03-认证管理
本章节下载: 03-认证管理 (377.92 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ ISP域简介
¡ RADIUS简介
¡ LDAP简介
· 配置指南
¡ 配置ISP域
¡ 配置RADIUS
¡ 配置LDAP
设备对用户的管理是基于ISP(Internet Service Provider,互联网服务提供者)域的,一个ISP域对应着一套实现AAA(Authentication、Authorization、Accounting,认证、授权、计费)的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。
设备支持的认证方法包括:
· 不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。
· 本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
· 远端认证(RADIUS):认证过程在接入设备和远端的服务器之间完成,接入设备和远端服务器之间通过RADIUS协议通信。优点是用户信息集中在服务器上统一管理,可实现大容量、高可靠性、支持多设备的集中式统一认证。当远端主服务器无效时,可配置备份服务器完成认证。
· 单点登录:认证过程在接入设备和远端的第三方服务器之间完成,认证通过后,第三方认证服务器将用户的身份信息发送给需要进行身份识别的设备,这样即可实现用户在此设备上的认证。
设备支持的授权方法包括:
· 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。
· 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。
· 远端授权(RADIUS):授权过程在接入设备和远端服务器之间完成。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。RADIUS认证成功后,才能进行授权,RADIUS授权信息携带在认证回应报文中下发给用户。当远端服务器无效时,可配置备选授权方式完成授权。
设备支持的计费方法包括:
· 不计费:不对用户计费。
· 本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
· 远端计费(RADIUS):计费过程在接入设备和远端的服务器之间完成。当远端服务器无效时,可配置备选计费方式完成计费。
每个用户都属于一个ISP域。为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务,设备将用户划分为以下几个类型:
· LAN接入用户:例如802.1X认证用户,此种接入方式设备不支持。
· 登录用户:例如Telnet、FTP、终端接入用户(即从Console、AUX等接口登录的用户)。
· Portal用户。
在多ISP的应用环境中,不同ISP域的用户有可能接入同一台设备,因此系统中可以存在多个ISP域,其中包括一个缺省存在的名称为system的ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。系统缺省的ISP域可以手工修改为一个指定的ISP域。
用户认证时,设备将按照如下先后顺序为其选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。
· RADIUS客户端:一般位于接入设备上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
· RADIUS服务器:一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收接入设备发送的认证、授权、计费请求并进行相应的处理,然后给接入设备返回处理结果(如接受/拒绝认证请求)。
RADIUS协议使用UDP作为封装RADIUS报文的传输层协议,通过使用共享密钥机制来保证客户端和RADIUS服务器之间消息交互的安全性。
当接入设备对用户提供AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务时,若要对用户采用RADIUS服务器进行认证、授权、计费,则作为RADIUS客户端的接入设备上需要配置相应的RADIUS服务器参数。
· Accounting-on功能
设备重启后,重启前的原在线用户可能会被RADIUS服务器认为仍然在线而短时间内无法再次登录。为了解决这个问题,需要开启Accounting-on功能。
