• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全配置指导

目录

07-用户身份识别与管理配置

本章节下载 07-用户身份识别与管理配置  (309.24 KB)

07-用户身份识别与管理配置


1 用户身份识别与管理

1.1  用户身份识别与管理简介

通过用户身份识别与管理功能,设备可以将网络流量的IP地址识别为用户,并与安全特性(用户黑名单、对象组等)相配合基于用户进行网络访问控制。此功能便于网络管理员基于用户进行安全管理功能策略的制定,以及基于用户进行网络攻击行为以及流量的统计和分析,解决了用户IP地址变化带来的策略控制问题。

1.1.1  基于用户身份的访问控制

基于用户身份的访问控制流程主要包括如下步骤:

(1)     用户身份认证:网络接入用户完成身份验证,并成为在线用户。

(2)     用户身份识别:设备记录在线用户的用户名和IP地址等信息,并与本地的身份识别用户账户和身份识别用户组进行关联,实现IP地址和用户的映射。管理员也可以直接配置用户和IP地址的映射关系,便于无需认证的网络接入用户使用。

(3)     安全管理功能策略执行:在线用户访问网络服务时,设备识别出用户流量的源IP地址,并根据已建立IP地址和用户的映射关系解析出对应的用户名以及所属的用户组,然后按照安全管理特性(用户黑名单、对象组等)对用户/用户组的策略配置,对该用户的网络访问权限进行控制。

1.1.2  身份识别用户的管理架构

设备上的所有身份识别用户按树形结构组织,按照身份识别用户、身份识别用户组以及身份识别域的递进关系进行管理:

·     每个身份识别用户可以隶属于一个或多个身份识别用户组;

·     每个身份识别用户组可以隶属于一个或多个更高结构层次的身份识别用户组;

·     每个身份识别用户以及身份识别用户组可以隶属于一个域或不属于任何域,该域称为身份识别域。身份识别域是整个用户身份识别管理架构中最高级别的管理单元。设备通过域名和用户名的组合,以及域名和用户组名的组合唯一标识一个被管理对象。

这种树形组织结构易于管理员查询、定位,是企业内常用的用户组织方式。网络管理员可以根据企业的组织结构在设备上管理身份识别用户组和身份识别用户,分别对应不同管理级别的部门和员工,如图1-1所示:

图1-1 身份识别用户的管理架构图

 

1.1.3  身份识别用户账户

身份识别用户账户用于存储和管理不同来源的网络接入用户身份信息,包括用户名、用户组名以及所属身份识别域名。设备上,不同来源的身份识别用户账户被身份识别模块统一管理。

目前,支持以下几种方式生成身份识别用户账户:

·     从本地用户数据库学习:用户身份识别模块学习设备上的网络接入类本地用户信息,将其保存为身份识别用户账户。关于网络接入类本地用户的详细介绍请参见“安全配置指导”中的“AAA”。

·     从CSV文件中导入:管理员将记录了用户信息的CSV文件导入到设备中,实现批量创建身份识别用户账户。

·     从远程服务器导入:通过向远程服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户账户。如果实际网络环境中的用户信息存放在远程服务器上,则可采用此方式统一管理。支持的服务器包括LDAP服务器和H3C iMC的RESTful服务器。

1.1.4  在线身份识别用户

通过用户身份识别模块管理的网络接入类(例如PPP)在线用户,被称为在线身份识别用户。设备记录的在线身份识别用户信息可包括用户名、身份识别域名、IP地址、MAC地址等。在线身份识别用户有动态和静态两种类型。

1. 动态在线身份识别用户

动态在线身份识别用户包括以下两种类型:

·     在本设备接入的在线网络接入用户。用户通过本地或远程服务器认证上线后,用户身份识别模块会在本地身份识别用户账户中查询该用户名和域名对应的表项,如果查询成功,则会生成一条在线身份识别用户表项。

·     从远程服务器上获取的在线网络接入用户。设备获得远程服务器的在线用户信息后,用户身份识别模块会在本地身份识别用户账户中查询用户名和域名对应的表项,如果查询成功,则会生成对应的在线身份识别用户表项。可采用此方式将远程服务器上的在线用户信息(包括其它接入设备上的在线用户信息)导入到本机进行统一管理和监控。

