如果您有 WatchGuard XTM 21、22 或 23 设备,则此功能不适用于您的设备。
当您为有线或无线客户网络启用热点时,可以选择外部客户认证热点类型。 使用此热点类型时,XTM 设备会将新热点用户传送至外部 Web 服务器进行认证。 外部客户认证与 XTM 设备支持的其他用户认证类型无关。
如果您想要将新热点用户自动连接至用于收集和验证热点用户的认证凭据或其他信息的外部 Web 服务器,则使用此热点类型。 根据用户提供的信息,外部 Web 服务器向 XTM 设备发送访问决定。 然后,XTM 设备允许或拒绝该用户访问热点。
描述此功能的术语是认证,但它不需要外部 Web 服务器执行用户认证。 您可以在 Web 服务器上创建认证页面,要求热点用户提供您所需的任何信息,以用作访问热点的条件。
在您配置外部 Web 服务器并在 XTM 设备上启用外部客户认证之前,必须选择所使用的共享密钥、认证 URL 和认证失败 URL。 这些设置会影响外部 Web 服务器的配置以及 XTM 设备上的热点配置。
共享密码
共享密码用于生成和验证包含在访问决定中的校验和。 外部 Web 服务器使用共享密码计算校验和,并将其包含在发送至 XTM 设备的访问决定中。 XTM 设备使用共享密码来验证通过访问决定接收的校验和。 共享密码长度必须在 1 到 32 个字符之间。
身份验证 URL
这是外部 Web 服务器上用于认证热点用户的网页的 URL。 在 XTM 热点配置中,身份验证 URL 必须以 https:// 或 http:// 开头,并且必须使用 Web 服务器的 IP 地址,而不是域名。
身份验证失败 URL
这是外部 Web 服务器上当外部客户认证未成功时热点用户看到的网页的 URL。 在 XTM 热点配置中,身份验证失败 URL 必须以 https:// 或 http:// 开头,并且必须使用 Web 服务器的 IP 地址,而不是域名。
由于在配置 Web 服务器时需要进行 Web 编程,因此建议您先配置 Web 服务器。 在 Web 服务器的设置说明中包含代码示例链接。 设置 Web 服务器后,为外部客户认证配置 XTM 热点。
有关配置要求和步骤的详细信息,请参阅:
配置 Web 服务器和热点后,可以在您的热点上测试外部客户认证,并检查日志消息以识别任何错误。 有关详细信息,请参阅排除热点外部客户认证故障。
有关外部 Web 服务器上的脚本示例,请参阅 WatchGuard 知识库:http://customers.watchguard.com/。
XTM 设备与外部认证服务器之间的通信通过热点客户端浏览器进行。 XTM 设备和认证服务器使用 URL 中指定的参数来允许通信。 本示例提供了一些 URL 示例,以概括介绍外部认证的工作方式。 有关每个 URL 中的所有参数的更多详情和描述,请参阅为热点外部客户认证配置 Web 服务器。
本示例中的 URL 基于以下配置设置和假设:
当用户初始尝试访问网站时,XTM 设备收到来自热点用户的 HTTP 请求。 XTM 设备检查 MAC 地址以了解此用户目前是否已建立热点会话。 如果此 MAC 地址已建立热点会话,则 XTM 设备根据防火墙策略配置允许或拒绝该流量。 如果这是新 MAC 地址,则为了向外部 Web 服务器发送访问请求 URL,XTM 设备向热点客户端浏览器发送重定向。
访问请求 URL 示例:
http://10.0.2.80:8080/auth.html?xtm=http://10.0.3.1:4106/wgcgi.cgi&action=hotspot_auth
&ts=1344238620&sn=70AB02716F745&mac=9C:4E:36:30:2D:26&redirect=http://www.google.com/
外部 Web 服务器上的认证页面显示在热点用户的浏览器中。 热点用户提供认证所需信息。
外部 Web 服务器对热点用户进行认证后,通过热点客户端浏览器将访问决定 URL 发送至 XTM 设备。
访问决定 URL 示例:
http://10.0.3.1:4106/wgcgi.cgi?action=hotspot_auth&ts=1344238620&success=1
&sig=a05d352951986e5fbf939920b260a6be3a9fffd3&redirect=http://www.google.com/
在此 URL 中:
XTM 设备读取访问决定(success=1 或 success=0)并验证校验和。 如果 success=1 并且校验和验证成功,则 XTM 设备为客户端创建热点会话,并将客户端重定向至访问决定 URL 中指定的 URL。 如果 success=0,或者检测到任何认证错误,则 XTM 设备将客户端重定向至身份验证失败 URL。
在本例中,认证成功,因此浏览器进入初始请求的站点:http://www.google.com。
如果认证失败或者访问被拒绝,浏览器将转至身份验证失败 URL。
失败 URL 示例:
http://10.0.2.80:8080/failure.html?error=510&sn=70A70272B454E&mac=9C:4E:36:30:2D:26