02-用户管理
本章节下载: 02-用户管理 (493.05 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 本地用户
¡ 密码管理
¡ 身份识别用户
¡ 在线用户
¡ 用户导入策略
· 配置指南
¡ 配置本地用户
¡ 管理在线用户
¡ 配置用户导入策略
¡ 配置邮件服务器
所谓本地用户,是指在本地设备上设置的一组用户属性的集合。该集合以用户名作为用户的唯一标识。本地用户供通过设备访问网络服务的用户使用,即作为网络接入类用户。
当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时,应在设备上创建本地用户并配置相关属性。
为了简化本地用户的配置,增强本地用户的可管理性,引入了用户组的概念。用户组是一个本地用户属性的集合,某些需要集中管理的属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。目前,用户组中可以管理的用户属性为授权属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性。
为了提高用户登录密码的安全性,可通过配置密码管理功能对用户的登录密码进行管理。
用于限制用户密码的最小长度。当设置用户密码时,如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码。
用于设置用户密码的组成元素的组合类型,以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型:
· [A~Z]
· [a~z]
· [0~9]
· 32个特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密码元素的组合类型有4种,具体涵义如下:
· 组合类型为1表示密码中至少包含1种元素;
· 组合类型为2表示密码中至少包含2种元素;
· 组合类型为3表示密码中至少包含3种元素;
· 组合类型为4表示密码中包含4种元素。
当用户设置密码时,系统会检查设定的密码是否符合配置要求,只有符合要求的密码才能设置成功。
为确保用户的登录密码具有较高的复杂度,设置的密码必须符合一定的复杂度要求,只有符合要求的密码才能设置成功。目前,可配置的复杂度要求包括:
· 不允许密码中包含用户名或颠倒的用户名。例如,用户名为“abc”,那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。
· 不允许密码中包含连续三个或以上的相同字符。例如,密码“a111”就不符合复杂度要求。
用于设置系统保存用户密码历史记录。当用户修改密码时,系统会要求用户设置新的密码,如果新设置的密码以前使用过,且在当前用户密码历史记录中,系统将提示用户密码更改失败。另外,用户更改密码时,系统会将新设置的密码与所有历史记录密码以及当前密码逐一比较,要求新密码至少与旧密码有4字符不同。并且,这4个字符必须互不相同,否则密码更改失败。
可以配置每个用户密码历史记录的最大条数,当密码历史记录的条数超过配置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录。
用于设置用户登录设备后修改自身密码的最小间隔时间。在如下情况中,密码更新并不受该功能的约束:
· 开启密码管理后,用户首次登录设备时系统要求用户修改密码。
· 密码老化后系统要求用户修改密码。
通过用户身份识别与管理功能,设备可以将网络流量的IP地址识别为用户,并基于用户进行网络访问控制和网络权限分配。该功能具有以下优点:
· 基于用户进行其他业务策略的制定,可提高策略的易用性。
· 基于用户进行网络攻击行为以及流量的统计和分析,可实现对用户网络访问行为的追踪审计。
· 解决了用户IP地址动态变化带来的策略控制问题,即以不变的用户应对变化的IP地址。
身份识别用户用于存储和管理不同来源的网络接入用户的身份信息,包括用户名、用户组名以及所属身份识别域名。设备上,不同来源的身份识别用户被身份识别模块统一管理。
目前,支持以下方式生成身份识别用户:
· 从本地用户数据库学习:用户身份识别模块学习设备上的本地用户信息,将其保存为身份识别用户。
