- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
23-用户和用户认证
本章节下载: 23-用户和用户认证 (3.05 MB)
用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。
根据用户的认证状态,可以将用户分为三类:匿名用户、静态绑定用户、认证用户。
· 匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户IP作为匿名用户的用户名。
· 静态绑定用户,是指系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。
· 认证用户, 是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、短信认证、微信认证、访客二维码认证、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证,认证用户所使用的IP地址可以是IPv4地址也可以是IPv6地址。。
根据不同的用户分类,可以采取不同的用户策略,对用户的网络访问等进行权限限制和监控。
通过用户组织结构可以清晰的将每个用户按照组织架构进行分类处理,方便管理和维护。属性组则是为每个用户附加一个或者多个属性,这样可以通过属性组的方式将某一类用户进行管控。
· 组织结构组包含用户和用户组,用户组可以包含用户和用户组,支持8级层级,每个层级支持1024个节点。
· 属性组没有层级结构,全部属性组组使用并列的形式。
· 同一用户在组织结构组中仅可出现一次。
· 属性组中相同用户可以同时存在于多个属性组。
在导航栏中选择“用户管理 > 用户组织结构”,选择用户显示页面,如图1-1所示。
页面的详细说明如表1-1所示。
|
项目 |
说明 |
|
组织结构 |
以树形结构的方式展示所有用户的组织结构信息,最大支持8级的组织结构。 |
|
名称 |
该用户组下的用户或者下一级用户组的名称,1-63字符。 |
|
描述 |
用户组或者用户的描述信息,没有则为空。 |
|
类型 |
此行对应的是用户组或用户。 |
|
所属用户组 |
上一级用户组的名称,如果该用户组的所属用户组为“/”,则表示该用户的上一级用户组为根组。 |
|
绑定范围 |
显示该用户绑定的IP或者MAC地址。 |
|
状态 |
该用户是否生效。 |
|
引用 |
该用户在系统中被策略引用的次数。 |
|
操作 |
可以修改或者删除该用户或者用户组,被引用或者预定义的用户和用户组不能被删除。 |
选择“用户管理 > 用户组织结构”,将鼠标移至<新建>按钮,在下拉框中选择“组”,进入用户组的新建页面,如图1-2所示。
页面的详细说明如表1-2所示。
|
项目 |
说明 |
|
名称 |
用户组的名称。 |
|
描述 |
用户组的描述。 |
|
路径 |
用户组所属的路径。 |
按照需求输入对应的项目后,单击<提交>,即可将该用户组加入到选择的路径下。
选择“用户管理>用户”,将鼠标移至<新建>按钮,在下拉框中选择“用户”,进入用户的新建页面,如图1-3所示。
页面的详细说明如表1-3所示。
|
项目 |
说明 |
|
启用 |
用户是否启用。 |
|
登录名 |
用户的名称。 |
|
描述 |
关于用户的描述。 |
|
所属组 |
用户所属于的用户组。 |
|
本地密码 |
勾选之后设置用户的本地密码,不勾选代表此用户为无密码或者为第三方服务器认证用户,密码记录在地三方服务器。 |
|
确认密码 |
重新确认一次密码,防止误操作。 |
|
允许修改密码 |
允许本地认证用户修改登录密码。 |
|
初次认证修改密码 |
强制本地认证用户在第一登录时修改密码。 |
|
绑定范围 |
用户登录的地址范围,支持IPv4/IPv6主机,IPv4/IPv6地址范围,网络和mac地址的绑定。 |
|
排除IP |
用户登录的地址范围内排除IP,只支持IPv4地址。 |
|
账户过期时间 |
账号有效期,可选择永不过期或者在某天后过期。 |
点击“高级选项”页签,切换到用户的高级选项配置页面,如下图所示。
图1-4 用户高级配置页面
表1-4 用户高级配置页面详细说明
|
项目 |
说明 |
|
用户登录唯一性检查 |
是否启用用户唯一性检查的配置方式,勾选为启用。 |
|
单一账号登录 |
同一时间只允许同一账号登录一次。 启用单一账号登录后,可针对已登录用户做如下2种处理方式: · 踢出已登录用户:如果新用户登录,老的用户将会被踢下线; · 禁止同名用户再次登录:如果老用户已经登录,新用户将不能以此用户名登录。 |
|
允许重复登录 |
同一时间允许同一账号登录多次。 启用允许重复登录后,允许个数支持无限制和限制登录个数。 |
|
账户过期时间 |
账号有效期,可选择永不过期或者在某天后过期。 |
按照需求输入对应的项目后,单击<提交>,即可将该用户加入到选择的用户组下。