开启了Accounting-on功能后,设备会在重启后主动向RADIUS服务器发送Accounting-on报文来告知自己已经重启,并要求RADIUS服务器停止计费且强制通过本设备上线的用户下线。若设备发送Accounting-on报文后RADIUS服务器无响应,则会在按照一定的时间间隔尝试重发几次。分布式设备单板重启时,Accounting-on功能的实现需要和iMC网管系统配合使用。
· Session control功能
iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。设备上开启接收session control报文的开关后,会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
需要注意的是,该功能仅能和iMC RADIUS服务器配合使用。
· 在线修改用户密码
可以通过本功能控制设备是否使用RADIUS 17号标准属性来支持用户在线修改密码。开启本功能后,设备在收到用户的密码修改请求后,会向RADIUS服务器发送一个认证请求报文,在该报文中将用户的旧密码和新密码分别携带在2号、17号标准属性中。如果RADIUS服务器支持用户在线修改密码,则会响应此认证请求。
LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种目录访问协议,基于Client/Server结构提供跨平台的、基于标准的目录服务,所有的目录信息数据存储在LDAP服务器上。
LDAP协议的典型应用是用来保存系统中的用户信息,如Microsoft的Windows操作系统就使用了Active Directory Server(一种LDAP服务器软件)来保存操作系统的用户、用户组等信息,用于用户登录Windows时的认证和授权。
LDAP中使用目录记录并管理系统中的组织信息、人员信息以及资源信息。目录按照树型结构组织,由多个条目(Entry)组成的。条目是具有DN(Distinguished Name,识别名)的属性(Attribute)集合。属性用来承载各种类型的数据信息,例如用户名、密码、邮件、计算机名、联系电话等。
在用户的LDAP授权过程中,设备会通过查询操作得到用户的授权信息,该授权信息由LDAP服务器通过若干LDAP属性下发给设备。若设备从LDAP服务器查询得到某LDAP属性,则该属性只有在被设备的AAA模块解析之后才能实际生效。如果某LDAP服务器下发给用户的属性不能被AAA模块解析,则该属性将被忽略。因此,需要通过配置LDAP属性映射表来指定要获取哪些LDAP属性,以及LDAP服务器下发的这些属性将被AAA模块解析为什么类型的AAA属性,具体映射为哪种类型的AAA属性由实际应用需求决定。
每一个LDAP属性映射表项定义了一个LDAP属性与一个AAA属性的对应关系。将一个LDAP属性表在指定的LDAP方案视图中引用后,该映射关系将在LDAP授权过程中生效。
RESTful服务器中定义了RESTful服务器的相关参数,包括登录账户和服务器URI。设备与RESTful服务器成功建立连接之后,可以从该服务器上手动或定期自动导入身份识别用户信息和在线用户信息。有关身份识别用户的详细介绍,请参见“用户管理联机帮助”。
Sec Manage服务器通过配置相关参数,用于接收华为公司的TSM(Terminal Security Management,终端安全管理)系统发送的用户登录/注销信息,用于更新设备上的在线用户信息。
对用户的认证、授权和计费策略是通过在ISP域中为不同的接入方式配置相应的认证、授权、计费方案来实现的。在一个ISP域中,除了设置认证、授权、计费方案之外,还包括一些自身的属性,例如域的状态、用户授权属性,这些域属性对于接入该域的所有用户均生效。若对用户采用本地认证方案,则需要完成本地认证的配置;若采用远端认证、授权或计费方案,则需要完成RADIUS的配置。
ISP域的具体配置步骤如下:
1. 选择“对象 > 用户 > 认证管理 > ISP域”。
2. 在“ISP域”页面单击<新建>按钮,进入“添加ISP域”页面。
3. 在“添加ISP域”页面的具体配置内容如下表所示:
表-1 配置IPS域参数表
参数 |
说明 |
域名 |
用于唯一标识一个ISP域 |
状态 |
状态包括如下两种: · 活动状态:系统允许该域下的用户请求网络服务 · 阻塞状态:系统不允许该域下的用户请求网络服务 |
接入方式 |
可根据不同的接入认证需求,选择不同的接入方式。例如,登录用户方式适用于需要认证登录设备的管理用户等 |
4. (可选)配置高级配置,具体内容如下表所示:
