网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.13.0-3.14.0
网络控制器NAC 文档 功能配置 认证配置 阿里钉钉认证配置配置指导
{{sendMatomoQuery("网络控制器NAC","阿里钉钉认证配置配置指导")}}

阿里钉钉认证配置配置指导

更新时间:2024-09-10

1功能简介

1.1应用场景

阿里钉钉是阿里巴巴打造的一款免费智能移动办公平台,也是我们自定义的一种认证服务器 ,适用于 WPA/WPA2 企业无线网络,同时也支持作为 WEB 认证的第三方认证服务器。

1.2适用版本

NAC3.13.0

1.3配置思路

1、阿里钉钉账号认证配置;

2、阿里钉钉Oauth 2.0配置;

3、建立SSID

2注意事项

2.1业务影响范围

启用该功能不影响业务。

2.2配置注意事项

1、钉钉平台做了升级,导致部分客户测试对接钉钉使用oauth2.0一键认证以及电脑扫码登录认证时,在钉钉开放平台上找不到“创建扫码登录应用授权”的按钮。可通过访问以下链接https://open-dev.dingtalk.com/v1/fe/old#/loginMan ,就能出现“创建扫码登录应用授权”的按钮,此时即可按照之前的方法进行创建;

2、配置回调域名的时候最后一定要加一个“/”,如:“http:// auth.wifi.com/”;

3、配置应用首页地址时注意在控制器生成的链接末尾添加“&v=1”。

3  配置步骤  

3.1 新建H5微应用 

1、进入企业内部开发,新建H5微应用,配置应用名称、应用描述、应用图标等,开发方式选择“企业自主开发”,然后点击“确认创建”。

2、新建完H5微应用之后,点击查看应用信息可以看到AppKey(应用标识)、AppSecret(应用密钥)和AgentID

3、点击“首页”,查看Corpid(企业标识)。

4、上述参数AppKey(应用标识)、AppSecret(应用密钥)和AgentID以及Corpid(企业标识)填写至控制器中,在【认证配置】-【认证授权】-【外部服务器】中创建新的MDQ服务器,选择阿里钉钉服务器,并填入对应参数,填写完毕后点击“生成授权URL”并复制。

5、在创建的应用里的开发管理中,做如下配置:

1)服务器出口IP:将控制器NAC的出口公网IP添加上去,注意:若NAC出口IP是不固定的,如通过PPPoE方式获取的地址,那公网IP一改变则需要在该位置重新配置上新的公网IP,否则将导致终端认证失败。

2)应用首页地址:将控制器上复制的授权URL黏贴进去,并在末尾添加&v=1

6、权限管理,将相关通讯录权限和手机号权限、成员信息读权限开通,终端才能正常认证并获取到手机号。

7、在“部署已发布-版本管理与发布”点击确认“确认发布”。

8、该应用的可见范围选择“全部员工”。

 

3.2   新建Oauth2.0应用   

1、打开登录与分享 点击回调域名,其中回调域名与认证高级选项中的认证域名保持一致。(注:配置回调域名的时候最后一定要加一个“/”,如:http:// auth.wifi.com/

2、提交完成后返回旧版(可通过访问以下链接https://open-dev.dingtalk.com/v1/fe/old#/loginMan 。),点击“创建扫描登录应用授权”会生会生成appidappSecret,将这两个参数复制到控制器上。

3.3 新建SSID 

1、配置完钉钉服务器之后,需要创建一个SSID,认证服务器调用钉钉服务器。(这里一定要先调用钉钉服务器,否则可能导致后面修改Wi-Fi账号密码不成功)。

2、认证前调用SecureRole角色,该角色已经全局排除钉钉的域名和地址。

 

4   效果   演示

4.1账号认证效果

登入手机钉钉应用,设置Wi-Fi账号密码。

 

 

4.2 Oauth2.0认证效果

1)手机端认证,通常使用一键登入或者账号密码认证。

2PC端认证,可以使用扫码方式登入,也可以使用账号密码方式登。

5常见问题

1、如“errorCode =66117, errorMsg = 回调域名url需要有path部分”错误配置回调域名的时候,URL最后需要加一个“/”,没有配置就会报这个错误。

2、访问ip不在白名单中”错误未将出口ip加入白名单就会导致此问题,需要将此ip添加到钉钉应用的白名单中。

3、终端认证后在线用户显示用户名为mac地址,这里有两个原因:一是出口ip没有加入白名单拿不到钉钉的token导致获取不到钉钉的相关信息,二是接口权限没有开放,导致获取不到钉钉的信息。