• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

04-用户配置指导

本章节下载 04-用户配置指导  (391.36 KB)

04-用户配置指导


1 用户和用户认证

1.1  用户概述

用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。

本系统的用户类型有:匿名用户、静态绑定用户、认证用户。

·     匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户I作为匿名用户的用户名。

·     静态绑定用户,是指根据系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。

·     认证用户,是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证。

根据不同的用户分类,系统可采取不同的用户策略,对用户的网络访问等进行权限限制和监控。

1.2  用户和用户认证配置

表1-1 用户和用户配置简介

配置任务

说明

详细配置

配置本地用户

必选

1.3 

配置用户组

可选

1.4 

配置用户识别属性

可选

1.5 

配置静态绑定用户

可选

1.6 

配置用户认证

可选

1.7 

配置用户策略

必选

1.8 

配置认证服务器

可选

1.9 

 

1.3  配置本地用户

按照表1-2步骤配置本地用户。

表1-2 配置本地用户

操作

命令

说明

进入系统视图

system-view

添加本地用户并且进入用户视图

user username

必选

配置用户描述信息

description desc

可选

缺省情况下,没有用户描述信息

启用本地用户

enable

可选

缺省会自动启用本地用户

绑定用户到用户组

bind-group groupname

可选

缺省情况下用户绑定到默认组。

配置过期时间

expire-set { never-expire | YYYY-MM-DD}

可选

缺省情况下永不过期。

 

1.4  配置用户组

按照表1-3步骤配置用户组。

表1-3 配置用户组

操作

命令

说明

进入系统视图

system-view

添加本地用户组并且进入用户组视图

user-group groupname

必选

添加组成员

member name

可选(R6609之前的版本支持)

缺省情况下,用户组没有用户成员

验证用户是否匹配用户

match user username

可选

验证过程

 

注意

·     用户组成员可以是另外一个用户组。

·     配置用户组加入另外一个用户组时,注意不要发生相互包含。

 

1.5  配置用户识别属性

按照表1-4步骤配置用户识别属性。

表1-4 配置用户识别属性

操作

命令

说明

进入系统视图

system-view

配置用户识别范围和识别模式

user-param recognition scope name [ heuristic|strict ]

可选

缺省情况下,识别范围是私有地址,

缺省情况下,识别方式为strict

配置可识别的用户个数上限

user-param threshold count

可选

缺省情况下,识别用户的个数是因设备内存大小不同会有差异。

(1)内存大于等于8G 的规格为60000;

(2)内存大于等于4G而小于8G的规格为40000;

(3)内存小于4G的规格为10000

 

注意

·     识别模式分为“启发模式”和“强制模式”两种。

·     “启发模式”指的是,优先将属于识别范围的IP地址识别为用户,并且先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为用户。

·     “强制模式”指的是,只有源IP或目的IP地址属于识别范围时,才会被识别为用户;否则不识别,该IP地址不受系统转发流程中用户识别后的所有功能模块限制,如:不受用户策略限制,也不会出现在在线用户当中。

 

1.6  配置静态绑定用户

1.6.1  配置准备

首先需要配置要绑定的用户。

1.6.2  配置静态绑定用户

按照表1-5步骤配置静态绑定用户。

表1-5 配置静态绑定用户

操作

命令

说明

进入系统视图

system-view

进入用户视图

user username

启用静态绑定

enable bind

必选

配置绑定的IP地址

bind ip{ address ip-address | range start_ipend_ip | net ipnet}

必选

配置例外IP地址

bind exclude ip{ address ip-address  | range start_ipend_ip |net ipnet}

可选

 

说明

·     绑定IP地址可以配置多条,但是条目之间不能有冲突现象。

·     用户和用户组的名称不能相同。

 

1.7  配置用户认证

1.7.1  配置本地认证用户

1. 配置准备

首先需要配置要认证的用户。

2. 配置本地认证用户

按照表1-6步骤配置本地用户。

表1-6 配置本地认证用户

操作

命令

说明

进入系统视图

system-view

进入用户视图

user username

设置用户认证密码

authenticate local password change-password {enable| disabe} first-log-change-pwd {enable| disabe}