在组信息显示页面,勾选中用户或者用户组后,单击列表上方的<删除>按钮,或者单击对应用户或用户组操作中的<删除>按钮,如图1-5所示,可以删除对应的用户组或者用户。
在用户显示页面,勾选需要导出的用户和用户组信息,再单击页面上方的<导出>按钮,可以将所选的本地用户和用户组导出成csv文件。
图1-6 导出用户组
导出的文件中只包含勾选的用户或者用户组信息,用户组内的用户或者下一级用户组信息不能导出。
在用户显示页面单击<导入>按钮,弹出导入用户弹窗,在弹窗的左下角单击“下载模板”,可以下载用户导入模板,将用户和用户组信息录入模板后,在弹窗的上传文件名称中选择修改后的模板,并勾选需要的选项,单击<提交>按钮即可将用户或者用户组导入到系统中。
图1-7 导入用户组
导入用户的详细说明如所示。
表1-5 导入用户详细说明
|
项目 |
说明 |
|
上传文件名称 |
选择本地已经录入用户的模板文件。 |
|
当用户所属组不存在时,自动创建 |
勾选后,如所填写的所属用户组在本地不存在,则自动创建该用户组。 |
|
对本地已经存在的用户 |
可以选择继续覆盖本地用户或者跳过该用户的导入。 |
|
对有本地密码的用户,要求初次登录时修改初始密码 |
勾选后,有本地密码的用户首次登录时要求修改初始密码。 |
通过用户和用户组移动功能,可以同时将多个用户或者用户组以及用户组中的子用户组和用户移动到指定的用户组中。
通过菜单“用户管理 > 用户组织结构”,选择勾选需要移动的用户或者用户组(也可以通过选择按钮快捷选择用户和用户组),单击<移动>,在用户组选择弹窗中单击目标用户组,即可将选中的用户和用户组移动到目标用户组中。如图1-8所示。
使用用户批量编辑功能,可以同时对多个用户属性进行编辑。
仅用户支持批量编辑功能,用户组不支持批量编辑。
选择“用户管理>用户组织结构”,进入用户列表,勾选需要批量修改的用户,单击列表上方的<批量编辑>按钮,即可进入批量编辑用户页面。如图1-9所示。
批量编辑用户页面的详细说明如下表所示。
表1-6 批量编辑用户页面说明
|
标题项 |
说明 |
|
用户 |
进行批量编辑的用户 |
|
用户状态 |
勾选则修改用户状态,不勾选则不修改用户状态 勾选后,选择启用则选择的用户状态批量修改为启用;选择禁用则批量修改为禁用。 |
|
密码设置 |
选择用户的密码统一重置密码。 勾选允许修改密码则用户允许自行修改密码 勾选初次认证修改密码则用户初次登录是强制修改密码。 |
用户认证配置的推荐步骤如表2-1所示。
|
配置任务 |
说明 |
详细配置 |
|
配置用户和用户组 |
必选 |
|
|
配置认证服务器 |
可选(使用第三方认证服务器时选择。) |
|
|
第三方用户同步 |
可选(使用第三方认证服务器时选择。) |
|
|
配置高级选项 |
必选 |
|
|
配置认证设置 |
必选 |
|
|
配置认证策略 |
可选 |
本小节中的认证服务器是指第三方的Radius或者LDAP认证服务器,主要用于第三方用户同步和认证。
LDAP是轻量目录访问协议,英文全称是lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,与X.500不同,LDAP支持TCP/IP。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,LDAP其实是一电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。
在一些存在众多分支机构的大企业等网络中,往往存在LDAP(轻量级目录访问协议)系统,用户信息都由LDAP系统进行管理,如果分支机构间的人员出差频繁而又不符合漫游策略,为方便管理员开户操作,可以从LDAP系统中同步用户信息。
通过LDAP同步将AD服务器上的用户及用户组同步到设备上,对同步下来的用户及用户组可进行引用和策略管控,具体请参考“用户同步”章节。
同步方式为周期同步和触发同步两种:
· 设备周期向AD服务器发送LDAP同步请求。
· 可通过界面手动发起LDAP同步请求。
· 无论直接使用LDAP服务器进行第三方认证,还是通过LDAP同步将AD服务器上的用户同步到本地做本地认证,用户的账号、密码都是通过LDAP服务器进行校验。
· LDAP同步成功后,可以将AD服务器上的用户账号及用户所属组织结构同步到本地设备,以实现对用户的引用和策略管控。
· 如需对LDAP同步后的用户进行策略管控,配置LDAP同步后,还需配置本地认证功能,同步后的用户通过认证上线后,在相关策略被引用才会生效。
在导航栏中选择“用户管理>认证管理>认证服务器”,进入认证服务器配置页面,将鼠标移至<新建>按钮,在下拉框中选择“LDAP服务器”,进入LDAP服务器的配置界面,如图2-1所示。LDAP服务器详细参数如表2-2所示。
图2-1 LDAP服务器配置界面
表2-2 LDAP服务器界面的详细说明
|
参数 |
说明 |
|
服务器名称 |
LDAP服务器名称。 |
|
服务器IP |
LDAP服务器地址。 |
|
端口 |
LDAP服务器端口,默认389明文,暂时不支持636加密同步。 |