支持互通远程服务器为H3C iMC的RESTful服务器,具体交互情况为:设备主动从H3C iMC的RESTful服务器上导入在线网络接入用户信息。

2. 静态在线身份识别用户

网络管理员可以手工配置静态类型的身份识别用户,每个用户表项中记录了用户名和IP地址的绑定关系。一个静态类型的身份识别用户创建后,用户身份识别模块会在本地身份识别用户账户中查询该用户名和域名对应的表项,如果查询成功,则会生成一条静态类型的在线身份识别用户表项。一些组网需求下,例如有少量指定人员临时接入网络时,网络管理员希望这些用户无需进行认证也能够在安全特性的管理下访问网络,则可以通过配置静态类型的身份识别用户满足该需求。

3. 在线身份识别用户的应用

在线身份识别用户可被应用模块引用进行相关安全业务的处理。在线身份识别用户被应用模块引用之后,基于该用户的安全业务将会生效。在线身份识别用户表项被删除后,用户身份识别模块将通知应用模块停止该用户相关的业务处理。

1.1.5  身份识别用户组

在用户身份识别业务中,可以将用户加入到组中进行批量配置和层级式管理,这样的组称为身份识别用户组。设备上,不同来源的身份识别用户组被用户身份识别模块统一管理。

1. 身份识别用户组的生成

目前,支持以下几种方式生成身份识别用户组:

·     从本地用户数据库学习:当设备上创建本地用户组时,会通知用户身份识别模块生成相应的身份识别用户组。关于本地用户组的详细介绍请参见“安全配置指导”中的“AAA”。

·     从CSV文件中导入:设备在从CSV文件中导入身份识别用户账户的同时,可以根据管理员的配置自动生成相应的身份识别用户组。

·     从远程服务器导入:

¡     设备在从H3C iMC的RESTful服务器或LDAP服务器上导入身份识别用户账户的同时,会根据账户中的组信息自动生成相应的身份识别用户组。

¡     设备直接从LDAP服务器上获取用户组信息,并生成相应的身份识别用户组。

2. 身份识别用户组的应用

身份识别用户组可被应用模块引用进行相关安全业务的处理。身份识别用户组被应用模块引用之后,该用户组将处于激活状态,所有基于该组的业务将会生效。当应用模块取消对该身份识别用户组的引用,该身份识别用户组将处于非激活状态。

1.2  用户身份识别与管理配置限制和指导

目前,本特性与远程服务器的互通情况如下:

·     支持从H3C iMC RESTful服务器导入身份识别用户账户、身份识别用户组和在线身份识别用户;

·     支持从LDAP服务器导入身份识别用户账户和身份识别用户组;

本特性支持的H3C iMC的RESTful服务器必须为支持SSM组件的iMC PLAT 7.3 (E0605P04)版本。

本特性不支持对基于MAC地址的快速认证Portal用户的身份识别与管理。关于基于MAC地址的快速认证的详细介绍,请参见“安全配置指导”中的“Portal”。

1.3  用户身份识别与管理配置任务简介

用户身份识别与管理配置任务如下:

(1)     开启用户身份识别功能

(2)     配置远程服务器以及身份识别用户导入策略

仅当设备需要从RESTful服务器和LDAP服务器导入用户信息时,才需要进行此配置。

a.     配置远程服务器参数

配置RESTful服务器

配置LDAP方案

b.     配置身份识别用户导入策略

(3)     (可选)管理身份识别用户账户

¡     开启身份识别用户账户自动导入功能

¡     手工导入服务器上的身份识别用户账户

¡     手工导入CSV文件中的身份识别用户账户

¡     手工导出身份识别用户账户

¡     删除身份识别用户账户

(4)     (可选)管理在线身份识别用户

¡     配置静态类型的身份识别用户

¡     配置在线用户身份识别的用户名匹配模式

¡     导入服务器上的在线身份识别用户

¡     删除在线身份识别用户

(5)     (可选)删除身份识别用户组

1.4  开启用户身份识别功能

1. 功能简介

开启用户身份识别功能后,用户身份识别模块才会与接入模块(例如PPP)以及应用模块一起联动实现基于用户身份的访问控制。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启用户身份识别功能。

user-identity enable

缺省情况下,用户身份识别功能处于关闭状态。

1.5  配置远程服务器以及身份识别用户导入策略

1.5.1  配置RESTful服务器

1. 功能简介

RESTful服务器视图用于定义设备与RESTful服务器交互的相关参数,包括登录账户和服务器URI等。设备与RESTful服务器成功建立连接之后,可以从该服务器上手工或定期导入身份识别用户账户、身份识别用户组和在线身份识别用户。