必选

 

说明

认证用户和静态绑定用户只能选择其中一种。

 

1.7.2  配置本地WEB认证

按照表1-7步骤配置本地WEB认证。

表1-7 配置本地WEB认证属性

操作

命令

说明

进入系统视图

system-view

配置WEB本地认证的强制重认证时间

user-webauth force-timeout timeout

可选

配置WEB本地认证的重定向时间

user-webauth hello-url {enable | disable } url

可选

配置WEB本地认证的心跳超时时间

user-webauth keepalive-timeout timeout

可选

缺省情况下,WEB本地认证的心跳超时时间为10分钟

配置WEB本地认证允许重复登录的次数

user-webauth login-multi number[ count]

二选一

缺省情况下,是单用户登录,会剔除老的用户。

配置WEB本地认证的单用户登录方式

user-webauth login-single mode { kick-old|forbid-new }

 

1.7.3  配置LDAP认证用户

1. 配置准备

·     配置要认证的用户。

·     配置LDAP认证服务器。

2. 配置LDAP认证用户

按照表1-8步骤配置LDAP用户。

表1-8 配置LDAP认证用户

操作

命令

说明

进入系统视图

system-view

进入用户视图

user username

启用认证

enable authenticate

必选(仅R6609以及以下版本支持)

配置LDAP认证服务器

authenticate ldap server

二者必选其一

配置LDAP认证组

authenticate group group-name

 

1.7.4  配置RADIUS认证用户

1. 配置准备

·     配置要认证的用户。

·     配置RADIUS认证服务器。

2. 配置RADIUS认证用户

按照表1-9步骤配置RADIUS用户。

表1-9 配置RADIUS认证用户

操作

命令

说明

进入系统视图

system-view

进入用户视图

user username

启用认证

enable authenticate

必选(仅R6609以及以下版本支持)

配置RADIUS认证服务器

authenticate radius server

二者必选其一

配置RADIUS认证组

authenticate group group-name

 

1.7.5  配置微信认证

按照表1-10步骤配置微信认证。

表1-10 配置微信认证

操作

命令

说明

进入系统视图

system-view

配置认证的超时时间

user-wechat timeout time-value

可选

缺省情况,超时时间为15分钟

开启/关闭无感知

user-wechat without-awareness {enable|disable

可选

配置无感知超时时间

user-wechat without-awareness timeout <10-144000>

可选

默认时间为10080分钟

配置微信认证用户名类型

user-wechat name-type ( ip|openid | phone_number )

可选

默认用户名取IP地址

配置公众号名称

user-wechat official-acct-name NAME

必选

配置微信公众号APPID

user-wechat appid string

必选

从微信公众平台获取appid

配置微信公众号应用密钥

user-wechat appsecret string

必选

配置认证步骤

user-wechat auth-step string

必选

配置认证URL

user-wechat auth-url URL

可选

 

配置放通流量时间

user-wechat flow-pass-time <20-60>

可选

配置微信认证用户白名单

user-wechat white-list A.B.C.DA.B.C.D/M

可选

微信用户白名单只对微信认证有效

配置微信认证token-url

user-wechat token-url url

可选

允许为空,当不配置token-url时直接从微信平台获取token,配置token-url后从token-url间接获取token)。当有多个网关使用同一个微信公众号时需要设置token-url,因为一旦微信公众号上的token更新后,老的token就失效了。

 

1.7.6  配置短信认证

按照表1-11步骤配置短信认证。

表1-11 配置短信认证

操作

命令

说明

进入系统视图

system-view

配置短信认证无感知功能

user-sms without-awareness {enable|disable

可选

缺省情况为关闭状态

配置认证的超时时间

user-sms timeout time-value

可选

缺省情况,超时时间为15分钟

 

1.7.7  配置免认证

按照表1-12步骤配置免认证。

表1-12 配置免认证

操作

命令

说明

进入系统视图

system-view

配置免认证超时时间

user-free timeout time-value

可选

缺省情况,超时时间为15分钟

 

