Web认证

1 概述

“Web认证”主要包括两大功能：

用户名认证：基于用户名口令进行认证，支持本地认证、Email认证、LDAP认证和Radius认证四种方式。
第三方认证：通过第三方接口进行认证，支持钉钉扫码认证、企业微信扫码认证、
访客认证：手机短信认证、二维码认证等方式，可用于公众网络实名上网。

结合其他模块，还可以实现：

显示拨入的IP和用户名（实时流量图）。
记录Web认证用户的上网行为（上网记录模块）。
配置Web认证用户的上网策略（行为管理模块）。
Web认证的日志查询（账号管理模块）

用户名认证和第三方认证都需要先在“本地账号”中创建可用账号。

2 用户名认证

对IP段启用“用户名认证”后，客户机上网必须在浏览器中输入用户名口令进行认证（该页面可以通过点击“编辑Web认证页面”进行修改）。

其他配置项：

IP范围：启用Web认证的IP段。
认证方式。
- 本地认证：通过“账号管理”中配置的本地账号进行认证，该本地账号必须有“Web认证”的权限。
- Email认证：到指定的Email服务器进行认证，支持POP和IMAP两种邮件服务器。
- LDAP认证：到指定的LDAP服务器（如：域控制器）进行认证，需要配置LDAP服务器的IP地址、端口和域名。
- Radius认证：发送到第三方Radius服务器进行认证。
- 本地+邮箱混合认证：先进行本地认证、不存在该本地用户时进行邮箱认证。
- 本地+域混合认证：先进行本地认证、不存在该本地用户时进行域认证。
- 本地+Radius混合认证：先进行本地认证、不存在该本地用户时进行Raidus认证。
超时选项：超时会要求重新认证。
本地账号在有效期内无需重新认证。

3 第三方认证

3.1 钉钉认证

启用钉钉认证后，用户需要用钉钉扫描二维码才可以登录。需要在“钉钉开发者平台”中创建扫码登录应用，并且记录AppID和AppSecret等配置。

3.2 企业微信认证

启用企业微信认证后，用户需要用企业微信扫描二维码才可以登录。需要在“企业微信平台”中创建扫码登录应用，并且记录企业ID，应用ID（AgentID）和AppSecret等配置。

4 访客认证

4.1 短信认证

“短信认证”需要用户输入手机号，并通过短信验证码进行校验，从而记录手机号实现WiFi上网实名认证。短信认证需要调用Web API的短信平台接口来发送短信。配置项如下：

短信接口URL：发送短信的Web API的URL地址。
短信内容：通过POST方式发送到“短信接口URL”的内容，替换符号：%PHONE%（手机号），%CODE%（验证码）
验证码长度：验证码的长度
验证码间隔：发送后，需要等待间隔后才可以再次发送。
手机号黑白名单：对手机号进行黑白名单控制，点击“编辑”进行设置。

4.2 二维码认证

二维码认证采用的流程是“访客出示二维码 + 审核人审核通过”的认证流程。访客上网需要经过审核人的人工审核才能放行。如下图：

5 设置

重定向：自动把未授权的访问重定向到认证页面
- 仅HTTP，HTTP方式的访问会被重定向到认证页面，HTTPS方式会直接被阻止访问。
- HTTP和HTTPS，HTTP和HTTPS方式的访问都会被重定向到认证页面。HTTPS的认证端口是认证端口加一。另外，HTTPS方式的认证页面会有浏览器证书告警，安装SSL监控中的ca证书后即可去掉该告警信息。
- 请注意：HTTPS重定向在“旁路模式”下不可用。
识别模式：
- 推荐用“根据MAC”的模式来基于mac地址识别客户机。
- 如果下面接三层交换机，需要启用多网段MAC地址收集器来识别客户机的mac地址。
MAC白名单：不需要认证的MAC地址列表，一个MAC地址一行。
例外网址，不需要认证就可以访问的网站或者IP。格式如下：
- IP地址，如：192.168.1.100
- IP段，如：192.168.1.0/24
- 域名，如：*.google.com，支持*号通配符。

6 常见问题

6.1 能否根据接口来设置不同的web验证方式？

问：能否根据接口来设置不同的web验证方式？比如：1网口做pppoe，2网口做web认证。
答：不可以。只能根据IP段来设置，您可以给两个网口设置不同的网段来实现。