更新时间:2022-01-18
认证选项用于配置跟认证相关的一些选项的设置。
用户管理
-
自动注销指定时间内无流量的已认证用户:设置一个超时时间(10-65535分钟),用户超过此超时时间没有流量则自动注销该用户。
-
每天强制注销所有在线用户:设置一个固定时间,每天定时将所有在线用户注销,该注销功能全局生效,启用时请慎重考虑。
-
冻结持续认证失败的用户:设置当超过认证失败次数(1-255次)时,冻结该用户的时间(1-1440分钟)。
-
自动删除长久未登录的用户:开启此功能后,会自动删除连续N天(1-365天)未登录的用户及其设备,只会删除自动登录的用户,不会删除手动创建的用户。
-
自动删除过期的免认证绑定关系:对于设备自动录入的免认证绑定关系,检测登录时间,如果是免认证时间过期,则会自动删除这些用户。手动录入的免认证用户也会删除。
-
单用户绑定终端个数限制,用于设置用户对应的终端数,这里限制的是一个用户能在几个终端上登录。
变更与冲突管理
-
MAC地址发生变动时,需要重新认证:原本认证通过的用户,MAC地址变化了会要求重新认证。比如一个IP为192.168.1.1的用户,认证方式为用户名和密码认证,当这个用户下线后,由于有一段时间不会注销该用户,这时另一个用户把IP改成192.168.1.1,这样MAC地址就发生了变化,需要重新认证方可上网。
-
不允许多人同时登录的账号,如果认证时发现已经在其他IP上登录,则:
-
公共账号允许多人同时登录,在[权限策略/用户限额策略]中可以设置公共账号允许登录的终端数,当终端数超限时,针对新上线的终端可以在此处选择上线策略,分别可以选择[认证不通过,提示账号在其他终端登录]、[新终端上线,注销最早登录的终端]。
说明:802.1x认证暂不支持该功能。用户进行802.1x认证时,即使账户已经在其他IP上登陆,也能够上线。
免认证设置
启用Cookie免认证:设置Cookie免认证有效期,范围:1-100天。
使用场景:使用AC用户名密码认证时,实现在同一台PC上成功认证一次后,后续直接上网,不需要再重复输入用户名密码。
说明:
1.首次登录时需要勾选记住登录状态
2.在免认证有效期内请勿清除浏览器Cookie。
3.Cookie免认证的用户应该要设置为公有用户。如果是私有用户,新认证的用户会踢掉最早认证的用户下线,导致AC把该用户的Cookie数据清除。
安全设置
个人管理中心设置
允许用户修改绑定终端信息:如果允许终端用户自己修改绑定终端信息可勾选此功能。
忘记密码设置
[禁用短信找回密码]:如果在用找回密码功能,不想使用短信找回密码,期望使用邮箱账号密码功能,可以勾选此功能。需要配置发送邮件服务器,详细请参考通知设置中的邮件发送服务器。
其他选项
-
未认证或被冻结时允许访问DNS服务:用于允许在用户通过认证前或冻结后访问DNS服务。
-
HTTPS请求通过认证时,重定向到认证页面:对于密码认证的用户,认证前上网打开HTTP网页会重定向到认证页面,但如果访问HTTPS网页则默认不会重定向,如果需要对HTTPS网页也重定向的话,需要勾选此项。需要将AC的根证书导入到终端,否则浏览器打开认证界面时会有证书错误告警。
-
代理上网时,密码认证使用WEB认证页面:若勾选,则代理上网时,密码认证使用WEB认证页面,若不勾选,则代理上网时,使用407(407 Authorization Required)弹框进行认证。
-
域账号附加域名作为用户名:当客户环境中存在多个域时,可以勾选此项,用于区分不同域服务器的用户,在在线用户列表、实时状态等页面可以看到用户后面加上了域名后缀。
示例:某企业存在两个域:ACtest.com和ACCtest.com,两个域都作为域用户认证源,勾选该功能项后,入网用户会以xxx@ACtest.com和xxx@ACCtest.com显示。
-
WAN->LAN方向的连接不认证:代理服务器单臂部署,AC网桥部署在内网和代理服务器之间时,这种环境会有公网IP地址加到在线列表,需要勾选此项避免公网IP认证。
-
关闭组/用户排序功能:组/用户查询速度较慢,可以启用关闭组/用户排序功能来提高查询的速度。
-
将认证的虚拟域名(oauthservice.net/onauthservice.com)解析到指定IP地址):环境中存在多台AC/SG场景配置Oauth认证或二维码认证,建议配置此功能。