2. 配置限制和指导

系统中仅能存在一个RESTful服务器。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建RESTful服务器,并进入RESTful服务器视图。

user-identity restful-server server-name

(3)     配置登录到RESTful服务器所需的用户名和密码。

login-name user-name password { cipher | simple } string

缺省情况下,未配置登录到RESTful服务器所需的用户名和密码。

指定的用户名和密码必须是RESTful服务器上已存在的,否则无法与RESTful服务器建立连接。

(4)     指定RESTful服务器的URI。

uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user } uri-string

缺省情况下,未指定RESTful服务器的URI。

指定的URI必须与RESTful服务器上提供各类用户资源服务的URI保持一致,否则将会导致用户信息交互失败。

可以通过多次执行本命令指定多个不同类型的URI。

(5)     配置RESTful服务器所属的VPN。

vpn-instance vpn-instance-name

缺省情况下,未配置RESTful服务器的VPN,表示RESTful服务器位于公网。

(6)     (可选)配置对RESTful服务器的探测功能。

a.     开启对RESTful服务器的探测功能。

connection-detect enable

缺省情况下,对RESTful服务器的探测功能处于关闭状态。

b.     配置对RESTful服务器的探测参数。

connection-detect { interval interval | maximum max-times }

缺省情况下,对RESTful服务器的探测周期为5分钟,每周期内的最大探测次数为3。

1.5.2  配置LDAP方案

1. 功能简介

LDAP方案用于指定与设备通信的LDAP服务器以及相关参数。设备与LDAP服务器成功建立连接之后,管理员可以从该服务器上导入身份识别用户账户和身份识别用户组。

关于LDAP方案及其相关配置的详细介绍请参见“安全配置指导”中的“AAA”。

2. 配置限制和指导

目前,系统不支持从LDAP服务器上导入在线身份识别用户。

缺省情况下,系统从LDAP服务器上导入身份识别用户账户或身份识别用户组时,并不会携带其父组信息。如果希望导入的身份识别用户和身份识别用户组信息中携带其父组信息,则需要配置用户组类型的LDAP属性映射表,并在LDAP方案中引用该映射表。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置LDAP服务器。

LDAP服务器的配置包括服务器IP地址、与LDAP服务器建立连接所使用的管理员DN和密码、DN查询策略以及用户组的过滤条件等。具体配置请参见“安全配置指导”中的“AAA”。

(3)     创建LDAP的属性映射表,并进入属性映射表视图。

ldap attribute-map map-name

(4)     配置用户组类型的LDAP属性映射表。

map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute user-group

(5)     创建LDAP方案,并进入LDAP方案视图。

ldap scheme ldap-scheme-name

(6)     指定LDAP认证服务器。

authentication-server server-name

缺省情况下,未指定LDAP认证服务器。

(7)     引用LDAP属性映射表。

attribute-map map-name

缺省情况下,未引用LDAP属性映射表。

引用了LDAP属性映射表的情况下,导入的身份识别用户和身份识别用户组信息中会携带其父组信息,但设备不会根据它自动生成相应的身份识别用户组。

1.5.3  配置身份识别用户导入策略

1. 功能简介

若要从服务器导入身份识别用户账户、在线身份识别用户或身份识别用户组,则需要配置服务器身份识别用户导入策略,该策略主要用于设置连接RESTful服务器和LDAP服务器的相关参数。

