04-用户配置指导
本章节下载: 04-用户配置指导 (391.36 KB)
用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。
本系统的用户类型有:匿名用户、静态绑定用户、认证用户。
· 匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户I作为匿名用户的用户名。
· 静态绑定用户,是指根据系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。
· 认证用户,是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证。
根据不同的用户分类,系统可采取不同的用户策略,对用户的网络访问等进行权限限制和监控。
配置任务 |
说明 |
详细配置 |
配置本地用户 |
必选 |
|
配置用户组 |
可选 |
|
配置用户识别属性 |
可选 |
|
配置静态绑定用户 |
可选 |
|
配置用户认证 |
可选 |
|
配置用户策略 |
必选 |
|
配置认证服务器 |
可选 |
按照表1-2步骤配置本地用户。
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
添加本地用户并且进入用户视图 |
user username |
必选 |
配置用户描述信息 |
description desc |
可选 缺省情况下,没有用户描述信息 |
启用本地用户 |
enable |
可选 缺省会自动启用本地用户 |
绑定用户到用户组 |
bind-group groupname |
可选 缺省情况下用户绑定到默认组。 |
配置过期时间 |
expire-set { never-expire | YYYY-MM-DD} |
可选 缺省情况下永不过期。 |
按照表1-3步骤配置用户组。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
添加本地用户组并且进入用户组视图 |
user-group groupname |
必选 |
添加组成员 |
member name |
可选(R6609之前的版本支持) 缺省情况下,用户组没有用户成员 |
验证用户是否匹配用户 |
match user username |
可选 验证过程 |
· 用户组成员可以是另外一个用户组。
· 配置用户组加入另外一个用户组时,注意不要发生相互包含。
按照表1-4步骤配置用户识别属性。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置用户识别范围和识别模式 |
user-param recognition scope name [ heuristic|strict ] |
可选 缺省情况下,识别范围是私有地址, 缺省情况下,识别方式为strict |
配置可识别的用户个数上限 |
user-param threshold count |
可选 缺省情况下,识别用户的个数是因设备内存大小不同会有差异。 (1)内存大于等于8G 的规格为60000; (2)内存大于等于4G而小于8G的规格为40000; (3)内存小于4G的规格为10000 |
· 识别模式分为“启发模式”和“强制模式”两种。
· “启发模式”指的是,优先将属于识别范围的IP地址识别为用户,并且先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为用户。
· “强制模式”指的是,只有源IP或目的IP地址属于识别范围时,才会被识别为用户;否则不识别,该IP地址不受系统转发流程中用户识别后的所有功能模块限制,如:不受用户策略限制,也不会出现在在线用户当中。
首先需要配置要绑定的用户。
按照表1-5步骤配置静态绑定用户。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
进入用户视图 |
user username |
— |
启用静态绑定 |
enable bind |
必选 |
配置绑定的IP地址 |
bind ip{ address ip-address | range start_ipend_ip | net ipnet} |
必选 |
配置例外IP地址 |
bind exclude ip{ address ip-address | range start_ipend_ip |net ipnet} |
可选 |
· 绑定IP地址可以配置多条,但是条目之间不能有冲突现象。
· 用户和用户组的名称不能相同。
首先需要配置要认证的用户。
按照表1-6步骤配置本地用户。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
进入用户视图 |
user username |
— |
设置用户认证密码 |
authenticate local password change-password {enable| disabe} first-log-change-pwd {enable| disabe} |
必选 |
认证用户和静态绑定用户只能选择其中一种。
按照表1-7步骤配置本地WEB认证。
表1-7 配置本地WEB认证属性
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置WEB本地认证的强制重认证时间 |
user-webauth force-timeout timeout |
可选 |
配置WEB本地认证的重定向时间 |
user-webauth hello-url {enable | disable } url |
可选 |
配置WEB本地认证的心跳超时时间 |
user-webauth keepalive-timeout timeout |
可选 缺省情况下,WEB本地认证的心跳超时时间为10分钟 |
配置WEB本地认证允许重复登录的次数 |
user-webauth login-multi number[ count] |
二选一 缺省情况下,是单用户登录,会剔除老的用户。 |
配置WEB本地认证的单用户登录方式 |
user-webauth login-single mode { kick-old|forbid-new } |
· 配置要认证的用户。
· 配置LDAP认证服务器。
按照表1-8步骤配置LDAP用户。
表1-8 配置LDAP认证用户
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
进入用户视图 |
user username |
— |
启用认证 |
enable authenticate |
必选(仅R6609以及以下版本支持) |
配置LDAP认证服务器 |
authenticate ldap server |
二者必选其一 |
配置LDAP认证组 |
authenticate group group-name |