· 从CSV文件中导入:管理员将记录了用户信息的CSV文件导入到设备中,可批量创建身份识别用户。
· 从第三方服务器导入:通过向第三方服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户。如果实际网络环境中的用户信息存放在第三方认证服务器上,则可采用此方式统一管理。支持的第三方服务器包括LDAP服务器和H3C iMC的RESTful服务器。
身份识别用户账户将会由于以下原因被删除:
· 管理员手工删除身份识别用户。
· 本地用户数据库中删除某本地用户之后,用户身份识别模块会同步删除对应的身份识别用户账户。
在用户身份识别业务中,可以将用户加入到组中进行批量配置和层级式管理,这样的组称为身份识别用户组。设备上,不同来源的身份识别用户组被用户身份识别模块统一管理。
目前,支持以下方式生成身份识别用户组:
· 从本地用户数据库学习:当设备上创建本地用户组时,会通知用户身份识别模块生成相应的身份识别用户组。
· 从CSV文件中导入:设备在从CSV文件中导入身份识别用户账户的同时,可以根据管理员的配置自动生成相应的身份识别用户组。
· 从第三方服务器导入:设备在从第三方服务器上导入身份识别用户账户的同时,会根据账户中的组信息自动生成相应的身份识别用户组。
身份识别用户组被应用模块引用之后,该用户组将处于激活状态,所有基于该组的业务将会生效。当应用模块取消对该身份识别用户组的引用,该身份识别用户组将处于非激活状态。
身份识别用户组将会由于以下原因被删除:
· 管理员手工删除身份识别用户组。
· 本地用户数据库中删除本地用户组之后,用户身份识别模块会同步删除对应的身份识别用户组。
设备上的所有身份识别用户按树形结构组织,每一个身份识别用户隶属于一个或多个身份识别用户组,每个身份识别用户组也可以隶属于一个更高结构层次的身份识别用户组。这种树形组织结构易于管理员查询、定位,是企业内常用的用户组织方式。网络管理员可以根据企业的组织结构在设备上创建身份识别用户组和身份识别用户,分别对应不同管理级别的部门和员工,如图-1所示:
基于用户身份的访问控制流程主要包括如下步骤:
1. 用户身份认证:网络接入用户通过一定的认证方式(本地认证、远程服务器认证、单点登录)提供用户名和密码信息,完成身份验证,并成为在线用户。
2. 用户身份识别:设备记录在线用户的用户名和IP地址信息,并与本地存储的用户和用户组配置进行关联,实现IP地址和用户的映射。管理员也可以直接配置用户和IP地址的映射关系,便于无需认证的网络接入用户使用。
3. 业务策略执行:在线用户访问网络服务时,设备识别出用户流量的源IP地址,并根据已建立IP地址和用户的映射关系解析出对应的用户名以及所属的用户组,然后按照业务对用户/用户组的策略配置,对该用户的网络访问权限进行控制。
在线用户是指用户身份识别模块管理的上线用户(包括Portal、PPP、IPoE类型)。设备记录的在线用户信息可包括用户名、身份识别域名、IP地址、MAC地址等。
在线用户有以下两种来源:
· 动态生成:
¡ 在本设备接入,且通过本地认证或远程服务器认证的在线网络接入用户。用户上线后,用户身份识别模块会在本地身份识别用户数据库中查询该用户名和域名对应的表项,如果查询成功,则会生成一条在线用户表项。
¡ 从第三方服务器上导入的在线网络接入用户。导入在线用户信息时,用户身份识别模块会在本地身份识别用户数据库中查询用户名和域名对应的表项,如果查询成功,则会生成对应的在线用户表项。可采用此方式将第三方服务器上的所有在线用户信息导入到本设备进行统一管理和监控。支持的第三方服务器为H3C iMC的RESTful服务器。
· 静态配置:网络管理员手工配置静态类型的身份识别用户表项,它记录用户名和IP地址的绑定关系。一个静态类型的身份识别用户表项创建后,用户身份识别模块会在本地身份识别用户数据库中查询该用户名和域名对应的表项,如果查询成功,则会生成一条静态类型的在线用户表项。一些组网需求下,例如有少量指定人员临时接入网络时,网络管理员希望这些用户无需进行认证也能够在安全特性的管理下访问网络,则可以通过配置静态类型的在线用户满足该需求。
在线用户可被应用模块引用,进行相关业务策略的处理。在线用户表项被删除后,用户身份识别模块将通知应用模块停止该用户相关的业务处理。
在线用户表项将会由于以下原因被删除:
· 管理员手工删除在线用户表项。
