• MAC地址发生变动时，需要重新认证：原本认证通过的用户，MAC地址变化了会要求重新认证。比如一个IP为192.168.1.1的用户，认证方式为用户名和密码认证，当这个用户下线后，由于在一段时间内不会注销该用户，这时另一个用户把IP改成192.168.1.1，这样MAC地址就发生了变化，需要重新认证方可上网。

• 不允许多人同时登录的账号，如果认证时发现已经在其他IP上登录，则：对于不允许多人同时登录的账号，如果该用户已经在AC设备上线，在其他终端上仍然使用该用户账号登录，那么可以选择“认证不通过，提示账号在其他终端登录”或“新终端上线，注销最早登录的终端”。

• 公共账号允许多人同时登录，在[权限策略/用户限额策略]中可以设置公共账号允许登录的终端数，当终端数超限时，针对新上线的终端可以在此处选择上线策略，分别可以选择[认证不通过，提示账号在其他终端登录]、[新终端上线，注销最早登录的终端]。

：

802.1x认证暂不支持该功能。用户进行802.1x认证时，即使账户已经在其他IP上登陆，也能够上线。

免认证设置

启用Cookie免认证：设置Cookie免认证有效期，范围：1-100天。

使用场景：使用AC用户名密码认证时，实现在同一台PC上成功认证一次后，后续直接上网，不需要再重复输入用户名密码。

：

1．首次登录时需要勾选记住登录状态

2．在免认证有效期内请勿清除浏览器Cookie。

3．Cookie免认证的用户应该要设置为公有用户。如果是私有用户，新认证的用户会踢掉最早认证的用户下线，导致AC把该用户的Cookie数据清除。

安全设置

• 用户密码强度：用来设置用户名密码认证时，密码的安全要求，可以选择：密码不能等于用户名、新密码不能与旧密码相同、限制密码最小长度、密码必须包括，这几项如果同时勾选则需要同时满足这几个条件，用户才能成功修改登录密码。

• 采用SSL加密方式提交用户名和密码：密码认证页面默认是HTTP页面，通过这个页面提交用户名是明文的方式，如果客户要求页面采用SSL加密的方式，需要勾选此项。

• 域名：密码认证页面的URL默认是设备IP地址的形式，如果需要以域名的形式显示则需要在此处定义好域名，同时需要在用户内网的DNS上添加A记录，将该域名指向设备的IP地址。

• 服务器证书：导入或者创建SSL证书。在此处导入企业证书或者是创建相应的证书然后导入终端后可以将密码认证界面转变为https界面。

个人管理中心设置

允许用户修改绑定终端信息：如果允许终端用户自己修改绑定终端信息可勾选此功能。

忘记密码设置

[禁用短信找回密码]：如果在用找回密码功能，不想使用短信找回密码，期望使用邮箱账号密码功能，可以勾选此功能。需要配置发送邮件服务器，详细请参考通知设置中的邮件发送服务器。

其他选项

• 未认证或被冻结时允许访问DNS服务：用于允许在用户通过认证前或冻结后访问DNS服务。

• HTTPS请求通过认证时，重定向到认证页面：对于密码认证的用户，认证前上网打开HTTP网页会重定向到认证页面，但如果访问HTTPS网页则默认不会重定向，如果需要对HTTPS网页也重定向的话，需要勾选此项。需要将AC的根证书导入到终端，否则浏览器打开认证界面时会有证书错误告警。

• 代理上网时，密码认证使用WEB认证页面：若勾选，则代理上网时，密码认证使用WEB认证页面，若不勾选，则代理上网时，使用407(407 Authorization Required)弹框进行认证。

• 域账号附加域名作为用户名：当客户环境中存在多个域时，可以勾选此项，用于区分不同域服务器的用户，在在线用户列表、实时状态等页面可以看到用户后面加上了域名后缀。

示例：某企业存在两个域：ACtest.com和ACCtest.com，两个域都作为域用户认证源，勾选该功能项后，入网用户会以xxx@ACtest.com和xxx@ACCtest.com显示。

• WAN->LAN方向的连接不认证：代理服务器单臂部署，AC网桥部署在内网和代理服务器之间时，这种环境会有公网IP地址加到在线列表，需要勾选此项避免公网IP认证。

• 关闭组/用户排序功能：组/用户查询速度较慢，可以启用关闭组/用户排序功能来提高查询的速度。

• 将认证的虚拟域名（oauthservice.net/onauthservice.com）解析到指定IP地址）：环境中存在多台AC/SG场景配置Oauth认证或二维码认证，建议配置此功能。

认证托管

认证托管主要用于各分支AC、SG、IAG设备将用户认证托管在总部认证中心AC实现统一认证。

• 认证中心IP地址：填写认证中心的IP，支持IPv4和IPv6。

• 对接密钥：和认证中心设置的密钥保持一致。

• 认证中心端口：默认是TCP390端口，可在认证中心自定义，需与认证中心保持一致。

• 重定向端口：认证重定向页面使用到端口，默认是TCP80端口，可自定义。

• LDAP服务端口：统一认证中心做LDAP服务器开放的端口，默认是TCP389端口。

• 逃生机制：认证托管后支持逃生策略配置，在认证中心离线情况下，设备使用逃生机智的配置策略进行认证上线。逃生策略支持不需要认证和密码认证2种方式。

• 不需要认证：可以选择以IP、MAC、计算机名做用户名。可勾选<认证中心恢复正常时，不需要认证的用户需要重新认证>。

• 密码认证：选择认证服务器、认证页面和认证后跳转。配置参考认证策略配置。

• 逃生时上线组：当认证中心离线时，定义使用逃生机智的配置策略进行认证上线到用户组。

• 点击测试有效性：用于测试设备和统一认证中心的通讯情况。

点击<提交>后，分支设备已经被托管到认证中心，并且可以跳转到认证中心。

认证中心显示设备接入状态。

：

1．开启认证托管后，认证相关功能在统一认证中心实现，在被认证托管设备上认证策略、用户绑定、IP/MAC绑定、用户自动同步、单点登录、认证控制器、Radius认证服务器功能将被隐藏并且功能不生效。

2．认证托管状态下，在分支AC上线的用户不支持同步上线到认证中心，但是在分支AC上注销的用户，可以同步在认证中心注销。

3．认证托管支持MAC免认证、不需要认证、密码认证、不允许认证4种认证策略方式。