2. 配置限制和指导

系统中仅能存在一个身份识别用户导入策略。配置新策略之前,必须首先删除当前策略。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建身份识别用户导入策略,并进入身份识别用户导入策略视图。

user-identity user-import-policy policy-name

(3)     指定RESTful服务器。

restful-server server-name

缺省情况下,未指定RESTful服务器。

最多只能指定一个RESTful服务器。如需指定其它的RESTful服务器,必须首先删除已指定的RESTful服务器。

(4)     指定LDAP方案。

ldap-scheme ldap-scheme-name

缺省情况下,未指定LDAP方案。

最多可指定16个LDAP方案。

(5)     (可选)配置自动导入身份识别用户账户的周期。

account-update-interval interval

缺省情况下,自动导入身份识别用户账户的周期为24小时。

(6)     配置从LDAP服务器上导入的用户信息类型。

import-type { all | group | user }

缺省情况下,未配置从LDAP服务器上导入的用户信息类型,允许导入用户和用户组信息。

1.6  管理身份识别用户账户

1.6.1  开启身份识别用户账户自动导入功能

1. 功能简介

开启指定策略的身份识别用户账户自动导入功能后,设备首先会从该策略指定的服务器上导入所有身份识别用户账户和所有在线身份识别用户信息,然后定期从该服务器上自动导入身份识别用户账户(导入周期由身份识别用户导入策略中的account-update-interval命令配置)。

2. 配置限制和指导

如果开启此功能时,用户身份识别功能处于关闭状态,则仅能从服务器上导入身份识别用户账户。

如果开启了指定策略的身份识别用户账户自动导入功能,且同时开启了对该策略中指定的RESTful服务器的探测功能,则当该RESTful服务器状态由不可达变为可达时,设备会主动同步一次该服务器上的在线身份识别用户信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启身份识别用户账户自动导入功能。

user-identity user-account auto-import policy policy-name

缺省情况下,身份识别用户自动账户导入功能处于关闭状态。

1.6.2  手工导入服务器上的身份识别用户账户

1. 功能简介

可以通过执行本命令向远程服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户账户。在导入过程中,若某个账户导入失败,则跳过该账户,继续导入。

2. 配置准备

本命令中指定的身份识别用户导入策略必须已经存在,且该策略中必须指定了有效的RESTful服务器的URI或LDAP服务器IP地址。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     导入服务器上的身份识别用户账户。

user-identity user-account import policy policy-name

1.6.3  手工导入CSV文件中的身份识别用户账户

1. 功能简介

可以通过执行本命令从CSV文件中导入身份识别用户账户。在导入过程中,若某个账户导入失败,则立即停止导入。

2. 配置准备

查看由user-identity user-account export url命令导出的标准模板,确保使用的CSV文件格式合法。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     从CSV文件中导入身份识别用户账户。

user-identity user-account import url url-string [ vpn-instance vpn-instance-name ] [ auto-create-group | override | start-line line-number ] *

1.6.4  手工导出身份识别用户账户

1. 功能简介

可以通过执行本命令将设备上的身份识别用户账户导出到一个CSV文件中保存。导出的CSV文件可直接或在编辑之后用于导入到本设备或其它接入设备上使用。

若执行本命令时指定了template参数,则导出一个标准的CSV文件模板,此模板可用于指导管理员编辑符合设备要求的CSV文件。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     将身份识别用户账户导出到CSV文件。

user-identity user-account export url url-string [ { domain domain-name | null-domain } [ user user-name ] | template ] [ vpn-instance vpn-instance-name ]

1.6.5  删除身份识别用户账户

1. 功能简介

可以通过以下方式删除身份识别用户账户:

·     手工删除:管理员通过命令行删除从服务器或者从CSV文件导入的身份识别用户账户。

·     动态删除:本地用户数据库中删除某网络接入类本地用户之后,用户身份识别模块会同步删除对应的身份识别用户账户。

2. 手工删除身份识别用户账户

请在用户视图下执行本命令,删除身份识别用户账户。

reset user-identity user-account { all | { domain domain-name | null-domain } [ name user-name ] }

1.7  管理在线身份识别用户

1.7.1  配置静态类型的身份识别用户

1. 配置限制和指导

一个用户名可以绑定多个IP地址或者多个IP地址和MAC地址的组合,但同一个IP地址或者IP地址和MAC地址的组合不能被多个用户名绑定。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置静态类型的身份识别用户。

user-identity static-user user-name [ domain domain-name ] bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ]