· 本设备接入的用户下线后,接入模块通知用户身份识别模块删除对应的在线用户表项。
· 设备重启后,所有动态类型的在线用户表项均被删除。
· 用户身份识别功能关闭,所有在线用户表项均被删除。
· 第三方服务器上用户下线时,服务器会主动通知设备删除相应的在线用户表项。
用户导入策略用于配置用户身份识别模块从第三方服务器上导入身份识别用户信息的策略,可导入的用户信息包括身份识别用户信息、身份识别用户组信息和在线用户信息。目前,系统支持的可导入的第三方服务器为H3C iMC的RESTful服务器和LDAP服务器。
目前,用户导入策略支持如下几种导入方式:
· 自动导入:采用自动导入方式后,设备首先会从导入策略中指定的服务器上导入服务器上的所有身份识别用户账户信息和所有在线用户信息,然后定期从该服务器上自动导入身份识别用户账户。
· 手动导入:采用手动导入方式后,设备将向导入策略中指定的服务器发起一次连接请求,之后导入服务器上的所有身份识别用户账户信息和在线用户信息。
配置本地用户包括两种方法:新建本地用户和批量导入本地用户。
新建本地用户的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 本地用户”。
2. 选择“用户”页签,在“用户”页面单击<新建>按钮,进入“新建用户”页面。
3. 在“新建用户”页面的具体配置内容如下表所示:
表-1 配置用户参数表
参数 |
说明 |
|
用户名 |
网络接入类用户,用于通过设备接入网络,访问网络资源的用户。当需要进行本地认证时,需要在设备上配置本地用户 |
|
设置随机密码 |
为用户分配随机密码 |
|
收件人邮箱地址 |
在创建随机密码后,设备需要向用户发送邮件告知随机密码 配置收件人邮箱地址前,需要先对邮件服务器进行相关配置 |
|
密码和确认密码 |
用户进行接入认证所使用的密码 |
|
有效期 |
为用户设置有效期,用户仅在有效期内才能认证成功 · 若同时指定了有效期的开始时间和结束时间,则有效期的结束时间必须晚于起始时间 · 如果仅指定了有效期的开始时间,则表示该时间到达后,用户一直有效 · 如果仅指定了有效期的结束时间,则表示该时间到达前,用户一直有效 |
|
授权用户组 |
每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性) |
|
身份识别用户组 |
本地用户加入身份识别用户组后,将成为该组的成员,接受基于组的用户身份识别业务处理 |
|
可用服务 |
可用服务是用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证 |
|
同时在线最大用户数 |
使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入 |
|
描述 |
配置有关此用户的描述信息 |
|
4. (可选)配置授权属性,具体包括如下表所示:
表-2 配置授权属性参数表
参数 |
说明 |
授权ACL |
本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源 |
用户闲置切断时间 |
如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线 |
授权VLAN |
本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源 |
SSL VPN策略组 |
本地用户认证成功后,将被授权仅可以访问指定SSL VPN策略组内的网络资源。此属性仅对SSL VPN用户有效 |
5. (可选)配置绑定属性,具体包括如下表所示:
表-3 配置绑定属性参数表
参数 |
说明 |
用户接入的接口 |
如果用户接入的接口与此处绑定的接口不一致,则认证失败 |
用户的IPv4地址 |
如果用户的IPv4地址与此处绑定的IPv4地址不一致,则认证失败 |
用户的MAC地址 |
如果用户的MAC地址与此处绑定的MAC地址不一致,则认证失败 |
用户所属的VLAN |
如果用户接入的VLAN与此处绑定的VLAN不一致,则认证失败 |
6. (可选)配置用户密码设置控制参数,具体包括如下表所示:
表-4 配置用户密码设置控制参数表
参数 |
说明 |
密码最小长度 |
