• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

05-用户配置指导

本章节下载 05-用户配置指导  (287.17 KB)

05-用户配置指导


1 用户和用户认证

1.1  用户概述

用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。

本系统的用户类型有:匿名用户、静态绑定用户、认证用户。

·     匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户I作为匿名用户的用户名。

·     静态绑定用户,是指根据系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。

·     认证用户,是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证。

根据不同的用户分类,系统可采取不同的用户策略,对用户的网络访问等进行权限限制和监控。

1.2  用户和用户认证配置

表1-1 用户和用户配置简介

配置任务

说明

详细配置

配置本地用户

必选

1.2 

配置用户组

可选

1.4 

配置用户识别属性

可选

1.5 

配置静态绑定用户

可选

1.6 

配置用户认证

可选

1.7 

配置用户策略

必选

1.7.5 

配置认证服务器

可选

1.9 

 

1.3  配置本地用户

按照表1-2步骤配置本地用户。

表1-2 配置本地用户

操作

命令

说明

进入系统视图

system-view

添加本地用户并且进入用户视图

user username

必选

配置用户描述信息

description desc

可选

缺省情况下,没有用户描述信息

启用本地用户

enable

可选

缺省会自动启用本地用户

 

1.4  配置用户组

按照表1-3步骤配置用户组。

表1-3 配置用户组

操作

命令

说明

进入系统视图

system-view

添加本地用户组并且进入用户组视图

user-group groupname

必选

添加组成员

member name

可选

缺省情况下,用户组没有用户成员

验证用户是否匹配用户

match user username

可选

验证过程

 

注意

·     用户组成员可以是另外一个用户组。

·     配置用户组加入另外一个用户组时,注意不要发生相互包含。

 

1.5  配置用户识别属性

按照表1-4步骤配置用户识别属性。

表1-4 配置用户识别属性

操作

命令

说明

进入系统视图

system-view

配置用户识别范围和识别模式

user-param recognition scope name [ heuristic|strict ]

可选

缺省情况下,识别范围是私有地址,

缺省情况下,识别方式为strict

配置可识别的用户个数上限

user-param threshold count

可选

缺省情况下,识别用户的个数是因设备内存大小不同会有差异。

(1)内存大于等于8G 的规格为60000;

(2)内存大于等于4G而小于8G的规格为40000;

(3)内存小于4G的规格为10000

 

注意

·     识别模式分为“启发模式”和“强制模式”两种。

·     “启发模式”指的是,优先将属于识别范围的IP地址识别为用户,并且先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为用户。

·     “强制模式”指的是,只有源IP或目的IP地址属于识别范围时,才会被识别为用户;否则不识别,该IP地址不受系统转发流程中用户识别后的所有功能模块限制,如:不受用户策略限制,也不会出现在在线用户当中。

 

1.6  配置静态绑定用户

1.6.1  配置准备

首先需要配置要绑定的用户。

1.6.2  配置静态绑定用户

按照表1-5步骤配置静态绑定用户。

表1-5 配置静态绑定用户

操作

命令

说明

进入系统视图

system-view

进入用户视图

user username

启用静态绑定

enable bind

必选

配置绑定的IP地址

bind ip{ address ip-address | range start_ipend_ip }

必选

配置例外IP地址

bind exclude ip{ address ip-address  | range start_ipend_ip }

可选

 

说明

·     绑定IP地址可以配置多条,但是条目之间不能有冲突现象。

·     用户和用户组的名称不能相同。

 

1.7  配置用户认证

1.7.1  配置本地认证用户

1. 配置准备

首先需要配置要认证的用户。

2. 配置本地认证用户

按照表1-6步骤配置本地用户。

表1-6 配置本地认证用户

操作

命令

说明

进入系统视图

system-view

进入用户视图

user username

启用认证

enable authenticate

必选

设置用户认证密码

authenticate local password change-password {enable | disable }

必选

 

说明

认证用户和静态绑定用户只能选择其中一种。

 