1.7.2  配置在线用户身份识别的用户名匹配模式

1. 功能简介

设备创建一条在线身份识别用户表项之前,首先检查该用户是否能够匹配上本地的身份识别用户账户,如果能够匹配上,才会生成对应的在线身份识别用户表项。本功能来用来配置设备采用哪种用户名格式去匹配身份识别用户账户。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置在线用户身份识别的用户名匹配模式。

user-identity online-user-name-match { keep-original | with-domain | without-domain }

缺省情况下,在线用户身份识别的用户名匹配模式为keep-original

1.7.3  导入服务器上的在线身份识别用户

1. 功能简介

可以通过执行本命令向指定的远程服务器实时发起在线用户请求,实现导入服务器上当前所有在线用户信息的目的。

2. 配置限制和指导

目前,仅支持从H3C iMC的RESTful服务器上导入在线身份识别用户。

若未开启用户身份识别功能,则本命令执行失败。

3. 配置准备

本命令中指定的身份识别用户导入策略必须已经存在,且该策略中必须指定了有效的RESTful服务器的URI。

4. 配置步骤

(1)     进入系统视图。

system-view

(2)     导入服务器上的在线身份识别用户。

user-identity online-user import policy policy-name

1.7.4  删除在线身份识别用户

1. 功能简介

可以通过以下方式删除在线身份识别用户:

·     手工删除:管理员通过命令行删除从服务器导入的动态在线身份识别用户,以及通过匹配静态身份识别用户表项生成的静态在线身份识别用户。

·     动态删除:

¡     本设备接入的用户下线后,接入模块通知用户身份识别模块删除对应的在线身份识别用户。

¡     设备重启后,所有动态类型的在线身份识别用户均被删除。

¡     用户身份识别功能关闭,所有在线身份识别用户均被删除。

¡     远程服务器上用户下线时,服务器会主动通知设备删除相应的在线身份识别用户。

2. 手工删除动态在线身份识别用户

在用户视图下执行本命令,删除动态在线身份识别用户。

reset user-identity dynamic-online-user { all | { domain domain-name | null-domain } [ name user-name ] | { ip ipv4-address | ipv6 ipv6-address } [ mac mac-address ] }

3. 手工删除静态在线身份识别用户

(1)     进入系统视图。

system-view

(2)     删除静态在线身份识别用户。

undo user-identity static-user [ domain domain-name ] [ bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ] ]

1.8  删除身份识别用户组

1. 功能简介

可以通过以下方式删除身份识别用户组:

·     手工删除:管理员通过命令行删除从服务器或者从CSV文件导入的身份识别用户组。

·     动态删除:本地用户数据库中删除本地用户组之后,用户身份识别模块会同步删除对应的身份识别用户组。

2. 手工删除身份识别用户组

在用户视图下执行本命令,删除身份识别用户组。

reset user-identity user-group { all | { domain domain-name | null-domain } [ name group-name ] }

1.9  用户身份识别与管理显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后用户身份识别与管理的运行情况,通过查看显示信息验证配置的效果。

表1-1 用户身份识别与管理显示和维护

操作

命令

显示指定的身份识别用户或身份识别用户组

display user-identity { domain domain-name | null-domain } { user [ user-name [ group ] ] | user-group [ group-name [ member { group | user } ] ] }

显示激活的身份识别用户组

display user-identity active-user-group { all | domain domain-name | null-domain }

显示所有身份识别用户或身份识别用户组

display user-identity all { user | user-group }

显示在线身份识别用户

display user-identity online-user { domain domain-name | null-domain } name user-name

显示RESTful服务器配置

display user-identity restful-server [ server-name ]

显示身份识别用户导入策略

display user-identity user-import-policy [ policy-name ]

 

1.10  用户身份识别与管理典型配置举例

1.10.1  静态类型用户的身份识别与管理配置举例(基于对象策略)

1. 组网需求

管理员要求用户不需要经过身份认证即可通过设备访问网络,但其网络访问权限需要接受对象策略的控制。具体要求为:IP地址为1.2.3.4、MAC地址为0001-0001-0001、用户名为usera的用户只有在工作日才可以访问外部网络。

