:发送到第三方Radius服务器进行认证。
 +
** 本地+邮箱混合认证:先进行本地认证、不存在该本地用户时进行邮箱认证。
 +
** 本地+域混合认证:先进行本地认证、不存在该本地用户时进行域认证。
 +
** 本地+Radius混合认证:先进行本地认证、不存在该本地用户时进行Raidus认证。
 
* 超时选项:超时会要求重新认证。
 
* 超时选项:超时会要求重新认证。
 +
* 本地账号在有效期内无需重新认证。
  
[[文件:Faq_webauth001.jpg]]
+
[[文件:Faq_webauth001.png|900px]]
  
== 启用营销认证 ==
+
== 第三方认证 ==
=== 微信WiFi ===
+
“营销认证”集成了微信的“微信WiFi”功能,使客户机可以通过关注公众号实现认证上网。需要在微信公众平台中启用“微信Wifi”,然后在WFilter ROS中配置公众平台的APPID等参数,WFilter ROS的配置如下图:
+
  
[[文件:Faq_webauth003.jpg]]
+
=== 钉钉认证 ===
 +
启用钉钉认证后,用户需要用钉钉扫描二维码才可以登录。需要在“钉钉开发者平台”中创建扫码登录应用,并且记录AppID和AppSecret等配置。
  
手机连接WiFi后,打开任意Web页面会显示认证页面,点击即可关注公众号并上网。
+
[[文件:Faq_webauth_dingtalk.png|900px]]
  
[[文件:Faq_webauth004.jpg]]
+
=== 企业微信认证 ===
 +
启用企业微信认证后,用户需要用企业微信扫描二维码才可以登录。需要在“企业微信平台”中创建扫码登录应用,并且记录企业ID,应用ID(AgentID)和AppSecret等配置。
  
微信公众平台中开启微信Wifi,请参见:https://wifi.weixin.qq.com/biz/mp/join-process.xhtml
+
[[文件:Faq_webauth_bwechat.png|900px]]
  
=== 自定义营销方案 ===
 
“自定义营销方案”可以把营销认证重定向到第三方URL,只要第三方URL参照WFilter ROS的接口标准,即可实现认证。
 
利用“自定义营销方案”,您可以实现更多的自定义功能,比如:
 
* 微博分享上网,必须分享到微博才可以上网。
 
* 广告时段后上网。
 
* 诸多功能,完全取决于您自己的需要。
 
  
“自定义营销方案”的相关接口,请参考:[[API_WebAuth|WFilter ROS自定义营销方案接口文档]]
+
== 访客认证 ==
 +
 
 +
=== 短信认证 ===
 +
“短信认证”需要用户输入手机号,并通过短信验证码进行校验,从而记录手机号实现WiFi上网实名认证。短信认证需要调用Web API的短信平台接口来发送短信。配置项如下:
 +
* 短信接口URL:发送短信的Web API的URL地址。
 +
* 短信内容:通过POST方式发送到“短信接口URL”的内容,替换符号:%PHONE%(手机号),%CODE%(验证码)
 +
* 验证码长度:验证码的长度
 +
* 验证码间隔:发送后,需要等待间隔后才可以再次发送。
 +
* 手机号黑白名单:对手机号进行黑白名单控制,点击“编辑”进行设置。
 +
 
 +
[[文件:Faq_webauth007.png|900px]]
 +
 
 +
=== 二维码认证 ===
 +
二维码认证采用的流程是“访客出示二维码 + 审核人审核通过”的认证流程。访客上网需要经过审核人的人工审核才能放行。如下图:
 +
 