1.7.2  配置本地WEB认证

按照表1-7步骤配置本地WEB认证。

表1-7 配置本地WEB认证属性

操作

命令

说明

进入系统视图

system-view

配置WEB本地认证的强制重认证时间

user-webauth force-timeout timeout

可选

配置WEB本地认证的重定向时间

user-webauth hello-url url

可选

配置WEB本地认证的心跳超时时间

user-webauth keepalive-timeout timeout

可选

缺省情况下,WEB本地认证的心跳超时时间为10分钟

配置WEB本地认证允许重复登录的次数

user-webauth login-multi number[ count]

二选一

缺省情况下,是单用户登录,会剔除老的用户。

配置WEB本地认证的单用户登录方式

user-webauth login-single mode { kick-old|forbid-new }

 

1.7.3  配置LDAP认证用户

1. 配置准备

·     配置要认证的用户。

·     配置LDAP认证服务器。

2. 配置LDAP认证用户

按照表1-8步骤配置LDAP用户。

表1-8 配置LDAP认证用户

操作

命令

说明

进入系统视图

system-view

进入用户视图

user username

启用认证

enable authenticate

必选

配置LDAP认证服务器

authenticate ldap server

二者必选其一

配置LDAP认证组

authenticate group group-name

 

1.7.4  配置RADIUS认证用户

1. 配置准备

·     配置要认证的用户。

·     配置RADIUS认证服务器。

2. 配置RADIUS认证用户

按照表1-9步骤配置RADIUS用户。

表1-9 配置RADIUS认证用户

操作

命令

说明

进入系统视图

system-view

进入用户视图

user username

启用认证

enable authenticate

必选

配置RADIUS认证服务器

authenticate radius server

二者必选其一

配置RADIUS认证组

authenticate group group-name

 

1.7.5  配置微信认证

按照表1-10步骤配置微信认证。

表1-10 配置微信认证

操作

命令

说明

进入系统视图

system-view

配置微信公众号APPID

user-wechat appid string

必选

从微信公众平台获取appid

配置微信公众号应用密钥

user-wechat secretkey string

必选

配置微信认证token-url

user-wechat token-url url

可选

允许为空,当不配置token-url时直接从微信平台获取token,配置token-url后从token-url间接获取token)。当有多个网关使用同一个微信公众号时需要设置token-url,因为一旦微信公众号上的token更新后,老的token就失效了

配置微信认证强制关注

user-wechat force-concern {enable|disable

可选

配置微信认证无感知功能

user-wechat without-awareness {enable|disable

可选

配置微信认证用户白名单

user-wechat white-list A.B.C.DA.B.C.D/M

可选

微信用户白名单只对微信认证有效

配置认证的超时时间

user-wechat timeout time-value

可选

缺省情况,超时时间为15分钟

 

1.7.6  配置短信认证

按照表1-11步骤配置短信认证。

表1-11 配置短信认证

操作

命令

说明

进入系统视图

system-view

配置短信认证无感知功能

user-sms without-awareness {enable|disable

可选

缺省情况为关闭状态

配置认证的超时时间

user-sms timeout time-value

可选

缺省情况,超时时间为15分钟

 

1.7.7  配置免认证

按照表1-12步骤配置免认证。

表1-12 配置免认证

操作

命令

说明

进入系统视图

system-view

配置免认证超时时间

user-free timeout time-value

可选

缺省情况,超时时间为15分钟

 

1.7.8  配置AD域单点登录

按照表1-13步骤配置单点登录。

表1-13 配置免认证

操作

命令

说明

进入系统视图

system-view

配置AD域单点登录会话密钥

user-adsso key key

必选

 

 

1.7.9  配置Port Server认证

按照表1-14步骤配置Port Server认证。

表1-14 配置Port Server认证服务器

操作

命令

说明

进入系统视图

system-view

配置Port Server认证的RADIUS服务器

user-portal-server radius name

必选

配置认证的重定向URL

user-portal-server portal-url url-name

必选

配置Port Server服务器的IP地址

user-portal-server server server-ip

必选

配置认证的超时时间

user-portal-server timeout time-value

可选

缺省情况,超时时间为15分钟

 

1.8  配置用户策略

按照表1-15步骤配置用户策略。

表1-15 配置用户策略

操作

命令

说明

进入系统视图

system-view

配置用户策略

user-policy { if_in | any } { if_out | any } { sip | any } { dip  | any } { schedule | always } {free-webauth|sms-webauth|mix-webauth|local-webauth|portal-server-webauth|wechat-webauth|sso-no-authen-ip|sso-match-other } [ id ] [ head | { before | after } [ compare-id ] ]