|
通用标识 |
cn:全称 common name,配置cn时,同步、认证都使用标识名。 sAMAccountName:同步和认证使用登录名。 |
|
Base DN |
用于获取同步信息的服务器域名路径。 |
|
管理员 |
拥有管理权限的域服务器管理员。 |
|
管理员密码 |
管理员对应密码。 |
在导航栏中选择“用户管理>认证管理>认证服务器>服务器组”,将鼠标移至<新建>按钮,在下拉框中选择“LDAP组”,进入LDAP组配置界面,如图2-2所示。LDAP组详细参数如表2-3所示。
图2-2 LDAP组新建界面
表2-3 LDAP组界面的详细说明
|
参数 |
说明 |
|
名称 |
LDAP组名称。 |
|
服务器列表 |
已配置的LDAP服务器名称,最多可加入5个服务器。 |
在“用户管理>认证管理>高级选项>全局配置>认证配置”处,选择LDAP组统一认证。
LDAP用户认证通用名标识有两种类型分别是CN和sAMAccountName,如图2-3所示。
图2-3 LDAP用户认证通用名标识类型
CN:使用的是标识名进行认证,标识名使用CN时服务器用户配置如图2-4所示。
图2-4 标识名使用CN时服务器用户配置
sAMAccountName:使用的是登录名进行认证,标识名使用sAMAcountName时服务器用户配置如图2-5所示。
图2-5 标识名使用sAMAcountName时服务器用户配置
在导航栏中选择“用户管理>认证管理>认证服务器”,将鼠标移至<新建>按钮,在下拉框中选择“RADIUS服务器”,进入RADIUS服务器的配置界面,如图2-6所示。RADIUS服务器详细参数如表2-4所示。
图2-6 RADIUS服务器配置页面
表2-4 RADIUS服务器创建页面详细说明
|
项目 |
说明 |
|
服务器名称 |
RADIUS服务器名称。 |
|
服务器地址 |
RADIUS服务器地址。 |
|
服务器密码 |
RADIUS服务器密码。 |
|
端口 |
RADIUS服务器端口,缺省为1812。 |
|
认证方式 |
可以选择pap或chap两种认证方式,chap比pap认证方式更安全,建议选择chap。 |
输入完毕后,点击<提交>按钮,应用配置。
在认证服务器显示页面,选中RADIUS服务器后,点击页面上上方的<删除>按钮,或者点击对应RADIUS服务器的<删除>按钮,如图2-7所示,可以删除对应的RADIUS服务器。
在导航栏中选择“用户管理>认证管理>认证服务器>服务器组”,将鼠标移至<新建>按钮,在下拉框中选择“RADIUS组”,进入RADIUS组配置界面,如图2-8所示。RADIUS组详细参数如表2-5所示。
图2-8 RADIUS服务器组配置页面
表2-5 RADIUS服务器组创建页面详细说明
|
项目 |
说明 |
|
名称 |
RADIUS服务器组名称。 |
|
服务器列表 |
已经配置的RADIUS服务器列表。 |
选中左边的服务器列表中的服务器,点击<添加>按钮,可以将选中服务器添加到服务器组中。
选中右边的服务器列表中的服务器,点击<删除>按钮,可以将选中服务器从服务器组中删除。
输入完毕后,点击<提交>按钮,应用配置。
在RADIUS服务器组显示页面,点击对应RADIUS服务器组的<删除>按钮,可以删除对应的RADIUS服务器。
在导航栏中选择“用户管理 > 认证管理 > 认证服务器”,进入认证服务器界面。将鼠标移至“新建”按钮,在下拉框中选择“POP3服务器”,进入POP3服务器的配置界面,如下图所示。
|
参数 |
说明 |
|
服务器名称 |
设备上用来唯一标识POP3服务器的名称,与POP3服务器本身的名称无关,可以相同也可以不同。 |
|
服务器地址 |
POP3服务器地址。输入提供认证服务的POP3服务器的IP地址。 |
|
服务器端口 |
POP3服务器端口,缺省为995。 |
|
SSL |
可以选择勾选SSL加密和不勾选SSL加密。默认勾选SSL加密方式,勾选SSL加密方式提高安全性,防止用户名和密码在传输中泄漏。 |
在导航栏中选择“用户管理 > 认证管理 > 认证服务器 > 服务器组”,将鼠标移至“新建”按钮,在下拉框中选择“POP3组”,进入POP3组配置界面,如下图所示。
表2-7 POP3服务器组界面的详细说明
|
参数 |
说明 |
|
名称 |
POP3服务器组名称。 |
|
服务器列表 |
已经配置的POP3服务器列表。 |
选中左边的服务器列表中的服务器,单击“添加”按钮,可以将选中服务器添加到服务器组中;选中右边的服务器列表中的服务器,单击“删除”按钮,可以将选中服务器从服务器组中删除。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置”,进入认证模板显示页面,页面显示了当前所有认证模板的类型,如图2-11所示。
表2-8 认证模板设置页面详细说明
|
项目 |
说明 |
|
名称 |
认证模板名称,不支持编辑。 |
|
描述 |
认证模板描述,不支持编辑。 |
|