如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码 |
密码组成元素的最少类型 |
如果输入的密码组成元素类型少于设置的密码最少类型,系统将不允许设置该密码 |
每种类型包含的元素最少个数 |
如果输入的密码每种类型包含的元素数量少于设置的最少个数,系统将不允许设置该密码 |
不允许密码中包含用户名或颠倒的用户名 |
开启本功能后,输入的密码不允许包含用户名或颠倒的用户名 |
不允许密码中包含连续三个或以上相同字符 |
开启本功能后,输入的密码中不允许包含连续三个或以上相同字符 |
7. 单击<确定>按钮,新建用户成功,且会在“用户”页面中显示。
批量导入本地用户的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 本地用户”。
2. 选择“用户”页签,在“用户”页面单击<导入>按钮,进入“导入用户”页面。
3. 在“导入用户”页面的具体配置内容如下表所示:
表-5 配置导入用户参数表
参数 |
说明 |
导入文件 |
通过导入文件可批量创建本地用户。按照CSV模板格式导入用户时,不能随意修改模板的注释头,否则会造成导入数据丢失 |
自动创建用户组 |
表示当设备上不存在用户所属的用户组时,系统会自动创建用户组,并将用户加入该用户组。若不配置该参数,则表示当设备上不存在用户所属的用户组时,系统不会创建对应的用户组,而是将用户其加入缺省用户组system |
覆盖同名用户 |
表示当导入的用户名已经存在于设备上时,系统使用导入的用户信息覆盖掉已有的同名用户配置。若不配置该参数,则表示不导入文件中的同名用户信息,即保留设备上已有的同名用户配置 |
导入用户信息的起始行 |
表示从文件的指定行开始导入用户信息。若不配置该参数,则表示导入文件中的所有用户信息 |
4. 单击<确定>按钮,批量导入用户成功,且会在“用户”页面中显示处导入的用户。
密码管理功能具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 本地用户”。
2. 选择“用户”页签,在“用户”页面单击<密码管理>按钮,进入“用户密码管理”页面。
3. 在“用户密码管理”页面的具体配置内容如下表所示:
表-6 配置用户密码管理功能参数表
参数 |
说明 |
开启密码管理 |
开启本功能后,设备将对用户设置的密码进行限制 |
开启密码长度检查 |
开启本功能后,设备将对用户设置的密码长度进行检查 |
用户密码的最小长度 |
如果输入的密码长度小于设置的密码最小长度,系统将不允许设置该密码 |
开启密码组合检查 |
开启本功能后,设备将对用户设置的密码元素类型数量以及每种类型中包含的元素数量进行限制 |
密码组成元素的最少类型 |
如果输入的密码组成元素类型少于设置的密码最少类型,系统将不允许设置该密码 |
每种类型包含的元素最少个数 |
如果输入的密码每种类型包含的元素数量少于设置的最少个数,系统将不允许设置该密码 |
密码中不能包含连续三个或以上的相同字符 |
开启本功能后,输入的密码中不允许包含连续三个或以上相同字符 |
密码中不能包含用户名或者字符顺序颠倒的用户名 |
开启本功能后,输入的密码不允许包含用户名或颠倒的用户名 |
开启密码历史记录 |
开启本功能后,设备将保存用户设置过的密码 |
密码历史记录最大条数 |
当密码历史记录的条数超过设置的最大历史记录条数时,新的密码历史记录将覆盖该用户最老的一条密码历史记录 |
密码更新最小间隔时间 |
当用户修改密码的间隔时间小于设置的最小间隔时间时,设备不允许用户修改密码 |
4. 单击<确定>按钮,密码管理功能将对所有本地用户生效。
在线用户的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 在线用户”。
2. 在“在线用户”页面的具体配置内容如下表所示:
表-7 配置导入用户参数表
参数 |
说明 |
单击<开启身份识别功能> |
开启设备的身份识别功能 |
选择在线用户匹配模式 |
其包括如下三种模式: · 保持原有:表示仅使用用户输入的用户名进行身份识别用户匹配 · 携带域匹配:表示使用用户的认证域进行身份识别用户匹配 · 不携带域匹配:表示不对用户账户的域名进行匹配,即使用用户输入的纯用户名与设备上未加入任何身份识别域的身份识别用户进行匹配 |