· 配置要认证的用户。
· 配置RADIUS认证服务器。
按照表1-9步骤配置RADIUS用户。
表1-9 配置RADIUS认证用户
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
进入用户视图 |
user username |
— |
启用认证 |
enable authenticate |
必选(仅R6609以及以下版本支持) |
配置RADIUS认证服务器 |
authenticate radius server |
二者必选其一 |
配置RADIUS认证组 |
authenticate group group-name |
按照表1-10步骤配置微信认证。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置认证的超时时间 |
user-wechat timeout time-value |
可选 缺省情况,超时时间为15分钟 |
开启/关闭无感知 |
user-wechat without-awareness {enable|disable} |
可选 |
配置无感知超时时间 |
user-wechat without-awareness timeout <10-144000> |
可选 默认时间为10080分钟 |
配置微信认证用户名类型 |
user-wechat name-type ( ip|openid | phone_number ) |
可选 默认用户名取IP地址 |
配置公众号名称 |
user-wechat official-acct-name NAME |
必选 |
配置微信公众号APPID |
user-wechat appid string |
必选 从微信公众平台获取appid |
配置微信公众号应用密钥 |
user-wechat appsecret string |
必选 |
配置认证步骤 |
user-wechat auth-step string |
必选 |
配置认证URL |
user-wechat auth-url URL |
可选
|
配置放通流量时间 |
user-wechat flow-pass-time <20-60> |
可选 |
配置微信认证用户白名单 |
user-wechat white-list {A.B.C.D|A.B.C.D/M} |
可选 微信用户白名单只对微信认证有效 |
配置微信认证token-url |
user-wechat token-url url |
可选 允许为空,当不配置token-url时直接从微信平台获取token,配置token-url后从token-url间接获取token)。当有多个网关使用同一个微信公众号时需要设置token-url,因为一旦微信公众号上的token更新后,老的token就失效了。 |
按照表1-11步骤配置短信认证。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置短信认证无感知功能 |
user-sms without-awareness {enable|disable} |
可选 缺省情况为关闭状态 |
配置认证的超时时间 |
user-sms timeout time-value |
可选 缺省情况,超时时间为15分钟 |
按照表1-12步骤配置免认证。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置免认证超时时间 |
user-free timeout time-value |
可选 缺省情况,超时时间为15分钟 |
按照表1-13步骤配置单点登录。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置AD域单点登录会话密钥 |
user-adsso key key |
必选 |
按照下表步骤配置Port Server认证。
表1-14 配置Port Server认证服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置Port Server认证的RADIUS服务器 |
user-portal-server radius name |
必选 |
配置认证的重定向URL |
user-portal-server portal-url url-name |
必选 |
配置Port Server服务器的IP地址 |
user-portal-server server [ ip | ipv6 | domain ] |
必选 |
配置认证的超时时间 |
user-portal-server timeout time-value |
可选 缺省情况,超时时间为15分钟。 |
按照下表步骤配置二维码认证。
表1-15 配置二维码认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置二维码流量超时时间 |
user-qrcode keepalive-timeout timeout |
可选 默认为10分钟 |
配置二维码过期时间 |
user-qrcode qrcode-timeout timeout |
可选 默认为2分钟 |
配置二维码认证审核人 |
user-qrcode auditor test name |
必选 默认为any |
配置二维码认证审核方式 |
user-qrcode audit-type{ indirectly| directly} |
必选 默认为 indirectly |
配置二维码认证无感知功能 |
user-qrcode without-awareness {enable|disable} |
可选 |
配置二维码认证返回页面 |
user-qrcode {jump-access-web|jump-redirect-web | jump-auth-web} |
必选 默认为 jump-access-web |
按照下表步骤配置钉钉认证。
表1-16 配置钉钉认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
启用、禁用钉钉认证 |
user-dingtalk (enable|disable) |
必选 |
配置认证超时时间 |
user-dingtalk timeout timeout |
可选 默认为15分钟 |
配置页面跳转设置 |
user-dingtalk jump-access-web user-dingtalk jump-auth-web user-dingtalk jump-redirect-web URL |
必选 三者选一,默认为jump-access-web |
配置回调地址 |
user-dingtalk callbackaddr STRING |
必选 |
配置AppID |
user-dingtalk appid STRING |
必选 |
配置AppSecret |
