×
ข้ามไปยังเนื้อหาหลัก

การทำ Auto Authentication (Bypass Captive Portal) บน Sangfor IAG

ปรับปรุงเมื่อ

บทนำ

Auto Authentication (Bypass Captive Portal) บน Sangfor IAG เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถเข้าถึงอินเทอร์เน็ตได้โดยไม่ต้องผ่านหน้า Captive Portal ทุกครั้ง โดยระบบจะจดจำอุปกรณ์ที่เคย authenticate สำเร็จแล้ว ผ่านกลไก Cookie-based Authentication หรือ IP/MAC Binding ทำให้ผู้ใช้ไม่ต้องกรอก username/password ซ้ำ เหมาะสำหรับสภาพแวดล้อมที่ต้องการความสะดวกในการใช้งาน เช่น สำนักงานที่ผู้ใช้ใช้อุปกรณ์ประจำ

ข้อกำหนดเบื้องต้น

  • มี Sangfor IAG ที่ติดตั้งและใช้งานได้ปกติ พร้อมสิทธิ์ Admin
  • มี Authentication Policy ที่ตั้งค่าเป็น Password Based หรือ Open Auth อยู่แล้ว
  • ทราบ IP range/MAC ของกลุ่มผู้ใช้ที่ต้องการทำ Auto Authentication

ขั้นตอนการตั้งค่า

สามารถทำ Auto Authentication ได้หลายวิธี ดังนี้:

วิธีที่ 1: Cookie-based Authentication

  1. ไปที่ Access Mgt > Authentication > Web Authentication > Advanced > Authentication Options
  2. ในส่วน Auto Authentication Options ให้ติ๊ก Enable cookie-based authentication
  3. กำหนด Period (days): ระยะเวลาที่ cookie มีผล (ค่าเริ่มต้น 30 วัน สูงสุด 100 วัน)
  4. คลิก Commit
IAG Authentication Options - Auto Authentication and Cookie-based Settings

เมื่อเปิดใช้งาน ผู้ใช้ที่เคย login สำเร็จจะไม่ต้อง login ซ้ำภายในระยะเวลาที่กำหนด ตราบใดที่ browser ยังเก็บ cookie อยู่

วิธีที่ 2: Open Authentication Policy

  1. ไปที่ Access Mgt > Authentication > Web Authentication > Authentication Policy
  2. คลิก Add เพื่อสร้าง policy ใหม่
  3. กรอก Name และระบุ IP/MAC Address ของกลุ่มผู้ใช้ที่ต้องการ bypass
  4. ในส่วน Auth Method เลือก Open authentication
  5. เลือก Username: กำหนดเป็น IP address, MAC address หรือ hostname
  6. คลิก Commit

ผู้ใช้ที่ IP/MAC ตรงกับ policy นี้จะเข้าถึงอินเทอร์เน็ตได้โดยไม่ต้อง login

วิธีที่ 3: Automatic Binding หลัง Authentication

  1. ไปที่ Access Mgt > Authentication > Web Authentication > Authentication Policy
  2. เลือก policy ที่ต้องการแก้ไข หรือสร้างใหม่
  3. ในส่วน Action ให้ติ๊ก Automatic binding
  4. เลือก Bind IP to MAC address หรือ Bind user account to IP and MAC address
  5. กำหนด Purpose:
    • Auto authentication: ผู้ใช้ที่ bind แล้วจะเข้าถึงอินเทอร์เน็ตได้โดยอัตโนมัติ
    • Correlated login with account: ผู้ใช้จะถูก authenticate ด้วย account ที่ bind ไว้เมื่อ login จาก IP/MAC ที่กำหนด
  6. กำหนด Validity Period: เลือก Never expire หรือกำหนดจำนวนวัน
  7. คลิก Commit

วิธีที่ 4: Open Auth for Data Flow from WAN to LAN

  1. ไปที่ Access Mgt > Authentication > Web Authentication > Advanced > Authentication Options
  2. ในส่วน Other Options ให้ติ๊ก Open auth for data flow from WAN to LAN interface
  3. คลิก Commit

ใช้สำหรับกรณีที่ IAG deploy แบบ bridge mode ระหว่าง intranet กับ proxy server เพื่อไม่ต้อง authenticate public IP address ที่มาจาก WAN

การตรวจสอบ

  • ทดสอบเปิด browser แล้วเข้าเว็บไซต์ ตรวจสอบว่าไม่มีหน้า Captive Portal ปรากฏ
  • ตรวจสอบที่ Status > Online Users ว่าผู้ใช้ปรากฏด้วย Auth Method ที่ถูกต้อง (Open Auth หรือ Auto Auth)
  • สำหรับ Cookie-based Authentication ทดสอบโดยปิดและเปิด browser ใหม่ แล้วตรวจสอบว่ายังเข้าถึงอินเทอร์เน็ตได้โดยไม่ต้อง login

หมายเหตุ

  • Cookie-based Authentication จะหมดอายุเมื่อผู้ใช้ลบ cookie ของ browser หรือเกินระยะเวลาที่กำหนด
  • Authentication Policy ที่ใช้ Open Auth ควรวางไว้ เหนือ policy อื่นที่ใช้ Password Based เพื่อให้ match ก่อน
  • Automatic Binding จะถูกลบอัตโนมัติเมื่อหมดอายุ หากเปิดใช้งาน Auto clean up expired bindings ในหน้า Authentication Options
  • การใช้ Open Auth จะทำให้ไม่สามารถระบุตัวตนของผู้ใช้ได้อย่างแม่นยำ เหมาะสำหรับ network ที่ไม่ต้องการ user-level audit

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น