某些网络环境中已经存在其他的第三方认证系统做用户认证和组织结构的管理,此时设备能够跟这些第三方的认证系统结合使用,做单点登录。目前设备支持的其他第三方厂商的认证系统有锐捷Sam系统、HTTP单点登录接口、H3C CAMS系统、城市热点和H3C IMC系统。
锐捷Sam系统是一套宽带上网认证计费管理系统,常用于高校及二级运营商用户,用户上网前必须通过锐捷Sam系统的身份认证,用户通过Sam系统的认证/注销后,自动在AC上完成认证/注销。如图所示。
数据流的过程如下:
PC通过锐捷Sam系统认证服务器的认证/注销。
锐捷Sam系统数据库服务器通知AC设备认证/注销用户,实现单点登录和注销。
操作步骤
步骤1.设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[portal认证/认证策略],新增认证策略进行配置。
步骤2.点击进入[portal认证/单点登录/第三方设备]页面进行配置。
步骤3.启用锐捷Sam系统并设置共享密钥。
步骤4.在设备上下载锐捷Sam单点登录程序,在Sam系统的数据库服务器上配置,使得pc登录到Sam系统时,数据库服务器向AC发送用户认证信息。
以锐捷Sam系统数据库为Sql Server2005为例,说明锐捷Sam系统数据库服务器需要做的设置:
在[portal认证/单点登录/第三方设备/锐捷Sam系统]下载rjsam.zip(内含logon.exe和触发器sql脚本)到服务器上。解压后,得到如下内容。
2.将触发器所需调用的应用程序logon.exe 拷到SAM 服务器对应目录下。
3.文件夹2005中存放了为sql server 2005定制的触发器sql语句,以logon_trigger.sql为例,打开此文件,将内容全选复制后,粘贴到sql server 查询管理器中,根据实际情况修改如下配置(logout_trigger.sql和update_trigger.sql的修改同logon_trigger.sql):
4.由于上述3个触发器都调用了master 数据库的xp_cmdshell 命令,该命令默认被SQL SERVER 2005 禁止调用。这需要执行下图的xp_cmdshell.sql 来解除禁用。在[ Sql Server 2005 Management Studio]中打开该文件,按[执行]按钮执行。
5.打开Sql Server 2005 Management Studio,找到SAMDB 数据库。
6.找到[ONLINE_USER]表,点击触发器文件夹图标,右边[对象资源管理器详细信息]空白区域没有任何条目,没有新建任何针对“ONLINE_USER”表的触发器。
7.打开文件夹2005目录,双击步骤3描述的三个文件,它们被打开在“Sql Server 2005 Management Studio”中,点击工具条上的<执行>按钮,当前激活tab 页对应的触发器被安装,切换tab 页,对另外两个触发器也执行同样的安装操作。
8.切换到“对象资源管理器详细信息”tab 页,刷新空白区域,可看到触发器完成安装。
9.如果需要删除触发器,则在[Sql Server 2005 Management Studio]的[对象资源管理器详细信息]中点击对应触发器,可以看到弹出菜单中有删除项,点击该项将弹出删除对象对话框,点击该对话框的确定键,即可删除对应触发器。
步骤5.用户通过锐捷SAM认证的同时通过设备的认证上网。
触发器在Sql Server2000 锐捷服务器上的安装过程与2005 版类似,不同的是要选择在2000 目录下的触发器安装,若存储过程xp_cmdshell已启用,则不需要执行xp_cmdshell.sql。
若锐捷sam系统数据库名不是samdb,则将触发器sql语句第一行 use SAMDB的[SAMDB]修改成实际的数据库名,若表名和字段名跟示例不同,也需要酌情修改。
注意trigger语句中的如下字段,如果多个用户可能同时登录或注销,需要根据用户机构上网人数将@i允许的值改大,一般建议修改最大不要超过2000(高端设备最多支持3000),若保持默认不修改,则用户环境若有两个用户同时登录,则AC只认证一个用户,导致另外一个用户无法上网。
如下,修改成可以支持最多10个用户同时登录或者注销。
注意trigger语句中的如下字段,当logon.exe向AC发送认证信息时,为保护服务器性能,默认是不开启日志的,如果需要开启日志,则将上一段置换如下,即带-l参数表示启用日志。
这样在数据库服务器用户主目录下会产生日志如下。
7.设备和trigger脚本中配置的密钥一致,且此密钥不要与其他方式单点登录密钥相同。
8.要求设备和锐捷Sam服务器能互相通讯,锐捷SAM服务器连接设备UDP:1773端口发送认证信息,不要求用户登录Sam系统的数据经过设备。
