01-用户管理
本章节下载: 01-用户管理 (378.60 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ 本地用户
¡ 身份识别用户
¡ 在线用户
¡ 用户导入策略
· 配置指南
¡ 配置本地用户
¡ 管理在线用户
¡ 配置用户导入策略
所谓本地用户,是指在本地设备上设置的一组用户属性的集合。该集合以用户名作为用户的唯一标识。本地用户供通过设备访问网络服务的用户使用。
当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时,应在设备上创建本地用户并配置相关属性。
为了简化本地用户的配置,增强本地用户的可管理性,引入了用户组的概念。用户组是一个本地用户属性的集合,某些需要集中管理的属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。目前,用户组中可以管理的用户属性为授权属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性。
通过用户身份识别与管理功能,设备可以将网络流量的IP地址识别为用户,并基于用户进行网络访问控制和网络权限分配。该功能具有以下优点:
· 基于用户进行其他业务策略的制定,可提高策略的易用性。
· 基于用户进行网络攻击行为以及流量的统计和分析,可实现对用户网络访问行为的追踪审计。
· 解决了用户IP地址动态变化带来的策略控制问题,即以不变的用户应对变化的IP地址。
身份识别用户用于存储和管理不同来源的网络接入用户的身份信息,包括用户名、用户组名以及所属身份识别域名。设备上,不同来源的身份识别用户被身份识别模块统一管理。
目前,支持以下方式生成身份识别用户:
· 从本地用户数据库学习:用户身份识别模块学习设备上的本地用户信息,将其保存为身份识别用户。
· 从CSV文件中导入:管理员将记录了用户信息的CSV文件导入到设备中,可批量创建身份识别用户。
· 从第三方服务器导入:通过向第三方服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户。如果实际网络环境中的用户信息存放在第三方认证服务器上,则可采用此方式统一管理。支持的第三方服务器包括LDAP服务器和H3C iMC的RESTful服务器。
身份识别用户账户将会由于以下原因被删除:
· 管理员手工删除身份识别用户。
· 本地用户数据库中删除某本地用户之后,用户身份识别模块会同步删除对应的身份识别用户账户。
在用户身份识别业务中,可以将用户加入到组中进行批量配置和层级式管理,这样的组称为身份识别用户组。设备上,不同来源的身份识别用户组被用户身份识别模块统一管理。
目前,支持以下方式生成身份识别用户组:
· 从本地用户数据库学习:当设备上创建本地用户组时,会通知用户身份识别模块生成相应的身份识别用户组。
· 从CSV文件中导入:设备在从CSV文件中导入身份识别用户账户的同时,可以根据管理员的配置自动生成相应的身份识别用户组。
· 从第三方服务器导入:设备在从第三方服务器上导入身份识别用户账户的同时,会根据账户中的组信息自动生成相应的身份识别用户组。
身份识别用户组被应用模块引用之后,该用户组将处于激活状态,所有基于该组的业务将会生效。当应用模块取消对该身份识别用户组的引用,该身份识别用户组将处于非激活状态。
身份识别用户组将会由于以下原因被删除:
· 管理员手工删除身份识别用户组。
· 本地用户数据库中删除本地用户组之后,用户身份识别模块会同步删除对应的身份识别用户组。
设备上的所有身份识别用户按树形结构组织,每一个身份识别用户隶属于一个或多个身份识别用户组,每个身份识别用户组也可以隶属于一个更高结构层次的身份识别用户组。这种树形组织结构易于管理员查询、定位,是企业内常用的用户组织方式。网络管理员可以根据企业的组织结构在设备上创建身份识别用户组和身份识别用户,分别对应不同管理级别的部门和员工,如图-1所示:
基于用户身份的访问控制流程主要包括如下步骤:
1. 用户身份认证:网络接入用户通过一定的认证方式(本地认证、远程服务器认证、单点登录)提供用户名和密码信息,完成身份验证,并成为在线用户。
2. 用户身份识别:设备记录在线用户的用户名和IP地址信息,并与本地存储的用户和用户组配置进行关联,实现IP地址和用户的映射。管理员也可以直接配置用户和IP地址的映射关系,便于无需认证的网络接入用户使用。
3. 业务策略执行:在线用户访问网络服务时,设备识别出用户流量的源IP地址,并根据已建立IP地址和用户的映射关系解析出对应的用户名以及所属的用户组,然后按照业务对用户/用户组的策略配置,对该用户的网络访问权限进行控制。