user-dingtalk appsecret STRING |
必选 |
配置企业 ID |
user-dingtalk enterpriseid STRING |
必选 |
配置自动获取所属组 |
user-dingtalk sync-group (enable|disable) |
可选 默认为disable |
配置路径 |
user-dingtalk group-path STRING |
可选 |
配置AppKey |
user-dingtalk appkey STRING |
可选 |
配置AppSecret |
user-dingtalk group-appsecret STRING |
可选 |
按照表1-17步骤配置用户策略。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置用户策略 |
user-policy { if_in | any } { if_out | any } { sip | any } { dip | any } { schedule | always } {free-webauth|sms-webauth|mix-webauth|local-webauth|portal-server-webauth|wechat-webauth|sso-no-authen-ip|sso-match-other | sam-webauth | qrcode-webauth } {enable | disable } NAME {GROUP {PERIOD | forever | once}| no-record} no user-policy id |
必选 |
配置混合认证策略 |
user-policy { if_in | any } { if_out | any } { sip | any } { dip | any } { schedule | always } mix-webauth {free/local/sms/wechat} [ id ] [ head | { before | after } [ compare-id ] ] |
可选 |
按照表1-18步骤配置RADIUS认证服务器。
表1-18 配置RADIUS认证服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置RADIUS服务器配置 |
radius-server name server-ip{ ipv4 | ipv6 | group } secret [port] [chap|pap] |
必选 A.B.C.D:IPv4地址; X:X::X:X :IPv6地址; SECRET:预共享密钥; PORT:端口; Pap:pap认证; Chap:chap认证。 |
按照表1-19步骤配置LDAP认证服务器。
表1-19 配置LDAP认证服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置LDAP服务器名并进入LDAP配置模式 |
ldap name |
必选 |
配置LDAP服务器地址 |
ldap server-ip[ port ] |
端口为可选项 缺省情况下,LDAP服务器端口为389 |
配置绑定类型 |
bindtype{ anonymous | simple user name passwd password } |
必选 |
配置通用标识名 |
cnid cnid |
必选 |
区别名 |
dn dn |
必选 |
按照表1-20步骤配置RADIUS认证服务器组。
表1-20 配置RADIUS认证服务器组
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置RADIUS服务组 |
server-group name radius firewall |
必选 |
配置RADIUS服务器加入服务器组 |
radius-server name group groupname |
可选 缺省情况下,服务器组中没有服务器 |
按照表1-21步骤配置LDAP认证服务器组。
表1-21 配置LDAP认证服务器组
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置LDAP服务组 |
server-group name ldap firewall |
必选 |
配置LDAP服务器加入服务器组 |
ldap name group groupname |
可选 缺省情况下,服务器组中没有服务器 |
按照下表步骤配置LDAP认证用户同步。
表1-22 配置LDAP认证用户同步
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置LDAP用户同步 |
ldap-task { enable | disable} NAME LDAPSVERVER { ou | sg } {enable | disable } <0-23> <1-24> [.DESCRIPTION] |
必选 |
按表1-23步骤配置SNMP用户同步。
表1-23 配置SNMP认证用户同步
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置SNMPv1、v2用户同步 |
snmp-task {enable|disable} NAME IP MAC CNAME {v1|v2} {<2-36000>|once} {GROUP|no-record} [DESCRIPTION] |
必选 |
配置SNMPv3用户同步 |
snmp-task {enable|disable} NAME IP MAC v3 usm-user UNAME [auth-mode {MD5|SHA|SHA-256} PASSWORD] [privacy {DES|AES} PASSWORD]{<2-36000>|once} {GROUP|no-record} [.DESCRIPTION] |
必选 |
配置SNMP录入方式 |
snmp-task record NAME {IP|MAC|default} |
可选 |
开启、关闭IPMAC自动绑定 |
snmp-task NAME auto-bind {enable|disable} |
可选 |
按照表1-24步骤配置域名白名单。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置域名白名单 |
user-policy whitelist host host |
可选 支持设置IP或域名(IP支持IPv4和IPv6地址) |
配置白名单排除地址 |
user-policy whitelist exclude host host |
可选 支持设置IP或域名(IP支持IPv4和IPv6地址) |
按照表1-25步骤配置用户白名单。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置用户白名单 |