1.7.8  配置AD域单点登录

按照表1-13步骤配置单点登录。

表1-13 配置免认证

操作

命令

说明

进入系统视图

system-view

配置AD域单点登录会话密钥

user-adsso key key

必选

 

 

1.7.9  配置Port Server认证

按照下表步骤配置Port Server认证。

表1-14 配置Port Server认证服务器

操作

命令

说明

进入系统视图

system-view

配置Port Server认证的RADIUS服务器

user-portal-server radius name

必选

配置认证的重定向URL

user-portal-server portal-url url-name

必选

配置Port Server服务器的IP地址

user-portal-server server [ ip | ipv6 | domain ]

必选

配置认证的超时时间

user-portal-server timeout time-value

可选

缺省情况,超时时间为15分钟。

 

1.7.10  配置二维码认证

按照下表步骤配置二维码认证。

表1-15 配置二维码认证

操作

命令

说明

进入系统视图

system-view

配置二维码流量超时时间

user-qrcode keepalive-timeout timeout

可选

默认为10分钟

配置二维码过期时间

user-qrcode qrcode-timeout timeout

可选

默认为2分钟

配置二维码认证审核人

user-qrcode auditor test name

必选

默认为any

配置二维码认证审核方式

user-qrcode audit-type{ indirectly directly

必选

默认为 indirectly

配置二维码认证无感知功能

user-qrcode without-awareness  {enable|disable

可选

配置二维码认证返回页面

user-qrcode {jump-access-web|jump-redirect-web | jump-auth-web

必选

默认为 jump-access-web

 

1.7.11  配置钉钉认证

按照下表步骤配置钉钉认证。

表1-16 配置钉钉认证

操作

命令

说明

进入系统视图

system-view

启用、禁用钉钉认证

user-dingtalk (enable|disable)

必选

配置认证超时时间

user-dingtalk timeout timeout

可选

默认为15分钟

配置页面跳转设置

user-dingtalk jump-access-web

user-dingtalk jump-auth-web

user-dingtalk jump-redirect-web URL

必选

三者选一,默认为jump-access-web

配置回调地址

user-dingtalk callbackaddr STRING

必选

配置AppID

user-dingtalk appid STRING

必选

配置AppSecret

user-dingtalk appsecret STRING

必选

配置企业 ID

user-dingtalk enterpriseid STRING

必选

配置自动获取所属组

user-dingtalk sync-group (enable|disable)

可选

默认为disable

配置路径

user-dingtalk group-path STRING

可选

配置AppKey

user-dingtalk appkey STRING

可选

配置AppSecret

user-dingtalk group-appsecret STRING

可选

 

1.8  配置用户策略

按照表1-17步骤配置用户策略。

表1-17 配置用户策略

操作

命令

说明

进入系统视图

system-view

配置用户策略

user-policy { if_in | any } { if_out | any } { sip | any } { dip  | any } { schedule | always } {free-webauth|sms-webauth|mix-webauth|local-webauth|portal-server-webauth|wechat-webauth|sso-no-authen-ip|sso-match-other | sam-webauth | qrcode-webauth } {enable | disable } NAME {GROUP {PERIOD | forever | once}| no-record}

no user-policy id

必选

配置混合认证策略

user-policy { if_in | any } { if_out | any } { sip | any } { dip  | any } { schedule | always }  mix-webauth  {free/local/sms/wechat} [ id ] [ head | { before | after } [ compare-id ] ]

可选

 

1.9  配置认证服务器

1.9.1  配置RADIUS认证服务器

按照表1-18步骤配置RADIUS认证服务器。

表1-18 配置RADIUS认证服务器

操作

命令

说明

进入系统视图

system-view

配置RADIUS服务器配置

radius-server name  server-ip{ ipv4 | ipv6 | group secret [port] [chap|pap]

必选
NAME:服务器名称;

A.B.C.D:IPv4地址;

X:X::X:X :IPv6地址;

SECRET:预共享密钥;

PORT:端口;

Pap:pap认证;