2. 组网图

图1-2 静态类型用户的身份识别与管理配置组网图

3. 配置步骤

(1)     配置接口IP地址、路由保证网络可达,具体配置步骤略

(2)     配置用户身份识别

# 创建网络接入类本地用户usera。

<Device> system-view

[Device] local-user usera class network

[Device-luser-network-usera] quit

# 配置一个静态类型的身份识别用户:IP地址为1.2.3.4,MAC地址为0001-0001-0001、用户名为usera。

[Device] user-identity static-user usera bind ipv4 1.2.3.4 mac 0001-0001-0001

# 开启用户身份识别功能。

[Device] user-identity enable

(3)     配置对象策略及规则

# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。

[Device] time-range work 08:00 to 18:00 working-day

# 创建名为ipgroup1的IP地址对象组,并定义网络用户名称为usera。

[Device] object-group ip address ipgroup1

[Device-obj-grp-ip-ipgroup1] network user usera

[Device-obj-grp-ip-ipgroup1] quit

# 制订只允许用户在工作时间访问外部网络的对象策略ippolicy1。

[Device] object-policy ip ippolicy1

[Device-obj-policy-ip-ippolicy1] rule pass source-ip ipgroup1 time-range work

[Device-obj-policy-ip-ippolicy1] quit

(4)     配置安全域间实例并应用对象策略

# 创建名为trust的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 创建名为untrust的安全域,并将接口GigabitEthernet1/0/2入该安全域中。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

# 创建源安全域trust到目的安全域untrust的安全域间实例,并应用对象策略ippolicy1。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] object-policy apply ip ippolicy1

[Device-zone-pair-security-Trust-Untrust] quit

4. 验证配置

# 以上配置完成后,当IP地址为1.2.3.4、MAC地址为0001-0001-0001的用户接入网络后,可通过如下显示命令查看静态类型的在线身份识别用户信息。该用户只有在工作日才可以访问外部网络。

[Device] display user-identity online-user null-domain name usera

User name: usera

  IP  : 1.2.3.4

  MAC : 0001-0001-0001

  Type: Static

 

Total 1 records matched.

1.10.2  静态类型用户的身份识别与管理配置举例(基于安全策略)

1. 组网需求

管理员要求用户不需要经过身份认证即可通过设备访问网络,但其网络访问权限需要接受安全策略的控制。具体要求为:IP地址为1.2.3.4、MAC地址为0001-0001-0001、用户名为usera的用户只有在工作日才可以访问外部网络。

2. 组网图

图1-3 静态类型用户的身份识别与管理配置组网图

3. 配置步骤

(1)     配置接口IP地址、路由保证网络可达,具体配置步骤略

(2)     配置用户身份识别

# 创建网络接入类本地用户usera。

<Device> system-view

[Device] local-user usera class network

[Device-luser-network-usera] quit

# 配置一个静态类型的身份识别用户:IP地址为1.2.3.4,MAC地址为0001-0001-0001、用户名为usera。

[Device] user-identity static-user usera bind ipv4 1.2.3.4 mac 0001-0001-0001

# 开启用户身份识别功能。

[Device] user-identity enable

(3)     配置时间段和对象组

# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。

[Device] time-range work 08:00 to 18:00 working-day

# 创建名为ipgroup1的IP地址对象组,并定义网络用户名称为usera。

[Device] object-group ip address ipgroup1

[Device-obj-grp-ip-ipgroup1] network user usera

[Device-obj-grp-ip-ipgroup1] quit

(4)     配置安全域

# 创建名为trust的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 创建名为untrust的安全域,并将接口GigabitEthernet1/0/2入该安全域中。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(5)     配置安全策略及规则

# 进入IPv4安全策略视图。

[Device] security-policy ip

# 制订只允许用户在工作时间访问外部网络的安全策略ippolicy1。

[Device-security-policy-ip] rule 1 name ippolicy1

[Device-security-policy-ip-1-ippolicy1] source-zone trust

[Device-security-policy-ip-1-ippolicy1] destination-zone untrust

[Device-security-policy-ip-1-ippolicy1] action pass

[Device-security-policy-ip-1-ippolicy1] source-ip ipgroup1

[Device-security-policy-ip-1-ippolicy1] time-range work

[Device-zone-pair-security-Trust-Untrust] quit

4. 验证配置

# 以上配置完成后,当IP地址为1.2.3.4、MAC地址为0001-0001-0001的用户接入网络后,可通过如下显示命令查看静态类型的在线身份识别用户信息。该用户只有在工作日才可以访问外部网络。

[Device] display user-identity online-user null-domain name usera

User name: usera

  IP  : 1.2.3.4

  MAC : 0001-0001-0001

  Type: Static

 

Total 1 records matched.