预览 |
模板设置完成后支持PC端和移动端效果预览。 |
|
操作 |
对模板进行编辑、重置等操作。 |
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>本地认证模板”,点击操作中的<编辑>按钮进入本地认证模板配置页面,页面显示了当前的本地认证模板配置,如图2-12所示。
页面的详细说明如表2-9所示。
|
项目 |
说明 |
|
标签页名称 |
本地认证Portal页面显示的标签名称。 |
|
欢迎词 |
本地认证模板欢迎词。 |
|
免责声明 |
本地认证模板免责声明。 |
|
按钮颜色 |
登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
本地认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-13所示。
图2-13 本地认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-14所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>微信认证模板”,点击操作中的<编辑>按钮进入微信认证模板配置页面,页面显示了当前的微信认证模板配置,如图2-15所示。
页面的详细说明如表2-10所示。
|
项目 |
说明 |
|
标签页名称 |
微信认证Portal页面显示的标签名称。 |
|
欢迎词 |
微信认证模板欢迎词。 |
|
免责声明 |
微信认证模板免责声明。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
微信认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击操作中的<成功页面编辑>按钮进入微信认证商家页面模板配置,页面显示了当前的微信认证商家页面模板配置,如图2-16所示。
页面详细说明如表1-4所示。
表2-11 微信认证商家页面模板配置详细说明
|
项目 |
说明 |
|
标签页名称 |
微信认证Portal页面显示的标签名称。 |
|
欢迎词 |
认证后的欢迎词。 |
|
背景图片 |
微信认证显示成功后页面的背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-17所示。
图2-17 微信认证模板PC终端预览效果
目前微信公众平台仅支持移动端微信认证,不支持PC端微信认证。
点击预览
图标查看移动终端预览效果,如图2-18所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>短信认证模板”,点击操作中的<编辑>按钮进入短信认证模板配置页面,页面显示了当前的短信认证模板配置,如图2-19所示。
页面的详细说明如表2-12所示。
|
项目 |
说明 |
|
标签页名称 |
短信认证Portal页面显示的标签名称。 |
|
欢迎词 |
短信认证模板欢迎词。 |
|
免责声明 |
短信认证模板免责声明。 |
|
发送按钮颜色 |
发送短信验证码按钮颜色。 |
|
登录按钮颜色 |
点击认证登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
短信认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-20所示。
图2-20 短信认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-21所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>免认证模板”,点击操作中的<编辑>按钮进入免认证模板配置页面,页面显示了当前的免认证模板配置,如图2-22所示。
页面的详细说明如表2-13所示。
|
项目 |
说明 |
|
标签页名称 |
免认证Portal页面显示的标签名称。 |
|
欢迎词 |
免认证模板欢迎词。 |
|
免责声明 |
免认证模板免责声明。 |
|
免认证描述 |
免认证portal页面显示的描述信息。 |
|
按钮颜色 |
免认证登录按钮颜色。 |
|
Logo图片 |
免认证模板Logo图片 。 |
|
背景图片 |
免认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-23所示。
图2-23 免认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-24所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>二维码认证模板”,点击操作中的<编辑>按钮进入二维码认证模板配置页面,页面显示了当前的二维码认证模板配置,如图2-25所示。
页面的详细说明如表2-14所示。
|
项目 |
说明 |
|
标签页名称 |
二维码认证Portal页面显示的标签名称。 |