Chap:chap认证。

 

1.9.2  配置LDAP认证服务器

按照表1-19步骤配置LDAP认证服务器。

表1-19 配置LDAP认证服务器

操作

命令

说明

进入系统视图

system-view

配置LDAP服务器名并进入LDAP配置模式

ldap name

必选

配置LDAP服务器地址

ldap server-ip[ port ]

端口为可选项

缺省情况下,LDAP服务器端口为389

配置绑定类型

bindtype{ anonymous | simple user name passwd password }

必选

配置通用标识名

cnid cnid

必选

区别名

dn dn

必选

 

1.9.3  配置RADIUS认证服务器组

按照表1-20步骤配置RADIUS认证服务器组。

表1-20 配置RADIUS认证服务器组

操作

命令

说明

进入系统视图

system-view

配置RADIUS服务组

server-group name radius firewall

必选

配置RADIUS服务器加入服务器组

radius-server name group groupname

可选

缺省情况下,服务器组中没有服务器

 

1.9.4  配置LDAP认证服务器组

按照表1-21步骤配置LDAP认证服务器组。

表1-21 配置LDAP认证服务器组

操作

命令

说明

进入系统视图

system-view

配置LDAP服务组

server-group name ldap firewall

必选

配置LDAP服务器加入服务器组

ldap name  group groupname

可选

缺省情况下,服务器组中没有服务器

 

1.10  配置用户同步

1.10.1  配置LDAP用户同步

按照下表步骤配置LDAP认证用户同步。

表1-22 配置LDAP认证用户同步

操作

命令

说明

进入系统视图

system-view

配置LDAP用户同步

ldap-task { enable | disable} NAME LDAPSVERVER { ou | sg }  {enable | disable } <0-23> <1-24> [.DESCRIPTION]

必选

 

1.10.2  配置SNMP用户同步

按表1-23步骤配置SNMP用户同步。

表1-23 配置SNMP认证用户同步

操作

命令

说明

进入系统视图

system-view

配置SNMPv1、v2用户同步

snmp-task {enable|disable} NAME  IP MAC CNAME {v1|v2} {<2-36000>|once} {GROUP|no-record} [DESCRIPTION]

必选

配置SNMPv3用户同步

snmp-task {enable|disable} NAME  IP MAC v3 usm-user UNAME [auth-mode {MD5|SHA|SHA-256} PASSWORD] [privacy {DES|AES} PASSWORD]{<2-36000>|once} {GROUP|no-record} [.DESCRIPTION]

必选

配置SNMP录入方式

snmp-task record NAME {IP|MAC|default}

可选

开启、关闭IPMAC自动绑定

snmp-task NAME auto-bind {enable|disable}

可选

 

1.11  配置白名单

1.11.1  配置域名白名单

按照表1-24步骤配置域名白名单。

表1-24 配置域名白名单

操作

命令

说明

进入系统视图

system-view

配置域名白名单

user-policy whitelist host host

可选

支持设置IP或域名(IP支持IPv4和IPv6地址)

配置白名单排除地址

user-policy whitelist exclude host host

可选

支持设置IP或域名(IP支持IPv4和IPv6地址)

 

1.11.2  配置用户白名单

按照表1-25步骤配置用户白名单。

表1-25 配置用户白名单

操作

命令

说明

进入系统视图

system-view

配置用户白名单

user-policy user-whitelist {A.B.C.D|A.B.C.D/M

可选

用户白名单对所有认证方式生效,白名单中的用户不受认证策略限制

 

1.12  用户mac敏感配置

用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。

说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。

表1-26 配置用户白名单

操作

命令

说明

进入系统视图

system-view

配置用户MAC敏感

user mac-sensitive{enable|disable

可选

 

1.13  用户认证验证码配置

用户认证验证码支持本地web认证、免认证、pop3认证以及混合认证中的本地web认证、免认证。

在开启验证码检查功能的条件下,在进行相关的认证时,会要求输入验证码并对提交的验证码做一致性检查,不区分大小写。如果验证码检查通过,则继续进行后续的用户认证流程;如果输入的验证码和给定的验证码不一致则认证不通过。

