短信认证的安全和上网终端数量限制
- 0关注
- 0收藏,31浏览
实现方式:
核心依赖AAA/Radius服务器:将用户标识设为手机号,在AAA用户配置中设置最大会话数=1(如H3C Radius服务器中配置Max-Auth-SessiOns=1),限制同一用户标识的并发接入数。
AC设备配置:在接入控制器(AC)中配置用户接入策略,关联用户标识(手机号),限制同一用户的并发会话数。
IMC支持:IMC可在用户账户中配置“最大并发终端数=1”,并下发至AC/AAA执行。
云简(若指云管理平台):若为H3C云管理平台,可通过策略模板统一配置用户并发限制,但需底层AC/AAA支持。
问题2:禁止未注册手机号
实现方式:
IMC用户白名单:在IMC用户管理模块中录入员工手机号,建立白名单。
短信平台对接:短信认证触发时,短信平台对接IMC用户数据库,校验手机号是否在白名单中,仅允许白名单手机号获取验证码。
Portal页面校验:若采用Portal认证,可在认证页面前端校验手机号合法性,未在IMC注册的手机号直接拦截。
关键命令示例(IMC+AC+AAA):
1. IMC配置用户最大并发数:
IMC用户管理→用户账户→编辑用户→接入策略→最大并发数=1
2. AC配置用户接入限制:
[AC] user-profile name test-user
[AC-user-profile-test-user] max-session 1
[AC-user-profile-test-user] service-type wireless
3. AAA配置用户会话数:
[Radius-Server] aaa user test-user password cipher XXXX
[Radius-Server] aaa user test-user max-sessions 1
结论:两个需求均可通过IMC+AC+AAA架构实现,云简(若为云管理平台)可辅助策略下发,但核心配置依赖底层设备与AAA服务器。
1. 同一手机号仅允许一台终端在线,新设备登录自动挤掉旧设备
- 如果您使用的是 iMC (EIA组件):
iMC 支持精细化的终端绑定与在线数量限制。您可以通过以下两种方式进行配置:- 全局或按用户组设置:在“智能门户管理”->“系统参数”中启用“在线用户数量限制”功能,并在对应的用户分组中将同时在线数设置为 1。
- 针对单个账号限制:在增加或修改特定用户时,将“设置在线用户数”指定为 1。
- 强制踢下线机制:为了确保第二台设备登录时能立即把第一台挤掉线,需要在认证域下开启 Portal 强踢功能(配置
portal force-logout re-authenticate),这样当新设备发起认证时,系统会自动让占用名额的旧会话下线。
- 如果您使用的是云简网络 (Cloudnet):
云简同样原生支持该功能。在进行短信认证的模板配置时,您可以在“认证配置”页面找到 “终端限制” 选项并将其开启(状态设为 ON)。开启后,同一手机号只能与一个终端绑定,即只允许最后一个使用该手机号认证的终端在线,先前的设备会被自动挤下线。
2. 禁止家属手机号上网,仅允许提前注册的员工手机号获取验证码
- iMC 的白名单机制:
iMC 提供了完善的“白名单”管控能力。您可以提前收集员工的手机号并导入后台,然后在短信认证策略中“启用白名单”功能。开启该功能后,只有处于白名单列表中的手机号才能收到短信验证码,未在库内的号码将被直接拦截,无法完成认证。这完美契合了您限制家属使用自己手机号注册的安全诉求。 - 云简的替代方案:
需要注意的是,云简平台的短信认证模块也支持“启用白名单”功能,但通常需要配合第三方短信服务(目前主要适配亿美短信平台)来使用。如果您的企业有严格的内部合规要求,必须使用特定的内部短信网关(如移动云 MAS),那么采用 iMC + EIA 的方案会更加灵活,因为 iMC 支持通过定制开发对接客户自有的短信平台或专属协议。
暂无评论
需求 1:同一手机号只允许一台终端在线,第二台挤掉第一台
IMC/EAD:可以,原生支持 “单账号单终端” 并发限制。
云简(H3C CloudNet):目前不支持 “按手机号强制唯一在线终端”,只能做简单并发数限制,做不到 “后登踢前”。
需求 2:只允许员工手机号注册,家属手机号不能用(手机号白名单)
必须在 IMC 里做手机号白名单:把员工手机号提前录入 IMC,只有白名单内的号码才能收到验证码并认证上网;不在名单里直接拒绝下发验证码或拒绝认证。
云简没有 “手机号白名单” 功能,只能开 / 关短信认证,不能限制 “哪些号码能发验证码”。
下面分两部分讲清楚怎么做、为什么云简不行。
一、IMC + EAD 实现 “唯一终端 + 手机号白名单”
1)同一手机号只一台终端在线(后登踢前)
在 IMC(含 EAD / 访客组件)里:
进入 用户 → 用户接入策略 → 接入策略
新建或编辑策略:
最大在线终端数:1
勾选 “同一账号新终端登录时,强制下线旧终端”(有的版本叫 “抢占登录”)
把该策略绑定给短信认证的接入服务。
效果:
手机 A 用 138xxxx1234 认证 → 上网
手机 B 用同一号码收验证码登录 → 手机 A 直接被踢下线,手机 B 上线
2)员工手机号白名单(家属不能注册)
IMC 做法(标准方案):
收集员工手机号列表(Excel)
IMC → 用户 → 短信用户(或访客用户)→ 批量导入
用户类型:短信认证用户 / 访客
用户名 / 账号:手机号
开启 “仅白名单手机号可获取验证码”(部分版本叫 “严格模式”)。
结果:
员工手机号 → 能收验证码、能上网
家属 / 陌生手机号 → 点 “获取验证码” 直接提示 “未授权号码”,短信都不发。
二、云简平台为什么做不到这两个需求
云简(H3C CloudNet)定位是轻量化、免服务器的管理平台:
终端并发控制
云简可以设 “单账号最大在线终端数”(比如 1)
但不支持 “新终端登录踢旧终端”:
第二台用同一手机号登录时,直接提示 “超出终端数”,不会挤掉前面的。
手机号白名单
云简没有 “短信认证白名单” 功能
只能整体开启 / 关闭短信认证,无法限制 “哪些号码能发验证码”
所有人(员工 + 家属 + 访客)只要有手机号都能注册上网。
三、给你的落地建议
如果必须要:
1)一号一终端、后登踢前
2)只有员工手机号能用
→ 必须上 IMC+EAD(或至少 IMC 访客 / 短信认证组件),云简满足不了安全要求。
极简部署建议(适合你场景)
现有无线 / 交换机不变
部署一台 IMC(含 EAD、访客、短信认证模块)
对接短信网关(IMC 支持主流短信通道)
配置:
短信认证 Portal 指向 IMC
手机号白名单(员工导入)
单手机号最大终端 = 1,开启抢占登录
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论