表-2 高级配置参数表
参数 |
说明 |
用户闲置切断时间 |
用户上线后,设备会周期性检测用户的流量,若ISP域内某用户在指定的闲置检测时间内产生的流量小于指定的数据流量,则会被强制下线 |
用户在闲置切断时间内产生的数据流量 |
用户闲置切断时用于设置检测流量的阈值 |
为用户分配IP地址的地址池 |
认证成功的PPP和Portal用户可以从指定的地址池中分配得到一个IP地址 |
5. 单击<确定>按钮,新建ISP域成功,且会在“ISP域”页面中显示。
RADIUS的具体配置步骤如下:
1. 选择“对象 > 用户 > 认证管理 > RADIUS”。
2. 在“RADIUS”页面单击<新建>按钮,进入“新建RADIUS”页面。
3. 在“新建RADIUS”页面的具体配置内容如下表所示:
表-3 配置RADIUS参数表
参数 |
说明 |
认证服务器 |
指定认证服务器的IP地址、端口号和共享密钥等信息 |
计费服务器 |
指定计费服务器的IP地址、端口号和共享密钥等信息 |
高级功能 |
根据实际需求配置高级功能 |
4. 单击<确定>按钮,新建RADIUS方案成功,且会在“RADIUS”页面中显示。
LDAP方案的具体配置步骤如下:
1. 选择“对象 > 用户 > 认证管理 > LDAP”。
2. 在“LDAP方案”页面单击<新建>按钮,进入“新建LDAP方案”页面。
3. 在“新建LDAP方案”页面的具体配置内容如下表所示:
表-4 配置LDAP方案参数表
参数 |
说明 |
名称 |
用于唯一标识一个LDAP方案 |
LDAP服务器名 |
表示LDAP服务器的名称。在LDAP服务器中可配置相关参数,用于设备与远程LDAP服务器建立连接 |
属性映射表 |
引用LDAP属性映射表后,可将LDAP授权服务器下发给用户的LDAP属性映射为AAA模块可以解析的某类属性 |
VRF |
表示远程LDAP服务器所属的VPN,若不配置该参数时,则表示LDAP服务器属于公网 |
地址类型 |
远程LDAP服务器的地址类型包括IPv4和IPv6两种 |
服务器地址 |
远程LDAP服务器的IP地址 |
端口 |
远程LDAP服务器上使用的端口号 |
管理员DN |
表示具有管理员权限的用户DN,必须与远程LDAP服务器上管理员的DN一致 |
管理员密码 |
LDAP服务器上管理员的DN的密码 |
LDAP版本号 |
目前设备支持LDAPv2和LDAPv3两个协议版本。设备上配置的LDAP版本号需要与远程LDAP服务器支持的版本号保持一致 |
超时时间 |
设备向远程LDAP服务器发送绑定请求、查询请求,如果经过指定的时间后未收到LDAP服务器的回应,则认为本次认证、授权请求超时 |
用户DN查询的起始节点 |
远程LDAP服务器上的目录结构可能具有很深的层次,如果从根目录进行用户DN的查找,耗费的时间将会较长,因此必须配置用户查找的起始点DN,以提高查找效率 |
用户DN查询的范围 |
所有子目录表示在起始DN的所有子目录下进行查询;下一级子目录表示只在起始DN的下一级子目录下进行查询 |
用户名称属性 |
表示用户名属性的值,缺省为cn |
用户名称格式 |
携带ISP域名表示发送给服务器的用户名带ISP域名;不携带ISP域名表示表示发送给服务器的用户名不带ISP域名 |
用户名称类型 |
表示查询用户DN时使用的用户对象类型 |
过滤条件 |
设备从LDAP服务器上导入身份识别用户组信息时,LDAP服务器会根据设置的用户组过滤条件筛选出符合条件的用户组信息发送给设备 |
4. 单击<确定>按钮,新建LDAP方案成功,且会在“LDAP方案”页面中显示。
RESTful服务器的具体配置步骤如下:
1. 选择“对象 > 用户 > 认证管理 > RESTful服务器”。
2. 在“RESTful服务器”页面单击<新建>按钮,进入“新建RESTful服务器”页面。
3. 在“新建RESTful服务器”页面的具体配置内容如下表所示:
表-5 配置RESTful服务器参数表
参数 |
说明 |
名称 |
用来唯一标识一个RESTful服务器 |
用户名 |
表示与远程RESTful服务器认证使用的管理员的名称 |
密码 |
表示与远程RESTful服务器认证使用的管理员的密码 |
获取用户账户的URI |
表示远程RESTful服务器上提供用户账户的URI |
获取在线用户的URI |
表示远程RESTful服务器上提供在线用户的URI |
获取用户组的URI |
表示远程RESTful服务器上提供用户组的URI |
上传在线用户的URI |
新增一个在线用户时,若该用户来源不是指定的RESTful服务器,则设备会将这些上线用户信息上传给RESTful服务器 |