1.10.3  Portal用户的身份识别与管理配置举例

1. 组网需求

配置设备对Portal用户进行身份识别和访问控制,具体要求如下:

·     采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。

·     采用RADIUS服务器作为认证/计费服务器。

·     用户通过DHCP获取的公网IP地址进行Portal认证。

·     对所有Portal在线用户进行身份识别和基于组的访问控制,要求它们只有在工作日才可以访问外部网络。

2. 组网图

图1-4 Portal用户的身份识别与管理配置组网图

3. 配置步骤

(1)     配置接口IP地址、路由保证网络可达,具体配置步骤略

(2)     配置Portal认证

完成Portal认证相关的所有配置,保证用户Host A、Host B、Host C分别使用用户名usera、userb、userc正常通过Portal认证。Portal认证详细配置请参见“安全配置指导”中的“Portal”,具体配置步骤略。

(3)     配置用户身份识别

# 创建网络接入类本地用户usera、userb、userc。

<Device> system-view

[Device] local-user usera class network

[Device-luser-network-usera] quit

[Device] local-user userb class network

[Device-luser-network-userb] quit

[Device] local-user userc class network

[Device-luser-network-userc] quit

# 创建本地用户组group1。

[Device] user-group group1

# 将本地用户usera、userb、userc加入用户组group1。

[Device-ugroup-group1] identity-member user usera

[Device-ugroup-group1] identity-member user userb

[Device-ugroup-group1] identity-member user userc

[Device-ugroup-group1] quit

# 开启用户身份识别功能。

[Device] user-identity enable

(4)     配置对象策略及规则

# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。

[Device] time-range work 08:00 to 18:00 working-day

# 创建名为ipgroup1的IP地址对象组,并定义网络用户组名称为group1。

[Device] object-group ip address ipgroup1

[Device-obj-grp-ip-ipgroup1] network user-group group1

[Device-obj-grp-ip-ipgroup1] quit

# 制订只允许用户在工作时间访问外部网络的对象策略ippolicy1。

[Device] object-policy ip ippolicy1

[Device-obj-policy-ip-ippolicy1] rule pass source-ip ipgroup1 time-range work

[Device-obj-policy-ip-ippolicy1] quit

(5)     配置安全域间实例并应用对象策略

# 创建名为zone1的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。

[Device] security-zone name zone1

[Device-security-zone-zone1] import interface gigabitethernet 1/0/1

[Device-security-zone-zone1] quit

# 创建名为zone2的安全域,并将接口GigabitEthernet1/0/2入该安全域中。

[Device] security-zone name untrust

[Device-security-zone-zone2] import interface gigabitethernet 1/0/2

[Device-security-zone-zone2] quit

# 创建源安全域zone1到目的安全域zone2的安全域间实例,并应用对象策略ippolicy1。

[Device] zone-pair security source zone1 destination zone2

[Device-zone-pair-security-zone1-zone2] object-policy apply ip ippolicy1

[Device-zone-pair-security-zone1-zone2] quit

4. 验证配置

# 以上配置完成后,可通过如下显示命令查看身份识别用户组group1的所有身份成员信息。

[Device] display user-group name group1 identity-member all

Total 1 user groups matched.

 

User group: group1

  Identity groups: 0

  Identity users: 3

  User ID       Username

  0x1           usera

  0x2           userb

  0x3           userc

# 当有Portal用户成功上线,可通过如下显示命令查看当前的在线身份识别用户信息。

[Device] display user-identity online-user null-domain name usera

User name: usera

  IP  : 2.2.2.2

  MAC : 0001-0002-0003

  Type: Dynamic

 

Total 1 records matched

以上显示信息中查看到的用户将会受到对象策略的控制,只有在工作日才可以访问外部网络。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们