01--用户管理
本章节下载: 01--用户管理 (351.02 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 本地用户
¡ 身份识别用户
所谓本地用户,是指在本地设备上设置的一组用户属性的集合。该集合以用户名作为用户的唯一标识。本地用户供通过设备访问网络服务的用户使用。
当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时,应在设备上创建本地用户并配置相关属性。
为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。具体步骤是,在用户页面单击<新建>按钮,进入“新建用户”页面,然后在“新建用户”页面配置相应的用户属性,可配置的用户属性包括:
· 授权用户组
每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性)。
· 可用服务
可用服务是用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证。
支持的服务类型包括:IPoE、IKE、Lan接入、Portal、PPP、ADVPN、SSL VPN,不同设备支持的服务类型不同,请以设备的实际情况为准。
· 同时在线最大用户数
使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入。
· 授权属性
用户认证通过后,接入设备给用户下发授权属性。由于可配置的授权属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性。
· 绑定属性
用户认证时需要检测的属性,用于限制接入用户的范围。若用户的实际属性与设置的绑定属性不匹配,则不能通过认证,因此在配置绑定属性时要考虑该用户是否需要绑定某些属性。可绑定的属性包括:用户接入的接口、用户的MAC地址和用户所属的VLAN等。
为了简化本地用户的配置,增强本地用户的可管理性,引入了用户组的概念。用户组是一个本地用户属性的集合,某些需要集中管理的属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。目前,用户组中可以管理的用户属性为授权属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性。
通过用户身份识别与管理功能,设备可以将网络流量的IP地址识别为用户,并基于用户进行网络访问控制和网络权限分配。该功能具有以下优点:
· 基于用户进行其他业务策略的制定,可提高策略的易用性。
· 基于用户进行网络攻击行为以及流量的统计和分析,可实现对用户网络访问行为的追踪审计。
· 解决了用户IP地址动态变化带来的策略控制问题,即以不变的用户应对变化的IP地址。
身份识别用户用于存储和管理不同来源的网络接入用户身份信息,包括用户名、用户组名以及所属身份识别域名。设备上,不同来源的身份识别用户被身份识别模块统一管理。
目前,支持以下方式生成身份识别用户:
· 手动创建:管理员手动创建网络接入类本地用户,并配置用户属性。
在用户身份识别业务中,可以将用户加入到组中进行批量配置和层级式管理,这样的组称为身份识别用户组。设备上,不同来源的身份识别用户组被用户身份识别模块统一管理。
目前,支持以下方式生成身份识别用户组:
· 手动创建:管理员手动创建用户组,并配置公共用户属性。
设备上的所有身份识别用户按树形结构组织,每一个身份识别用户隶属于一个或多个身份识别用户组,每个身份识别用户组也可以隶属于一个更高结构层次的身份识别用户组。这种树形组织结构易于管理员查询、定位,是企业内常用的用户组织方式。网络管理员可以根据企业的组织结构在设备上创建身份识别用户组和身份识别用户,分别对应不同管理级别的部门和员工,如图-1所示:
基于用户身份的访问控制流程主要包括如下步骤:
1. 用户身份认证:网络接入用户通过一定的认证方式(本地认证、远程服务器认证)提供用户名和密码信息,完成身份验证,并成为在线用户。
2. 用户身份识别:设备记录在线用户的用户名和IP地址信息,并与本地存储的用户和用户组配置进行关联,实现IP地址和用户的映射。管理员也可以直接配置用户和IP地址的映射关系,便于无需认证的网络接入用户使用。
3. 业务策略执行:在线用户访问网络服务时,设备识别出用户流量的源IP地址,并根据已建立IP地址和用户的映射关系解析出对应的用户名以及所属的用户组,然后按照业务对用户/用户组的策略配置,对该用户的网络访问权限进行控制。
· 若不设置本地用户密码,则本地用户认证时无需输入密码,只要用户名有效且其它属性认证通过即可认证成功。因此为提高用户帐户的安全性,建议设置本地用户密码。
· 对于Portal类型的用户,仅授权ACL和授权用户闲置切断时间。
· 对于SSL VPN接入类型的用户,仅授权SSL VPN策略组有效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!