表1-27 配置用户认证验证码

操作

命令

说明

进入系统视图

system-view

配置用户MAC敏感

user-auth verify-code { enable|disable }

可选

 

1.14  用户/用户认证显示和维护显示和维护

按照表1-28的命令查看维护用户的配置。

表1-28 用户的显示和维护命令

操作

命令

显示本地用户

display user [username ]

显示用户组

display user-group [usergroupname ]

显示在线用户状态

display user-recognition

显示用户策略

display user-policy

清除所有动态识别出的在线用户

clear user-recognition

 

1.15  用户策略配置举例

1.15.1  用户本地认证策略配置举例

1. 组网需求

强制A部门(192.168.1.0/24)必须做本地WEB认证后才能正常上网。

2. 配置步骤

(1)     为部门A配置一个统一的用户A。

hostA(config)# user A

hostA(config-user)# authenticate local 123456 change-password disable

hostA(config)# display user

Flags: E--Enabled, F--Frozen-Enabled, A--Authenticate-Need, B--Bind-Address

Name         Ref Status Frozen-EndTime     Account                          Bind-Address

any       6 E---                                                                       

A          0 E-A-                      [LOCAL]                                       

(2)     配置用户认证属性,允许多用户同时登录。

hostA(config)# user-webauth login-multi 100

(3)     为部门A分配一个地址对象。

hostA (config)# address A部门

hostA (config-address)# ip subnet 192.168.1.0/24

hostA (config-address)# exit

(4)     配置用户策略。

hostA (config)# user-policy ge1 ge0 A部门 any always local-webauth enable policy1 no-record forever

1.15.2  用户绑定ipv6地址举例

1. 组网需求

用户a静态绑定地址2001::2

2. 配置步骤

hostA (config)# user a

hostA (config-user)# enable bind

hostA (config-user)# bind ip address 2001::2

1.15.3  用户微信认证策略配置举例

1. 组网需求

强制用户必须通过微信认证后才能正常上网。

 

2. 配置步骤

(1)     按组网搭建环境

(2)     配置微信认证。

host(config)# user-wechat timeout 20

host(config)# user-wechat without-awareness enable

host(config)# user-wechat without-awareness timeout 20

host(config)# user-wechat name-type ip

host(config)# user-wechat official-acct-name test

host(config)# user-wechat appid 1234567     

host(config)# user-wechat appsecret 1234567890

host(config)# user-wechat auth-step 请回复‘上网’进行微信认证

host(config)# user-wechat auth-url http://www.test.com/

(3)     配置用户策略。

host (config)# user-policy any any any any always wechat-webauth enable policy no-record once

(4)     配置域名管理

host(config)# dns host-name www.test.com 2001::1

(5)     配置DNS服务器

 

3. 验证配置

用户通过微信认证后能正常上网

1.15.4  用户钉钉认证策略配置举例

1. 组网需求

强制用户必须通过钉钉认证后才能正常上网。

 

2. 配置步骤

(1)     按组网搭建环境

(2)     配置钉钉认证。

host(config)# user-dingtalk enable

host(config)# user-dingtalk timeout 10

host(config)# user-dingtalk jump-access-web

host(config)# user-dingtalk callbackaddr http://192.168.210.82:8000/

host(config)# user-dingtalk appid test123456

host(config)# user-dingtalk appsecret test123456

host(config)# user-dingtalk enterpriseid test123456

(3)     配置用户策略。

host (config)# user-policy any any any any always dingtalk-webauth enable test-ding no-record once

(4)     DNS服务器配置

3. 验证配置

用户通过钉钉认证后能正常上网

1.15.5  SNMP用户同步开启IPMac绑定配置举例

1. 组网需求

 

2. 配置步骤

host(config)# snmp-task enable snmp同步 172.20.2.58 14:14:4b:60:43:61 123456 v1 120 默认组 des

host(config)# snmp-task snmp同步 auto-bind enable

host(config)#

3. 验证配置

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们