- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-用户配置
本章节下载: 03-用户配置 (188.07 KB)
用户配置
该功能用于管理用户信息,包括从用户导入方案、用户导入策略及展示通过用户导入策略获取的用户信息;并支持通过配置用户网段来添加用户。系统支持以下两种导入用户信息方式:
· LDAP导入:从LDAP服务器导入用户信息。本方式适用于使用LDAP认证服务器的场景。
· 手工录入用户网段:通过手工创建用户网段,该网段内所有IP都会被标识为用户。本方式适用于快速添加用户。
本章包含如下内容:
· 用户信息
· 用户导入策略
· 用户导入方案
· 用户网段配置
用户信息用于展示从LDAP服务器同步的用户和用户接入类日志获取的用户,并定时更新用户信息。
1. 选择“资产中心 > 用户配置 > 用户信息”进入用户信息页面。
2. 在用户信息页面可以选择以下操作:
○ 查看所有用户,或按条件筛选用户信息。
○ 查看用户登录详情:选中一条用户数据,点击<账户>,可以查询用户近30天的登录详情
· 账号:用户登录账号。单击账号查看用户最近30天的登录详情。
· 用户全称:用户登录后在系统中显示的名称,可与账号相同。
· 最近登录IP:用户最近登录的IP。
· 最近登录时间:用户最近登录的时间。
· 办公室:用户的办公室信息。
· 电话号码:用户的联系电话号码。
· 电子邮箱:用户的联系邮箱。
· 描述:用户的描述信息。
用户导入策略用于管理用户导入策略,包括新增、修改、删除策略。通过用户导入策略区域采集器可从第三方LDAP服务器上导入用户信息,并将获取到的用户信息上报给本系统。导入的用户信息将在“用户信息”页面展示。
目前,用户导入策略支持如下几种导入方式:
· 自动导入:采用自动导入方式后,区域采集器将按导入周期定期从指定的服务器上自动导入用户信息,并上报给本系统。
· 手动导入:采用手动导入方式后,区域采集器将向导入策略中指定的服务器发起一次连接请求,然后导入服务器上的用户信息,并上报给本系统。
1. 选择“资产中心 > 用户配置 > 用户导入策略”进入用户导入策略页面。
2.
单击页面中的<新增>按钮可新增一条策略;单击
按钮可修改选中策略的配置信息。
3. 新增策略后,在策略列表中点击手动导入图标按钮系统将立即执行该策略。
4.
选中多条策略信息,单击页面中的<删除>按钮可批量删除导入策略;单击操作列的
按钮可删除选中的策略。
· 策略名称:用于唯一标识一个用户导入策略。
· 策略描述:通过合理编写描述信息,便于管理员快速理解和识别该条策略。
· 区域选择:指定区域后,系统将从该区域采集器进行用户导入。
· LDAP方案:指定LDAP方案,用于从此LDAP方案中的LDAP服务器上导入身份识别用户信息。
· 导入类型:选择导入的用户信息类型,包括用户、用户组及用户和用户组。
· 开启自动导入:开启此功能后,指定的区域采集器将按导入周期定期从LDAP服务器上自动导入用户信息。
· 导入周期:自动导入用户信息的时间间隔。
· 当某个区域下的所有子区域都配置了各自的区域采集器时,导入策略中建议选择相应的子区域,否则导入时间比较长。
· 引用LDAP方案时只能选择已配置的LDAP方案,关于LDAP方案的详细说明请参见用户导入方案。
· 开启自动导入并配置导入周期后,系统将从零点开始,按照导入周期周期性运行任务。例如,导入周期为5,系统将在每天05:00、10:00、15:00、20:00运行任务。
用户导入方案用于配置LDAP服务器的访问参数,并从该服务器上获取用户信息。
1. 选择“资产中心 > 用户配置 > 用户导入方案”进入用户导入方案页面。
2.
单击页面中的<新增>按钮可新增一条方案;单击按钮可修改选中策略的配置信息。
3.