在线用户是指用户身份识别模块管理的上线用户(包括Portal、PPP、IPoE类型)。设备记录的在线用户信息可包括用户名、身份识别域名、IP地址、MAC地址等。
在线用户有以下两种来源:
· 动态生成:
¡ 在本设备接入,且通过本地认证或远程服务器认证的在线网络接入用户。用户上线后,用户身份识别模块会在本地身份识别用户数据库中查询该用户名和域名对应的表项,如果查询成功,则会生成一条在线用户表项。
¡ 从第三方服务器上导入的在线网络接入用户。导入在线用户信息时,用户身份识别模块会在本地身份识别用户数据库中查询用户名和域名对应的表项,如果查询成功,则会生成对应的在线用户表项。可采用此方式将第三方服务器上的所有在线用户信息导入到本设备进行统一管理和监控。支持的第三方服务器为H3C iMC的RESTful服务器。
· 静态配置:网络管理员手工配置静态类型的身份识别用户表项,它记录用户名和IP地址的绑定关系。一个静态类型的身份识别用户表项创建后,用户身份识别模块会在本地身份识别用户数据库中查询该用户名和域名对应的表项,如果查询成功,则会生成一条静态类型的在线用户表项。一些组网需求下,例如有少量指定人员临时接入网络时,网络管理员希望这些用户无需进行认证也能够在安全特性的管理下访问网络,则可以通过配置静态类型的在线用户满足该需求。
在线用户可被应用模块引用,进行相关业务策略的处理。在线用户表项被删除后,用户身份识别模块将通知应用模块停止该用户相关的业务处理。
在线用户表项将会由于以下原因被删除:
· 管理员手工删除在线用户表项。
· 本设备接入的用户下线后,接入模块通知用户身份识别模块删除对应的在线用户表项。
· 设备重启后,所有动态类型的在线用户表项均被删除。
· 用户身份识别功能关闭,所有在线用户表项均被删除。
· 第三方服务器上用户下线时,服务器会主动通知设备删除相应的在线用户表项。
用户导入策略用于配置用户身份识别模块从第三方服务器上导入身份识别用户信息的策略,可导入的用户信息包括身份识别用户信息、身份识别用户组信息和在线用户信息。目前,系统支持的可导入的第三方服务器为H3C iMC的RESTful服务器和LDAP服务器。
目前,用户导入策略支持如下几种导入方式:
· 自动导入:采用自动导入方式后,设备首先会从导入策略中指定的服务器上导入服务器上的所有身份识别用户账户信息和所有在线用户信息,然后定期从该服务器上自动导入身份识别用户账户。
· 手动导入:采用手动导入方式后,设备将向导入策略中指定的服务器发起一次连接请求,之后导入服务器上的所有身份识别用户账户信息和在线用户信息。
配置本地用户包括两种方法:新建本地用户和批量导入本地用户。
新建本地用户的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 本地用户”。
2. 选择“用户”页签,在“用户”页面单击<新建>按钮,进入“新建用户”页面。
3. 在“新建用户”页面的具体配置内容如下表所示:
表-1 配置用户参数表
参数 |
说明 |
用户名 |
网络接入类用户,用于通过设备接入网络,访问网络资源的用户。当需要进行本地认证时,需要在设备上配置本地用户 |
密码和确认密码 |
用户进行接入认证所使用的密码 |
授权用户组 |
每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性) |
身份识别用户组 |
本地用户加入身份识别用户组后,将成为该组的成员,接受基于组的用户身份识别业务处理 |
可用服务 |
可用服务是用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证 |
同时在线最大用户数 |
使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入 |
描述 |
配置有关此用户的描述信息 |
4. (可选)配置授权属性,具体包括如下表所示:
表-2 配置授权属性参数表
参数 |
说明 |
授权ACL |
本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源 |
用户闲置切断时间 |
如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线 |
SSL VPN策略组 |
本地用户认证成功后,将被授权仅可以访问指定SSL VPN策略组内的网络资源。此属性仅对SSL VPN用户有效 |
5. (可选)配置绑定属性,具体包括如下表所示:
表-3 配置绑定属性参数表
参数 |
说明 |
用户接入的接口 |
如果用户接入的接口与此处绑定的接口不一致,则认证失败 |
用户的MAC地址 |
如果用户的MAC地址与此处绑定的MAC地址不一致,则认证失败 |
用户所属的VLAN |
如果用户接入的VLAN与此处绑定的VLAN不一致,则认证失败 |