|
欢迎词 |
二维码认证模板欢迎词。 |
|
免责声明 |
二维码认证免责声明。 |
|
按钮颜色 |
登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
二维码认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-26所示。
图2-26 二维码认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-27所示。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>钉钉认证模板”,点击操作中的<编辑>按钮进入钉钉认证模板配置页面,页面显示了当前的钉钉认证模板配置,如下图所示。
图2-28 钉钉认证模板配置页面
页面的详细说明如表2-17所示。
表2-15 钉钉认证模板配置详细说明
|
项目 |
说明 |
|
标签页名称 |
钉钉认证Portal页面显示的标签名称。 |
|
欢迎词 |
钉钉认证模板欢迎词。 |
|
免责声明 |
钉钉认证模板免责声明。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
钉钉认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如下图所示。
图2-29 钉钉认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如下图所示。
图2-30 钉钉认证模板移动终端预览效果
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>混合认证模板”,点击操作中的<编辑>按钮进入混合认证模板配置页面,页面显示了当前的混合认证模板配置,如图2-31所示。
页面的详细说明如表2-16所示。
|
项目 |
说明 |
|
标签页名称 |
混合认证模板Portal页面显示的标签名称。 |
|
欢迎词 |
混合认证模板欢迎词。 |
|
免责声明 |
混合认证模板免责声明。 |
|
登录按钮颜色 |
混合认证模板登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
混合认证模板Portal页面背景图片,同时支持3张背景图片混合认证显示。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击操作中的<高级配置>按钮进入混合认证模板高级配置,页面显示了当前的混合认证模板高级配置,如图2-32所示。
页面详细说明如表2-17所示。
|
项目 |
说明 |
|
发送按钮颜色 |
短信认证发送短信验证码的按钮颜色。 |
|
免认证描述 |
免认证描述信息。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-33所示。
图2-33 混合认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-34所示
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 本地WEB认证”,进入本地WEB认证配置页面,页面显示了当前的本地WEB认证配置,如图2-35所示。
图2-35 本地WEB认证配置页面(允许重复登录)
系统默认选择允许重复登录,如果选择单一账号登录点选框,页面如图2-36所示。
图2-36 本地WEB认证配置页面(单一账号登录)
页面的详细说明如表2-18所示。
表2-18 本地WEB认证配置详细说明
|
项目 |
说明 |
|
用户唯一性检查 |
用户唯一性检查的配置方式。 |
|
单一账户登录 |
同一时间只允许同一账号登录一次。 |
|
踢出已登录用户 |
如果新用户登录,老的用户将会被踢下线。 |
|
禁止同名用户再次登录 |
如果老用户已经登录,新用户将不能以此用户名登录。 |
|
允许重复登录 |
同一时间允许同一账号登录多次。 |
|
允许个数 |
允许同一账号登录的次数,可以选择无限制,也可以设定2到1000的数值。 |
|
加密认证 |
勾选后,认证过程中对终端与设备之间的认证报文进行加密处理。 如密码存储在LDAP、RADIUS等第三方服务器上,终端与设备之间的认证报文进行加密处理,但设备与服务器之间的交互报文不加密。 |
|
客户端超时 |
配置客户端超时方式和超时时间,超时方式包含:心跳超时、流量超时。 心跳超时:用户认证上线后的页面会定期发心跳报文,如果页面关闭心跳报文会停止发送,如果超过超时时间设备未收到心跳报文会将用户踢下线发送; 流量超时:设备检测用户产生流量,如果超过超时时间都未检测到用户流量会将用户踢下线 ; 不勾选超时时间默认不超时 |
|
强制重登录间隔 |
WEB强制重新认证时间。如果开启无感知,用户被强制重登录踢下线后,会重新匹配无感知上线。 |
|
无感知 |