必选

配置混合认证策略

user-policy { if_in | any } { if_out | any } { sip | any } { dip  | any } { schedule | always }  mix-webauth  {free/local/sms/wechat} [ id ] [ head | { before | after } [ compare-id ] ]

可选

 

1.9  配置认证服务器

1.9.1  配置RADIUS认证服务器

按照表1-16步骤配置RADIUS认证服务器。

表1-16 配置RADIUS认证服务器

操作

命令

说明

进入系统视图

system-view

配置RADIUS服务器配置

radius-server name server-ipsecret[port ]

必选

 

1.9.2  配置LDAP认证服务器

按照表1-17步骤配置LDAP认证服务器。

表1-17 配置LDAP认证服务器

操作

命令

说明

进入系统视图

system-view

配置LDAP服务器名并进入LDAP配置模式

ldap name

必选

配置LDAP服务器地址

ldap server-ip[ port ]

端口为可选项

缺省情况下,LDAP服务器端口为389

配置绑定类型

bindtype{ anonymous | simple user name passwd password }

必选

配置通用标识名

cnid cnid

必选

区别名

dn dn

必选

 

1.9.3  配置RADIUS认证服务器组

按照表1-18步骤配置RADIUS认证服务器组。

表1-18 配置RADIUS认证服务器组

操作

命令

说明

进入系统视图

system-view

配置RADIUS服务组

server-group name radius firewall

必选

配置RADIUS服务器加入服务器组

radius-server name group groupname

可选

缺省情况下,服务器组中没有服务器

 

1.9.4  配置LDAP认证服务器组

按照表1-19步骤配置LDAP认证服务器组。

表1-19 配置LDAP认证服务器组

操作

命令

说明

进入系统视图

system-view

配置LDAP服务组

server-group name ldap firewall

必选

配置LDAP服务器加入服务器组

ldap name  group groupname

可选

缺省情况下,服务器组中没有服务器

 

1.10  配置白名单

1.10.1  配置域名白名单

按照表1-20步骤配置域名白名单。

表1-20 配置域名白名单

操作

命令

说明

进入系统视图

system-view

配置域名白名单

user-policy whitelist host host

可选

支持设置IP或域名

配置白名单排除地址

user-policy whitelist exclude host host

可选

支持设置IP或域名

 

1.10.2  配置用户白名单

按照表1-21步骤配置用户白名单。

表1-21 配置用户白名单

操作

命令

说明

进入系统视图

system-view

配置用户白名单

user-policy user-whitelist {A.B.C.D|A.B.C.D/M

可选

用户白名单对所有认证方式生效,白名单中的用户不受认证策略限制

 

1.11  用户/用户认证显示和维护显示和维护

按照表1-22的命令查看维护用户的配置。

表1-22 用户的显示和维护命令

操作

命令

显示本地用户

display user [username ]

显示用户组

display user-group [usergroupname ]

显示在线用户状态

display user-recognition

显示用户策略

display user-policy

清除所有动态识别出的在线用户

clear user-recognition

 

1.12  用户策略配置举例

1.12.1  用户策略配置举例

1. 组网需求

强制A部门(192.168.1.0/24)必须做本地WEB认证后才能正常上网。

2. 配置步骤

(1)     为部门A配置一个统一的用户A。

hostA(config)# user A

hostA(config-user)# enable authenticate

hostA(config-user)# authenticate local 123456 change-password enable

hostA(config)# display user

Flags: E--Enabled, F--Frozen-Enabled, A--Authenticate-Need, B--Bind-Address

Name                              Ref Status Frozen-EndTime     Account                                          Bind-Address

any                                 0 E---

A                                   0 E-A-                      [LOCAL]

(2)     配置用户认证属性,允许多用户同时登录。

hostA(config)# user-webauth login-multi 100

(3)     为部门A分配一个地址对象。

hostA (config)# address A部门

hostA (config-address)# ipsubnet 192.168.1.0/24

hostA (config-address)# exit

(4)     配置用户策略。

hostA (config)# user-policy ge1 ge0 A部门 any always local-webauth

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们