user-policy user-whitelist {A.B.C.D|A.B.C.D/M} |
可选 用户白名单对所有认证方式生效,白名单中的用户不受认证策略限制 |
用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。
说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。
表1-26 配置用户白名单
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置用户MAC敏感 |
user mac-sensitive{enable|disable} |
可选 |
用户认证验证码支持本地web认证、免认证、pop3认证以及混合认证中的本地web认证、免认证。
在开启验证码检查功能的条件下,在进行相关的认证时,会要求输入验证码并对提交的验证码做一致性检查,不区分大小写。如果验证码检查通过,则继续进行后续的用户认证流程;如果输入的验证码和给定的验证码不一致则认证不通过。
表1-27 配置用户认证验证码
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
— |
配置用户MAC敏感 |
user-auth verify-code { enable|disable } |
可选 |
按照表1-28的命令查看维护用户的配置。
操作 |
命令 |
显示本地用户 |
display user [username ] |
显示用户组 |
display user-group [usergroupname ] |
显示在线用户状态 |
display user-recognition |
显示用户策略 |
display user-policy |
清除所有动态识别出的在线用户 |
clear user-recognition |
强制A部门(192.168.1.0/24)必须做本地WEB认证后才能正常上网。
(1) 为部门A配置一个统一的用户A。
hostA(config)# user A
hostA(config-user)# authenticate local 123456 change-password disable
hostA(config)# display user
Flags: E--Enabled, F--Frozen-Enabled, A--Authenticate-Need, B--Bind-Address
Name Ref Status Frozen-EndTime Account Bind-Address
any 6 E---
A 0 E-A- [LOCAL]
(2) 配置用户认证属性,允许多用户同时登录。
hostA(config)# user-webauth login-multi 100
(3) 为部门A分配一个地址对象。
hostA (config)# address A部门
hostA (config-address)# ip subnet 192.168.1.0/24
hostA (config-address)# exit
(4) 配置用户策略。
hostA (config)# user-policy ge1 ge0 A部门 any always local-webauth enable policy1 no-record forever
用户a静态绑定地址2001::2
hostA (config)# user a
hostA (config-user)# enable bind
hostA (config-user)# bind ip address 2001::2
强制用户必须通过微信认证后才能正常上网。
(1) 按组网搭建环境
(2) 配置微信认证。
host(config)# user-wechat timeout 20
host(config)# user-wechat without-awareness enable
host(config)# user-wechat without-awareness timeout 20
host(config)# user-wechat name-type ip
host(config)# user-wechat official-acct-name test
host(config)# user-wechat appid 1234567
host(config)# user-wechat appsecret 1234567890
host(config)# user-wechat auth-step 请回复‘上网’进行微信认证
host(config)# user-wechat auth-url http://www.test.com/
(3) 配置用户策略。
host (config)# user-policy any any any any always wechat-webauth enable policy no-record once
(4) 配置域名管理
host(config)# dns host-name www.test.com 2001::1
(5) 配置DNS服务器
用户通过微信认证后能正常上网
强制用户必须通过钉钉认证后才能正常上网。
(1) 按组网搭建环境
(2) 配置钉钉认证。
host(config)# user-dingtalk enable
host(config)# user-dingtalk timeout 10
host(config)# user-dingtalk jump-access-web
host(config)# user-dingtalk callbackaddr http://192.168.210.82:8000/
host(config)# user-dingtalk appid test123456
host(config)# user-dingtalk appsecret test123456
host(config)# user-dingtalk enterpriseid test123456
(3) 配置用户策略。
host (config)# user-policy any any any any always dingtalk-webauth enable test-ding no-record once
(4) DNS服务器配置
用户通过钉钉认证后能正常上网
host(config)# snmp-task enable snmp同步 172.20.2.58 14:14:4b:60:43:61 123456 v1 120 默认组 des
host(config)# snmp-task snmp同步 auto-bind enable
host(config)#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!