上传下线用户的URI |
删除一个在线用户时,若该用户来源不是指定的RESTful服务器,则设备会将这些下线用户信息上传给RESTful服务器 |
VRF |
表示远程RESTful服务器所属的VPN,若不配置该参数时,则表示RESTful服务器属于公网 |
开启探测功能 |
开启此功能后,设备将与该RESTful服务器进行交互,并返回设备与RESTful服务器的连接状态值,根据返回的连接状态值确定是否要进入逃生机制 |
4. 单击<确定>按钮,新建RESTful服务器成功,且会在“RESTful服务器”页面中显示。
Sec Manage服务器的具体配置步骤如下:
1. 选择“对象 > 用户 > 认证管理 > Sec Manage服务器”。
2. 在“Sec Manage服务器”页面单击<新建>按钮,进入“新建Sec Manage服务器”页面。
3. 在“新建Sec Manage服务器”页面的具体配置内容如下表说是:
表-6 配置RADIUS参数表
参数 |
说明 |
名称 |
用于唯一标识一个Sec Manage服务器 |
服务器地址 |
表示远程TSM服务器的IP地址 |
服务器端口 |
表示远程TSM服务器发送消息的源端口号 |
监听端口 |
表示远程TSM服务器发送消息的目的端口号 |
加密算法 |
表示解密远程TSM服务器发送消息时,使用的加密算法 |
共享密钥 |
表示解密远程TSM服务器发送消息时,使用的密钥 |
4. 单击<确定>按钮,新建Sec Manage服务器成功,且会在“Sec Manage服务器”页面中显示。
· 不支持对FTP类型的登录用户进行计费。
· 在一个ISP域中,只有在认证和授权方法中指定了相同的RADIUS方案时,RADIUS授权过程才能生效。
· 如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
· 名称为system的ISP域不允许删除。
· 当指定某个ISP域处于阻塞状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。
· 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
· 如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
· 为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
· 设备上设置的发送给RADIUS服务器的数据流或者数据包的单位应与RADUIS服务器上的流量统计单位保持一致。
· 如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
· 当主服务器状态为“活动”时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为“阻塞”,并启动该服务器恢复活动状态的定时器,然后按照备用服务器的配置先后顺序依次查找状态为“活动”的备用服务器进行认证或者计费。如果状态为“活动”的备用服务器也不可达,则将该备用服务器的状态置为“阻塞”,同时启动该服务器恢复活动状态的定时器,并继续查找状态为“活动”的备用服务器。当服务器恢复活动状态的定时器超时,或者手动将服务器状态置为“活动”时,该服务器将恢复为“活动”状态。在一次认证或计费过程中,如果设备在尝试与备份服务器通信时,之前已经查找过的服务器状态由“阻塞”恢复为“活动”,则设备并不会立即恢复与该服务器的通信,而是继续查找备份服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
· 要根据配置的备用服务器数量合理设置发送RADIUS报文的最大尝试次数和RADIUS服务器响应超时时间,避免因为超时重传时间过长,在主服务器不可达时,出现设备在尝试与备用服务器通信的过程中接入模块(例如Telnet模块)的客户端连接已超时的现象。
· 要根据配置的备用服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置得过短,就会出现设备反复尝试与状态为活动但实际不可达的服务器通信而导致的认证或计费频繁失败的问题;如果服务器恢复激活状态设置的过长,则会导致已经恢复激活状态的服务器暂时不能为用户提供认证或计费服务。
· 当设备需要与LDAP授权服务器配合使用时,需要使用CLI方式在设备上进行LDAP的相关配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!