想知道PacketFence如何对接WX3508H，做portal和ouath2认证

这个没有对接第三方的案例，需要自己逐步测试了

要将 PacketFence 与你的 H3C WX3508H 无线控制器对接，实现 Portal 认证和 OAuth2 社交登录（如微信、Google、GitHub 等），核心架构是将 WX3508H 作为网络接入设备，将认证请求（RADIUS）和 Web 页面重定向功能指向 PacketFence 服务器。

H3C的配置没有特殊配置的地方，主要是认证准入平台那边

一、 在 PacketFence 中配置华三 WX3508H

1. 添加设备：
   • 进入 Configuration> Network Devices> Switches。
   • 点击 New Switch。
   • Identifier/IP：填写 WX3508H 的管理 IP 地址（例如 10.118.59.4，就像您第二张图中已存在的那台H3C设备）。
   • Group：选择或创建分组，例如 H3C-WLC。
   • Type：必须选择 H3C::Comware_v7。这是兼容 WX3508H 系列的关键驱动。
   • Mode：选择 production。
   • SNMP Community：填写在 WX3508H 上配置的 SNMP 只读共同体字符串，用于 PacketFence 发现和管理设备。
   • CLI Transport：通常选择 SSH或 Telnet，并填写相应权限的账号密码，用于推送动态 ACL 等高级策略。
2. 配置 RADIUS 密钥：
   • 在交换机配置页面的 RADIUS部分，设置 Secret。
   • 这个密钥（例如 packetfence_shared_secret）必须与后续在 WX3508H 上配置的 RADIUS 密钥完全一致。
3. 配置 Portal 相关信息：
   • 在 Portal部分，确保 Portal URL指向 PacketFence 服务器的 VIP 或地址（例如 ***.***/）。
   • PacketFence 会使用此信息与 WX3508H 通信。

二、 在华三 WX3508H 上配置 Portal 认证

1. Portal 认证服务器：
   • 进入 接入管理 > 认证 > Portal。
   • 点击 Portal认证服务器，点击“新建”。
   • 服务器名称：例如 PacketFence-Portal。
   • IP 地址：填写 PacketFence 服务器的 IP。
   • 密钥：与 PacketFence 中为 Portal 通信设置的密钥一致（可能与 RADIUS 密钥不同）。
   • 端口：通常为 50100（PacketFence 默认的 Portal 接收端口）。
   • URL：通常留空，由 PacketFence 提供。
2. Portal Web 服务器：
   • 点击 Portal Web服务器，点击“新建”。
   • 服务器名称：例如 PacketFence-Web。
   • URL：填写用户将被重定向到的认证页面地址，例如 ***.***/。如果使用 HTTPS，则填写 https://...。
   • 服务器类型：选择 PacketFence或 第三方服务器。
3. 配置接口策略（核心步骤）：
   • 点击 接口策略，为您需要做认证的 无线服务模板（Service Template）对应的VLAN接口​ 或直接为 VLAN接口​ 绑定 Portal 认证。
   • 选择接口，点击“编辑”。
   • 启用 Portal：勾选。
   • 认证模式：通常选择 直接认证。
   • Portal Web 服务器：选择上一步创建的 PacketFence-Web。
   • Portal 认证服务器：选择第一步创建的 PacketFence-Portal。

三、 在 PacketFence 中配置 OAuth2 认证源

1. 创建 OAuth2 认证源：
   • 进入 Configuration> Policies and Access Control> Authentication Sources。
   • 点击 New internal source或选择已有源进行编辑。
   • 在 Rules或 Authentication选项卡中，添加 OAuth2类型的认证方式。
2. 配置 OAuth2 参数：
   • Client ID & Secret：从您的 OAuth2 提供商（如微信开放平台、Azure AD）处获取。
   • Scope：根据需求填写，例如 snsapi_login（微信）、openid profile email（标准OIDC）。
   • Authorization Endpoint：OAuth2 提供商的授权端点 URL。
   • Token Endpoint：OAuth2 提供商的令牌端点 URL。
   • User Info Endpoint：获取用户信息的 API 端点。
   • Redirect URI：必须设置为 https://<your-packetfence>/oauth2/callback，并在 OAuth2 提供商的应用配置中注册此回调地址。

四、 配置认证流程与策略

1. 在 PacketFence 中创建连接策略：
   • 进入 Configuration> Policies and Access Control> Connection Profiles。
   • 创建一个新的策略，其匹配条件可以基于 SSID、VLAN或 交换机角色。
   • 在 Authentication部分，选择您刚才配置的 OAuth2 认证源​ 作为主认证方式。
   • 这样，当用户被重定向到 PacketFence Portal 时，页面上就会出现“使用微信登录”或“使用公司账号登录”的 OAuth2 按钮。
2. 配置放行策略：
   • 用户通过 OAuth2 认证后，PacketFence 会根据其角色（Role），通过 RADIUS 向 WX3508H 下发相应的授权参数（如 Filter-ID、ACL-编号）。
   • 您需要在 WX3508H 上预先配置好这些 ACL 或用户 Profile，以便对通过认证的用户实施网络访问控制（如允许上网、禁止访问内网等）。

总结与验证

• 角色分工：
  • PacketFence：作为认证、授权和计费（AAA）的中心，提供 Portal 页面、处理 OAuth2 流程、并通过 RADIUS 通知交换机结果。
  • 华三 WX3508H：作为网络接入设备（NAD），负责强制重定向未认证用户到 Portal，并根据 RADIUS 服务器的指令（Accept/Reject）放行或拒绝用户流量。
• 验证步骤：
  1. 配置完成后，用户连接对应 SSID。
  2. 打开浏览器，应被重定向到 PacketFence 的认证页面。
  3. 点击 OAuth2 登录按钮，应跳转到第三方登录页面。
  4. 登录成功后，应跳转回 PacketFence 并显示认证成功，随后获得网络访问权限。
  5. 在 PacketFence 的 Nodes列表和 WX3508H 的 在线用户信息中，都应能看到该用户的上线记录。