更新时间:2023-12-07
1无线准入控制的需求背景
随着无线的发展,客户对于无线准入控制的需求也越来越多变,信锐控制器针对常见的需求场景,推出了基于终端类型的准入控制,基于MAC的准入控制;并且推出多因子认证,在认证成功的前提下新增了一些绑定措施,实现更安全的无线准入
2终端验证功能说明
本章针对“终端验证”该功能模块的功能进行介绍,以及介绍一些常用的场景
2.1终端类型识别与准入
2.1.1终端类型识别
信锐无线支持终端类型的自动检测识别功能,通过收集以下终端信息等方法自动精确识 别终端类型:
1.MAC OUI
2.DHCP Option
3.HTTP Agent
对市面上主流终端进行精准识别,比如安卓、苹果、Windows 等智能移动终端以及笔记本和台式机等
2.1.2终端类型准入
通过终端类型智能识别,可实现基于终端类型的接入准入,即对安卓、苹果、Windows等智能移动终端、桌面级终端比如(笔记本或者台式机),在接入无线网络时,根据配置的准入策略进行限制或放通,比如只允许苹果移动终端接入某无线网络。
2.1.3基于终端类型的管控
除了基于终端类型的准入之外,还可以通过识别无线终端的类型来进行无线管控,包括上网访问权限、VLAN 划分、流量控制、页面推送和跳转等
2.2MAC黑白名单
信锐控制器可以配置黑白名单去限制终端接入无线 SSID
MAC 黑名单:黑名单里的 MAC 地址将不能连接此无线 SSID
MAC 白名单:只有白名单里的 MAC 地址能连接此无线 SSID,其他 MAC 无法连接该 SSID
2.2.1MAC黑名单
编辑无线网络,终端认证中勾选启用MAC地址介入控制器,选择“MAC黑名单”,MAC地址库中选择“默认黑名单”。
【对象定义】->【MAC地址库】->【默认黑名单】中新增MAC地址,该黑名单内的MAC地址不能连接此无线SSID
2.2.2MAC白名单
编辑无线网络,终端认证中勾选启用MAC地址介入控制器,选择“MAC白名单”,MAC地址库中选择“默认白名单”。
【对象定义】->【MAC地址库】->【默认白名单】中新增MAC地址,只有该白名单内的MAC地址才能连接此无线SSID
3多因子认证功能说明
3.1终端信息验证
终端信息验证(管理员授权):勾选该功能后,采用用户名密码认证的终端连接无线认 证通过后仍不能上网,需要管理员对其审批之后才可上网。
在控制器界面【认证配置】-【用户管理】->【多因子绑定】的“待审批”中审批
如果勾选“终端信息验证”,同时勾选“首次登陆免认证”:则表示当一个账号密码被 多个终端使用时,首次使用该账号密码登录的终端不需要管理员进行审批可直接上网,而后 面使用该账号密码认证的终端,需要管理员审批之后才可上网
3.2新终端登录需要 APP 审批(终端用户审批)
当对接阿里钉钉或者企业微信认证时,勾选“新终端登录需要 APP 审批”:实现效果 是输入用户名密码认证之后,需要在用户手机端,打开阿里钉钉或者企业微信,对该终端的 认证信息进行审批之后用户才能上网。
同时勾选“自动绑定用户首次登陆的终端信息”,即有多个终端使用该用户名密码认证 时,首次使用该用户名密码的终端不需要审批,自动将该用户名密码与该终端绑定。后续使 用该用户名密码的终端才需要在 APP 对其进行审批
3.3手机号码验证(自助授权)
当无线信号采用账号密码认证时(可以是企业级认证/开放式 web 认证;亦可以是本地 用户/外部服务器用户),勾选“手机号码验证(自助授权)”,实现的效果为:用户连接 无线输入用户名/密码之后,还需要输入手机号获取验证码进行绑定才可以上网
如果同时勾选“手机号码验证”与“本地用户使用手机号码进行密码重置”,则可以实 现当用户忘记密码时,可通过手机号重置密码(仅支持 web 认证账号认证且认证服务器配 置了本地用户才可以使用该功能)
如果同时勾选“手机号码验证”与“自动绑定用户身份”,(使用场景为:对接外部服 务器时且服务器配置了手机号字段信息)实现的效果为:用户连接无线输入用户名/密码之 后,从外部服务器获取了手机号字段的信息,手机号自动填充,点击获取验证码进行绑定上网
3.4仅检查指定类型的终端的用户名绑定关系
在勾选“终端信息验证”的同时,勾选了“仅检查指定类型的终端的用户名绑定关系”, 则可指定哪一个终端类型才需要进行审批,不勾选的终端类型则不需要审批