 +
[[文件:Faq_webauth_qrcode.png|900px]]
 +
 
 +
== 设置 ==
 +
 
 +
[[文件:Faq_webauth009.png|900px]]
 +
 
 +
* 重定向:自动把未授权的访问重定向到认证页面
 +
** 仅HTTP,HTTP方式的访问会被重定向到认证页面,HTTPS方式会直接被阻止访问。
 +
** HTTP和HTTPS,HTTP和HTTPS方式的访问都会被重定向到认证页面。HTTPS的认证端口是认证端口加一。另外,HTTPS方式的认证页面会有浏览器证书告警,安装[[SSLInspect|SSL监控]]中的ca证书后即可去掉该告警信息。
 +
** 请注意:HTTPS重定向在“旁路模式”下不可用。
 +
* 识别模式:
 +
** 推荐用“根据MAC”的模式来基于mac地址识别客户机。
 +
** 如果下面接三层交换机,需要启用[[Maccd|多网段MAC地址收集器]]来识别客户机的mac地址。
 +
* MAC白名单:不需要认证的MAC地址列表,一个MAC地址一行。
 +
* 例外网址,不需要认证就可以访问的网站或者IP。格式如下:
 +
** IP地址,如:192.168.1.100
 +
** IP段,如:192.168.1.0/24
 +
** 域名,如:*.google.com,支持*号通配符。
 +
 
 
== 常见问题 ==
 
== 常见问题 ==
 
=== 能否根据接口来设置不同的web验证方式? ===
 
=== 能否根据接口来设置不同的web验证方式? ===
 
* 问:能否根据接口来设置不同的web验证方式?比如:1网口做pppoe,2网口做web认证。
 
* 问:能否根据接口来设置不同的web验证方式?比如:1网口做pppoe,2网口做web认证。
 
* 答:不可以。只能根据IP段来设置,您可以给两个网口设置不同的网段来实现。
 
* 答:不可以。只能根据IP段来设置,您可以给两个网口设置不同的网段来实现。
 +
 +
== 相关链接 ==
 +
* [http://www.imfirewall.com/blog/post/540.html 如何用钉钉实现局域网上网实名认证?]
 +
* [http://www.imfirewall.com/blog/post/534.html 如何用企业微信实现局域网上网实名认证?]
 +
* [http://www.imfirewall.com/blog/post/484.html 如何用移动10086云MAS平台搭建短信实名认证?]
 +
* [http://www.imfirewall.com/blog/post/434.html 如何用阿里云短信平台搭建WiFi上网实名认证?]
 +
* [http://www.imfirewall.com/blog/post/433.html 公共场所无线WiFi实名认证方案]
 +
* [http://www.imfirewall.com/blog/post/432.html 微信WiFi还能走多久?微信Wi-Fi功能最新测试结果分析。]
 +
* [http://www.imfirewall.com/blog/post/257.html 公共网络如何设置Web认证上网?]
 +
* [http://www.imfirewall.com/blog/post/403.html 短信认证网关的具体实现]
 +
* [http://www.imfirewall.com/blog/post/387.html 短信认证方案,用手机短信进行上网认证如何实现?]
 +
* [http://www.imfirewall.com/blog/post/425.html 如何用手机短信实现WiFi上网认证?]
 +
* [http://www.imfirewall.com/blog/post/458.html Web认证如何对接第三方认证平台?]
 +
* [http://www.imfirewall.com/blog/post/470.html 酒店无线WiFi实名认证方案]
 +
* [http://www.imfirewall.com/blog/post/491.html 基于企业邮箱进行wifi实名认证的方案]
 +
* [http://www.imfirewall.com/blog/post/511.html 如何对来宾上网进行二维码认证审核?]
 +
* [http://www.imfirewall.com/blog/post/523.html 如何用微信小程序实现WiFi上网实名认证?]
 +
* [https://www.bilibili.com/video/BV1vt4y1d7fo WSG短信认证的视频教程]

2024年6月27日 (四) 15:47的最新版本

1 概述

“Web认证”主要包括两大功能:

  • 用户名认证:基于用户名口令进行认证,支持本地认证、Email认证、LDAP认证和Radius认证四种方式。
  • 第三方认证:通过第三方接口进行认证,支持钉钉扫码认证、企业微信扫码认证、
  • 访客认证:手机短信认证、二维码认证等方式,可用于公众网络实名上网。

结合其他模块,还可以实现:

