成功案例

深圳能源有限无线账号统一认证

发布:1970-01-01   浏览:500次

返回

深圳能源集团股份有限公司前身系深圳能源投资股份有限公司,自建立以来无论在上网用户、用网设备上都已经形成了一个庞大的体系,但随着移动科技的不断发展和壮大,传统的有线业务逐渐转移到无线端,因此其对企业无线上网的账号管理也越来越重视。

为了增强企业网络的安全性及可控性,深圳能源集团期望针对企业员工、访客接入无线网络执行严格的准入控制策略,特邀上海宁盾信息科技有限公司部署旗下旗舰产品宁盾统一认证产品,实现对网络安全更精细粒度的控制!

一、需求分析

1、设备上:与Cisco AC(无线控制器)对接,为员工、访客推送Portal页面,并实现无感知认证;

2、多认证方式:对应不同上网用户(内部员工、外包人员、普通访客 );

3、账号源:与AD域对接,实现员工通过AD域账号认证登录;

二、用户价值

1、针对部分Cisco设备不能自动实现MAC无感知认证的情况,在不增加任何设备的情况下,使用宁盾无线统一认证实现无感知认证;

2、增强了企业内、外网的安全性及可控性,将上网用户按照内部员工、 企业外包人员、普通访客进行划分,并针对不同上网用户类型采用不同的认证方式;

3、基于企业内部上网信息的高度私密性,对接内部员工AD账号域并采用较高的安全认证方式802.1X + AD +双因素认证;另可通过批量派发手机令牌的形式减轻运维人员的重复劳动;

4、外包人员为了方便起见,则采用访客邮件审批的方式,提高上网用户可控的同时也方便用户自助登录;

5、针对普通访客,采用协助扫码认证方式,方便和接待者之间进行1对1对接;

三、解决方案

1、部署架构

深圳能源集团提供两台服务器,服务器一用于安装宁盾服务器,宁盾服务器对接Cisco WLC、对接AD辅助域控制器读取用户数据、对接能源集团的短信网关做无线短信密码认证;服务器二用于安装AD辅助域控、网络策略和访问服务(NPS);安装辅助域控将无线认证设置在辅助域控上进行,可以减少无线认证对AD域控的性能消耗。NPS用作Radius认证报文的策略转发。

\
(图1)宁盾服务器系统架构

2、认证方案

(1)内部员工认证流程

认证方式: 802.1x+AD+双因子认证;

流程详解:内部员工默认通过802.1x+AD进行认证,如认证不成功则转三层Portal通过AD+双因子进行认证,认证成功绑定MAC,成功接入WLAN网络,下次认证默认通过802.1x+AD方式;认证成功后再次连接无线网络时无需输入AD账号密码(通过MAC无感知认证);

访问权限(内网、外网):全部;

\
(图2)内部员工认证方式

(2)企业外包人员认证流程

认证方式: 审批流程认证;

流程详解:外包用户通过Portal进入申请信息提交界面,输入业务管理员(内部员工)的邮箱及本人的公司信息、联系电话、来访事由等内容,然后点击提交;业务管理员(内部员工)会收到认证系统的审批邮件,点击审批邮件的审批链接,进入审批界面,可对该外包用户进行设置账号有效时间、填写审批意见、是否通过审批等操作;如审批通过,认证系统将生成随机秘钥以短信方式发给外包用户,外包用户以申请时填写的手机号作为用户名接入无线;如审批未通过,认证系统会将未通过信息发至申请人手机;

访问权限(内网、外网):全部;

\ \
(图3)访客审批认证流程

(3)普通访客认证流程

认证方式:协助扫码认证;

流程详解:访客通过Portal页面选择协助扫码认证,系统生成认证二维码,接待人员(内部员工)采用移动终端(前提已连入WIFI网络)任意二维码扫描工具扫描访客终端Web中的二维码,系统会在接待人员的终端页面提示输入授权信息(AD账户/密码),接待人员输入授权信息并点击授权,如授权信息正确,访客终端会提示已被授权,然后接入网络;如授权信息不正确或无接待人员操作,则访客终端无任何系统响应;提示授权时效时间;在协助数码认证模式下不显示其他认证登录方式;使用哪种认证方式只显示认证登录界面

访问权限(内网、外网):外网;

\ \
(图4)协助扫码认证流程