6. 单击<确定>按钮,新建用户成功,且会在“用户”页面中显示。
批量导入本地用户的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 本地用户”。
2. 选择“用户”页签,在“用户”页面单击<导入>按钮,进入“导入用户”页面。
3. 在“导入用户”页面的具体配置内容如下表所示:
表-4 配置导入用户参数表
参数 |
说明 |
导入文件 |
通过导入文件可批量创建本地用户。按照CSV模板格式导入用户时,不能随意修改模板的注释头,否则会造成导入数据丢失 |
自动创建用户组 |
表示当设备上不存在用户所属的用户组时,系统会自动创建用户组,并将用户加入该用户组。若不配置该参数,则表示当设备上不存在用户所属的用户组时,系统不会创建对应的用户组,而是将用户其加入缺省用户组system |
覆盖同名用户 |
表示当导入的用户名已经存在于设备上时,系统使用导入的用户信息覆盖掉已有的同名用户配置。若不配置该参数,则表示不导入文件中的同名用户信息,即保留设备上已有的同名用户配置 |
导入用户信息的起始行 |
表示从文件的指定行开始导入用户信息。若不配置该参数,则表示导入文件中的所有用户信息 |
4. 单击<确定>按钮,批量导入用户成功,且会在“用户”页面中显示处导入的用户。
在线用户的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 在线用户”。
2. 在“在线用户”页面的具体配置内容如下表所示:
表-5 配置导入用户参数表
参数 |
说明 |
单击<开启身份识别功能> |
开启设备的身份识别功能 |
选择在线用户匹配模式 |
其包括如下三种模式: · 保持原有:表示仅使用用户输入的用户名进行身份识别用户匹配 · 携带域匹配:表示使用用户的认证域进行身份识别用户匹配 · 不携带域匹配:表示不对用户账户的域名进行匹配,即使用用户输入的纯用户名与设备上未加入任何身份识别域的身份识别用户进行匹配 |
用户导入策略的具体配置步骤如下:
1. 选择“对象 > 用户 > 用户管理 > 用户导入策略”。
2. 在“用户导入策略”页面单击<新建>按钮,进入“新建用户导入策略”页面。
3. 在“新建用户导入策略”页面的具体配置内容如下表所示:
表-6 配置用户导入策略参数表
参数 |
说明 |
名称 |
用于唯一标识一个用户导入策略 |
RESTful服务器 |
指定RESTful服务器,用于从此RESTful服务器上导入身份识别用户信息和在线用户信息 |
LDAP方案 |
指定LDAP方案,用于从此LDAP方案中的LDAP服务器上导入身份识别用户信息 |
导入类型 |
此配置项的内容仅对LDAP方案有效 |
开启自动导入功能 |
开启此功能后,设备首先会从导入策略中指定的服务器上导入服务器上的所有用户账户信息和所有在线用户信息,然后定期从该服务器上自动导入身份识别用户账户 |
导入周期 |
自动导入身份识别用户账户的周期 |
4. 单击<确定>按钮,新建用户导入策略成功,且会在“用户导入”页面中显示。
配置完用户导入策略后,若需要手动导入身份识别用户和在线用户,则管理员可在“用户导入策略”页面,选择如下功能:
· 手动导入身份识别用户:设备向第三方服务器发起用户信息请求,将服务器上的用户账户信息直接导入本地,并生成对应的身份识别用户。在导入过程中,若某个账户导入失败,则跳过该账户,继续导入。
· 手动导入在线用户:单击此按钮后,设备向指定的第三方服务器发起在线用户请求,实现导入服务器上当前所有在线用户信息的目的。目前,仅支持从H3C iMC的RESTful服务器上导入在线身份识别用户。
· 若不设置本地用户密码,则本地用户认证时无需输入密码,只要用户名有效且其它属性认证通过即可认证成功。因此为提高用户帐户的安全性,建议设置本地用户密码。
· 对于Portal类型的用户,仅授权ACL和授权用户闲置切断时间。
· 对于SSL VPN接入类型的用户,仅授权SSL VPN策略组有效。
· 在“用户“页面,使用CSV模板批量导入用户时,需要按照模板格式导入且不能随意修改模板的注释头,否则会造成导入数据丢失。
· 本特性支持的H3C iMC的RESTful服务器必须为支持SSM组件的iMC PLAT 7.0 (E0201)及其补丁版本。
· 当设备上的RESTful服务器配置完成,且与远程RESTful服务器建立连接后,H3C iMC的RESTful服务器会实时向设备同步用户上线和下线的信息,刷新设备上的在线用户表项。
· 在“对象 > 用户 > 用户管理 > 身份识别用户”页面,删除身份识别用户时,仅删除导入的用户,本地用户不会被删除。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!