用户导入策略的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 用户导入策略”。
2. 在“用户导入策略”页面单击<新建>按钮,进入“新建用户导入策略”页面。
3. 在“新建用户导入策略”页面的具体配置内容如下表所示:
表-8 配置用户导入策略参数表
参数 |
说明 |
名称 |
用于唯一标识一个用户导入策略 |
RESTful服务器 |
指定RESTful服务器,用于从此RESTful服务器上导入身份识别用户信息和在线用户信息 |
LDAP方案 |
指定LDAP方案,用于从此LDAP方案中的LDAP服务器上导入身份识别用户信息 |
导入类型 |
此配置项的内容仅对LDAP方案有效 |
开启自动导入功能 |
开启此功能后,设备首先会从导入策略中指定的服务器上导入服务器上的所有用户账户信息和所有在线用户信息,然后定期从该服务器上自动导入身份识别用户账户 |
导入周期 |
自动导入身份识别用户账户的周期 |
4. 单击<确定>按钮,新建用户导入策略成功,且会在“用户导入”页面中显示。
配置完用户导入策略后,若需要手动导入身份识别用户和在线用户,则管理员可在“用户导入策略”页面,选择如下功能:
· 手动导入身份识别用户:设备向第三方服务器发起用户信息请求,将服务器上的用户账户信息直接导入本地,并生成对应的身份识别用户。在导入过程中,若某个账户导入失败,则跳过该账户,继续导入。
· 手动导入在线用户:单击此按钮后,设备向指定的第三方服务器发起在线用户请求,实现导入服务器上当前所有在线用户信息的目的。目前,仅支持从H3C iMC的RESTful服务器上导入在线身份识别用户。
设备为用户创建随机密码后,需要向用户发送邮件告知随机密码。配置邮箱地址前,需要先对邮件服务器进行相关配置。
邮件服务器的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 邮件服务器”。
2. 在“邮件服务器”页面的具体配置内容如下表所示:
表-9 配置邮件服务器参数表
参数 |
说明 |
邮件标题 |
用于配置通知邮件的标题 |
邮件内容 |
用于配置通知邮件的内容 |
发件人地址 |
用来配置通知邮件的发件人地址 |
服务器地址 |
用于配置邮件服务器的URL,必须以smtp://开头 |
用户名 |
用于配置登录邮件服务器的用户名 |
密码 |
用于配置登录邮件服务器的密码 |
· 若不设置本地用户密码,则本地用户认证时无需输入密码,只要用户名有效且其它属性认证通过即可认证成功。因此为提高用户帐户的安全性,建议设置本地用户密码。
· 对于Portal类型的用户,仅授权ACL和授权用户闲置切断时间。
· 对于SSL VPN接入类型的用户,仅授权SSL VPN策略组有效。
· 在“用户“页面,使用CSV模板批量导入用户时,需要按照模板格式导入且不能随意修改模板的注释头,否则会造成导入数据丢失。
· 本特性支持的H3C iMC的RESTful服务器必须为支持SSM组件的iMC PLAT 7.0 (E0201)及其补丁版本。
· 当设备上的RESTful服务器配置完成,且与远程RESTful服务器建立连接后,H3C iMC的RESTful服务器会实时向设备同步用户上线和下线的信息,刷新设备上的在线用户表项。
· 配置收件人邮箱地址前,需要先对邮件服务器进行相关配置。
· 在“对象 > 用户 > 用户管理 > 身份识别用户”页面,删除身份识别用户时,仅删除导入的用户,本地用户不会被删除。
· 用户页面菜单栏的<密码管理>中配置的内容对所有本地用户生效。对于密码最小长度、密码复杂度检查和密码组合检查这几种功能,也可在新建用户页面的“密码设置控制参数”中配置,其生效优先级从高到低依次为:新建用户页面的配置->密码管理中的配置。
· 管理员页面和本地用户页面中的密码管理功能相互关联,相同配置项的参数共用,一个页面中修改参数后,另一页面自动同步修改。
· 开启密码管理之后,首次设置的登录用户密码必须至少由四个不同的字符组成。
· 若要使得具体的密码管理功能生效,需在本地用户页面菜单栏的<密码管理>中开启密码管理功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!