问
无线控制器对接深信服上网行为管理用户名可以是钉钉用户名吗
2026-05-25提问
- 0关注
- 0收藏,171浏览
问题描述:
无线控制器对接深信服上网行为管理,深信服上网行为管理还配置钉钉服务器做认证
dis portal user all中的username可以配置为钉钉账号用户名吗?
- 2026-05-25提问
- 举报
-
(0)
认证设备是不是上网行为管理,如果是这样的无线ac这边不存在做什么认证对接,无线仅做为正常的流量转发设备,不会参与解析认证报文中的内容,不会识别这些用户名称
- 2026-05-25回答
- 评论(2)
- 举报
-
(0)
认证设备是钉钉服务器
zhiliao_NsRq63
发表时间:2026-05-25
无线做为认证接入设备的话,dis portal user all内的username就是解析radius报文中的携带的账号
network
发表时间:2026-05-25
可以配置为钉钉账号的用户名。
在深信服上网行为管理(AC)与无线控制器(WAC)对接并开启钉钉认证的场景下,
dis portal user all 命令中显示的 username,默认情况下就是员工在钉钉系统中的真实账号(通常是钉钉绑定的手机号,或者是企业自定义的钉钉工号/员工账号)。为了让你更清晰地理解这个流程,以下是该方案的技术原理和配置要点:
为什么显示的是钉钉账号?
当无线终端(手机/电脑)连接 Wi-Fi 时,会触发 Portal 认证并弹出钉钉扫码或授权页面。
- 身份传递:用户完成钉钉扫码/授权后,钉钉服务器会将该用户的真实身份(即钉钉账号)回传给深信服 AC。
- 账号同步(关键步骤):深信服 AC 接收到钉钉账号后,通常需要在 AC 本地存在一个同名的用户账号(或者开启“自动录入”功能)。AC 会将钉钉传回来的这个账号,作为最终的认证用户名进行记录和策略下发。
- 日志呈现:因此,当你在深信服 AC 的后台命令行输入
dis portal user all时,看到的username就是经过钉钉成功认证后的真实员工账号。
核心配置注意事项
为了确保
username 能正确显示为钉钉账号,并实现正常的准入控制,你需要关注以下两点:- 开启“自动录入”或提前建号:
在深信服 AC 的【接入管理】-【接入认证】-【Portal认证】-【认证策略】中,建议开启“自动录入用户到本地”以及“自动录入绑定关系”。这样,当员工首次用钉钉认证成功后,AC 会自动将该钉钉账号创建为本地用户,后续就能正常匹配策略并记录日志。 - 确保网络互通:
深信服 AC 必须能够正常访问钉钉的服务器域名(如***.***、***.***等),否则无法完成账号信息的拉取和校验,认证页面可能会无法加载或报错。
结论先说:可以做到让无线控制器上的 Portal 用户名 = 钉钉用户名,但不是在 AC 上手动 “配置固定用户名”,而是由深信服 AC(做钉钉 OAuth 认证)→ 把钉钉用户名传给无线 AC → 无线 AC 上自动生成 / 显示该用户名。下面把原理、能否匹配、怎么看和关键点说清楚。
一、认证流程(谁负责钉钉账号)
拓扑:
无线 AC(Portal)→ 深信服 AC(认证 + 上网行为)→ 对接钉钉服务器(OAuth 扫码)
- 用户连 WiFi → 被无线 AC 重定向到深信服 AC 的 Portal 页。
- 用户点 “钉钉登录”→ 扫码 / 授权 → 钉钉认证通过。
- 深信服 AC 从钉钉拿到:钉钉用户名(如手机号 / 姓名 / 工号)、用户 ID、部门。
- 深信服通过 Portal 协议(或 RADIUS)把钉钉用户名回传给无线 ACH3C。
- 无线 AC 记录该用户:display portal user all 里的 username 就是钉钉用户名H3C。
所以:
- 不需要在无线 AC 上手动建用户;
- 可以做到 username = 钉钉账号H3C。
二、display portal user all 里能否显示钉钉用户名?
能,但取决于深信服回传什么字段。
- 深信服钉钉认证后,默认回传:钉钉昵称 / 手机号 / 钉钉 userid。
- 无线 AC 收到后,就会在 Portal 用户表中显示为 usernameH3C。
典型效果(无线 AC 上):
plaintext
<AC> display portal user all
Username Interface IP Address State
138xxxx1234 WLAN-DBSS1/1 10.1.1.100 Online
zhangsan WLAN-DBSS1/2 10.1.1.101 Online
这里的
138xxxx1234/zhangsan 就是钉钉侧的用户标识。三、关键点(容易踩坑)
-
不要在无线 AC 上手动创建同名本地用户 会冲突,应该让深信服动态推送用户名H3C。
-
深信服必须开启 “把用户名传给接入设备”
- 路径:用户认证与管理 → 认证策略 → 钉钉认证 → 高级 / 参数 → 开启透传用户名到 NAS / 接入设备。
- 否则无线 AC 上 username 可能显示为随机串 / 空 / 固定账号。
-
无线 AC 与深信服对接用 Portal(推荐)或 RADIUS
- Portal:深信服做认证页,回传钉钉用户名H3C。
- RADIUS:也可以,但通常 Portal 更适合钉钉扫码场景H3C。
-
钉钉侧配置正确(CorpID、AppKey、AppSecret) 深信服要先对接钉钉成功,才能拿到并回传用户信息。
四、一句话总结
- 可以:无线 AC Portal 用户列表中的 username 可以是钉钉用户名H3C。
- 方式:由深信服 AC 钉钉认证后自动回传,无需在无线 AC 上手动配置。
- 检查:在深信服上开启透传用户名到接入设备即可。
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
无线做为认证接入设备的话,dis portal user all内的username就是解析radius报文中的携带的账号