用户名认证和第三方认证都需要先在“本地账号”中创建可用账号。

2 用户名认证

对IP段启用“用户名认证”后,客户机上网必须在浏览器中输入用户名口令进行认证(该页面可以通过点击“编辑Web认证页面”进行修改)。 Faq webauth002.jpg

其他配置项:

  • IP范围:启用Web认证的IP段。
  • 认证方式。
    • 本地认证:通过“账号管理”中配置的本地账号进行认证,该本地账号必须有“Web认证”的权限。
    • Email认证:到指定的Email服务器进行认证,支持POP和IMAP两种邮件服务器。
    • LDAP认证:到指定的LDAP服务器(如:域控制器)进行认证,需要配置LDAP服务器的IP地址、端口和域名。
    • Radius认证:发送到第三方Radius服务器进行认证。
    • 本地+邮箱混合认证:先进行本地认证、不存在该本地用户时进行邮箱认证。
    • 本地+域混合认证:先进行本地认证、不存在该本地用户时进行域认证。
    • 本地+Radius混合认证:先进行本地认证、不存在该本地用户时进行Raidus认证。
  • 超时选项:超时会要求重新认证。
  • 本地账号在有效期内无需重新认证。

Faq webauth001.png

3 第三方认证

3.1 钉钉认证

启用钉钉认证后,用户需要用钉钉扫描二维码才可以登录。需要在“钉钉开发者平台”中创建扫码登录应用,并且记录AppID和AppSecret等配置。

Faq webauth dingtalk.png

3.2 企业微信认证

启用企业微信认证后,用户需要用企业微信扫描二维码才可以登录。需要在“企业微信平台”中创建扫码登录应用,并且记录企业ID,应用ID(AgentID)和AppSecret等配置。

Faq webauth bwechat.png


4 访客认证

4.1 短信认证

“短信认证”需要用户输入手机号,并通过短信验证码进行校验,从而记录手机号实现WiFi上网实名认证。短信认证需要调用Web API的短信平台接口来发送短信。配置项如下:

  • 短信接口URL:发送短信的Web API的URL地址。
  • 短信内容:通过POST方式发送到“短信接口URL”的内容,替换符号:%PHONE%(手机号),%CODE%(验证码)
  • 验证码长度:验证码的长度
  • 验证码间隔:发送后,需要等待间隔后才可以再次发送。
  • 手机号黑白名单:对手机号进行黑白名单控制,点击“编辑”进行设置。

Faq webauth007.png

4.2 二维码认证

二维码认证采用的流程是“访客出示二维码 + 审核人审核通过”的认证流程。访客上网需要经过审核人的人工审核才能放行。如下图:

Faq webauth qrcode.png

5 设置

Faq webauth009.png

  • 重定向:自动把未授权的访问重定向到认证页面
    • 仅HTTP,HTTP方式的访问会被重定向到认证页面,HTTPS方式会直接被阻止访问。
    • HTTP和HTTPS,HTTP和HTTPS方式的访问都会被重定向到认证页面。HTTPS的认证端口是认证端口加一。另外,HTTPS方式的认证页面会有浏览器证书告警,安装SSL监控中的ca证书后即可去掉该告警信息。
    • 请注意:HTTPS重定向在“旁路模式”下不可用。
  • 识别模式:
    • 推荐用“根据MAC”的模式来基于mac地址识别客户机。
    • 如果下面接三层交换机,需要启用多网段MAC地址收集器来识别客户机的mac地址。
  • MAC白名单:不需要认证的MAC地址列表,一个MAC地址一行。
  • 例外网址,不需要认证就可以访问的网站或者IP。格式如下:
    • IP地址,如:192.168.1.100
    • IP段,如:192.168.1.0/24
    • 域名,如:*.google.com,支持*号通配符。

6 常见问题

6.1 能否根据接口来设置不同的web验证方式?

  • 问:能否根据接口来设置不同的web验证方式?比如:1网口做pppoe,2网口做web认证。
  • 答:不可以。只能根据IP段来设置,您可以给两个网口设置不同的网段来实现。

7 相关链接