选中多条方案信息,单击页面中的<删除>按钮可批量删除导入方案;单击操作列的按钮可删除选中的方案。
· 方案名称:用于唯一标识一个用户导入方案。
· 服务器名称:表示LDAP服务器的名称。在LDAP服务器中可配置相关参数,用于采集器与远程LDAP服务器建立连接。
· VRF:表示远程LDAP服务器所属的VPN,若不配置该参数时,则表示LDAP服务器属于公网。
· 地址类型:LDAP服务器的地址类型包括IPv4和IPv6两种。
· 服务器地址:LDAP服务器的IP地址。
· 服务器端口:LDAP服务器上使用的端口号。
· 管理员DN:具有管理员权限的用户DN,必须与远程LDAP服务器上管理员的DN一致。
· 管理员密码:LDAP服务器上管理员的DN的密码。
· LDAP版本号:支持LDAPv2和LDAPv3两个协议版本。系统上配置的LDAP版本号需要与LDAP服务器支持的版本号保持一致。
· 超时时间:采集器向远程LDAP服务器发送绑定请求、查询请求,如果经过指定的时间后未收到LDAP服务器的回应,则认为本次认证、授权请求超时。
· 开始节点:LDAP服务器上的目录结构可能具有很深的层次,如果从根目录进行用户DN的查找,耗费的时间将会较长,因此必须配置用户查找的起始点DN,以提高查找效率。
· 用户范围:所有子目录表示在开始节点的所有子目录下进行查询;下一级子目录表示只在开始节点的下一级子目录下进行查询。
· 用户名称属性:表示用户名属性的值。
· 用户名称格式:携带ISP域名表示发送给服务器的用户名带ISP域名;不携带ISP域名表示表示发送给服务器的用户名不带ISP域名。
· 用户名称类型:表示查询用户DN时使用的用户对象类型。
· 过滤条件:采集器从LDAP服务器上导入用户组信息时,LDAP服务器会根据设置的用户组过滤条件筛选出符合条件的用户组信息发送给采集器。
· 基准DN:LDAP服务器查询的起始DN。配置基准DN后,LDAP服务器将从该基准DN下指定的开始节点进行查询。
· 用户范围目前仅支持选择下一级子目录,否则会导致导入用户信息失败。
· 管理员DN的格式为:cn=xxx,cn=xxx,dc=xxx,dc=xxx,dc=xx。
· 本平台仅支持从基于Windows系统的LDAP服务器中导入用户。
该功能用于管理用户网段信息。配置用户网段并关联区域后,该网段内所有IP都会被标识为用户并关联到指定区域。
1. 选择“资产中心 > 用户配置 > 用户网段配置”进入用户网段配置页面。
2. 检索用户网段:支持按所属区域和用户IP检索用户网段信息。其中,用户IP仅支持精确查询,查询时必须输入完整准确的IP地址,如192.168.0.1。
3. 新增用户网段:单击页面中的<新增>按钮可新增一个用户网段。
4.
编辑用户网段:单击按钮可修改选中用户网段的配置信息。
5. 导入用户网段:单击<导入>按钮选择“用户网段批量导入模板下载”,按模板要求填写用户网段信息并保存后,再次单击<导入>按钮选择“用户网段导入”,导入保存的用户网段模板完成操作。
6. 导出用户网段:单击<导出>按钮将导出满足查询条件的所有用户网段信息;若查询条件为空,则导出系统中的所有用户网段信息。
7.
删除用户网段:选中多条用户网段信息,单击页面中的<删除>按钮可批量删除用户网段;单击操作列的按钮可删除选中的用户网段。
8. 一键整理用户网段:对于已被删除的用户,单击<一键整理>按钮可一键清除其残留数据,包括风险用户分析数据、脆弱性风险分析数据、流量分析数据、场景化分析数据以及溯源分析数据。
· 区域选择:指定区域后,网段内所有IP都会被标识为用户,并且都属于该区域。
· 继承区域IP段:勾选继承区域IP段后,系统自动将区域IP段添加到IP范围列表,管理员可根据需要编辑IP范围,提高配置效率。
· IP范围(IP范围内的IP都会被标识为用户,单击<新增>按钮配置IP范围):
○ IP地址类型:用户网段的地址类型,包括IPv4和IPv6两种。
○ 用户网段类型:选择用户网段的配置形式,包括:
§ 子网:选择网段后需要输入子网IP地址和子网掩码长度。
§ IP地址范围:指定范围IP地址。需要输入范围起始IP地址和范围结束IP地址,并且结束IP地址必须大于起始IP地址。
○ 排除地址:用户网段中排除的IP地址,即该IP地址不属于用户网段。
· 设置用户网段时必须指定区域,否则添加失败。
· 一次最多支持导入10000条用户网段数据。
· 如果配置的用户IP地址与资产IP地址重复,平台会优先将IP地址识别为用户。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