9.此方法不限于锐捷SAM系统,适用于所有后台数据库为MS SQL SERVER 2000/2005的数据库系统,需要酌情修改SQL脚本,使得相关库名 、表名、字段名与实际使用环境匹配。
支持HTTP单点登录的接口结合认证
设备提供的HTTP 单点登录接口,可以向任何第三方认证设备,提供基于HTTP(S)协议,GET 方法的单点登录/注销功能。
数据流的过程如下:
PC通过http/https方式访问认证服务器,并通过认证服务器的认证/注销。
认证服务器认证/注销页面做处理,使得能通知AC设备上线/注销对应用户,完成单点登录。PC通过AC认证,正常上网。
操作步骤
设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[portal认证/认证策略],新增认证策略进行配置。
点击进入[portal认证/单点登录/第三方设备]页面进行配置。
勾选[启用支持HTTP单点登录的接口],设置允许使用该接口的设备IP。
4.点击下载示例说明,其中包含了Logon.js和Logon.html,修改Logon.html,并配置提供认证的服务器。
5.PC通过http/https服务器的认证/注销后自动在设备上通过认证/注销。
说明:
1.http单点登录接口方式,适用于结合城市热点计费管理系统,同时也支持和其他web认证系统结合,需要web服务器做二次开发以配合完成单点登录。
2.不需要此功能时,注意不要勾选“启用支持Http单点登录的接口”。
H3C CAMS系统同锐捷sam系统,也是一套宽带上网认证计费管理系统,常用于高校及二级运营商用户,AC设备按照H3C CAMS提供的接口和它结合,定时从cams系统中获取用户信息,并更新自己的在线用户列表/用户列表,以完成单点登录。
数据流的过程如下:
PC通过H3C CAMS系统的认证。
设备定时同步H3C CAMS系统上的组织结构和在线用户。
PC以AC设备取到的在线用户的身份上网。
操作步骤
设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,在[portal认证/认证策略],新增认证策略进行配置。
设置H3C CAMS 服务器,点击进入[接入认证/portal认证/认证服务器],进行设置(参见第三方设备单点登录)。
点击进入[portal认证/单点登录/第三方设备]页面进行配置。
4.勾选[H3C CAMS系统],选择在外部认证服务器中设置的CAMS服务器。
5.用户通过H3C CAMS系统的认证后,即可通过设备上网。
说明:
1.H3C CAMS支持用户自动同步,具体请参见[用户管理/用户自动同步]。
2.在某些情况下,用户通过认证服务器认证之后在一个时间间隔后(取决于[获取认证用户的时间间隔]设置)才会通过AC的认证,建议认证策略设置单点登录失败时选择[不需要认证]的认证方式。
客户环境中已经有了H3C IMC认证服务器,需要实现终端通过H3C IMC认证后不需要再做AC入网认证,同时在AC上能看到终端以H3C IMC上用户名上线。
数据流的过程如下:
终端通过H3C IMC系统上/下线后,IMC系统会向AC发送报文。
2.AC收到IMC发送的终端上/下线报文后,会解析出上/下线终端的用户名和IP,然后通过单点登录流程实现终端上/下线。
操作步骤
配置单点登录。在AC设备[用户认证与管理/单点登录/第三方设备]选择H3C IMC 并填写H3C IMC服务器地址,点击<提交>,如下图所示。
2。配置认证策略。根据内网的需求设置认证范围,认证方式选择单点认证,单点登录失败选项。可以根据客户需求设置,如下图所示。
3.在H3C IMC系统上配置[用户上下线通知参数配置],如下图所示。(注意:不同版本的ICMC服务器配置界面可能有所不同。)
4.服务器IP地址配置为开启了单点登录的AC设备的IP地址,服务器端口为:61442。共享密钥暂可忽略不计,无影响。
城市热点是一套认证计费管理系统,广泛应用于教育、电信、广电、政府等各个领域,不管城市热点使用的B/S认证还是C/S认证,AC设备都能够与之结合进行用户认证。用户上网前必须通过城市热点系统的身份认证,用户通过城市热点系统的认证/注销后,自动在AC上完成认证/注销。
数据流的过程如下:
PC通过城市热点认证服务器的认证/注销。
城市热点认证服务器通知AC设备认证/注销用户,实现单点登录和注销。
操作步骤
设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[portal认证/认证策略],新增认证策略进行配置。
点击进入[portal认证/单点登录/第三方设备]页面进行配置。
勾选<城市热点>并设置设备IP地址。
4.配置城市热点系统。有关城市热点的配置请联系相应厂商,此处不再举例。
建议使用Chrome浏览器访问!