配置用户无感知认证功能及超时时间,默认值10080分钟。 无感知功能适用于用户下线后再次上线时,MAC地址不变的场景,实现已认证过的终端无感知上线,实现原理如下: 当认证用户上线后会将用户MAC加入无感知列表,如果用户因超时下线,在无感知周期内,用户使用同一终端(MAC地址不变)再次上网产生流量时,会直接匹配无感知列表上线,无需再次认证;若大于超时时间,设备会将该用户MAC从无感知列表中删除,此后用户下次上线时需要重新输入账号密码进行认证。 |
|
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
输入完毕后,点击<提交>按钮,应用配置。
无感知认证支持跨三层组网,但需要在设备上开启SNMP跨三层MAC学习功能,以获取用户的真实MAC。如果未开启SNMP跨三层MAC学习功能,会把报文中的三层设备的MAC加入到无感知列表,从而导致三层设备下的用户都可以无感知上线了。
微信认证支持两种认证方式:
· 通过认证URL认证。用户单击公众号指定的超链接(认证URL),该报文被设备截获,并与设备配置的认证URL进行对比,如果匹配则认证成功,并以终端IP为用户名上线。
· 通过小程序认证。用户授权小程序完成认证,小程序将获取的OpenID和手机号发给设备,设备以此将终端上线。
· 通过认证URL认证的流程如下:
(1) 用户访问外网触发弹出认证页面,认证页面说明认证的步骤以及商家公众号信息。
(2) 用户单击认证页面上的认证按钮,设备临时放通终端的流量,唤醒微信。
(3) 用户根据认证页面的提示,手动搜索公众号并关注(也可以通过扫码)。然后在公众号中输入关键字(比如:我要上网)或单击菜单。
(4) 公众平台根据之前的配置,对关键字或菜单请求返回认证URL,并向用户呈现为带超链接的文本信息(比如:点我上网)。
(5) 用户单击该文本信息,微信对认证URL发起访问。
(6) 设备劫持该请求,判断是否是微信流量、并与设备配置的认证URL进行匹配,并以终端的IP为用户名将用户上线,完成微信认证。
· 通过小程序认证的流程如下:
(1) 用户访问外网触发弹出认证页面,认证页面说明认证的步骤以及商家公众号信息。
(2) 用户单击认证页面上的认证按钮,设备临时放通终端的流量,唤醒微信。
(3) 用户根据认证页面的提示,手动搜索公众号并关注(也可以通过扫码)。然后在公众号中输入关键字(比如:我要上网)或单击菜单。
(4) 公众平台根据之前的配置,对关键字或菜单请求推送小程序。
(5) 用户打开小程序,单击授权申请进行OpenID和手机号的授权。
(6) 设备创建微信用户对象并上线,完成微信认证。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 微信认证”,进入微信认证配置页面,如下图所示。
图2-37 微信认证配置页面
页面的详细说明如下表所示。
表2-19 微信认证配置页面详细说明
|
项目 |
说明 |
|
超时时间 |
微信认证用户超时时间,默认值为15分钟,在时间段内没有流量设备会强制用户下线。 |
|
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
|
用户名 |
用户名支持IP地址、OpenID、手机号,默认值为IP地址。 使用IP地址,微信公众平台可以配置为关键字回复或者自定义菜单两种方式;使用OpenID、手机号时,微信公众平台需要配置为自定义菜单并关联小程序。 |
|
公众号名称 |
微信公众平台申请的公众号名称,该名称会在认证页面上显示。 |
|
应用ID |
微信公众平台,开发者中心的开发者ID中的AppId项。 |
|
应用密钥 |
微信公众平台,开发者中心的开发者ID中的AppSecret项。 |
|
认证步骤说明 |
认证步骤说明会在认证页面显示,用以提示用户按步骤完成微信认证。默认认证步骤说明是“请点击认证菜单进行微信认证”,用户可以根据自己公众号的配置进行自定义配置。 |
|
认证URL |
用户名为ip时为必填项,不可以配置网络中已经存在的url,需要与微信公众平台配置的链接一致;用户名为openid或手机号时为非必填项。 |
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 短信认证”,进入短信认证配置页面,如图2-38所示。
页面的详细说明如表2-20所示。
|
项目 |
说明 |
|
启用 |
启用开关,开启后可配置页面其它参数。 |
|
超时时间 |
短信认证用户超时时间,默认值为15分钟。 |
|
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
|
加密认证 |
勾选为使用加密方式进行认证,防止用户名和密码在传输过程中泄露,如果关闭加密认证会存在安全风险,默认为勾选。 |
|
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
|
厂商 |
短信网关厂商设置,目前支持凌凯、亿美软通、一信通、佳诺、阿里云、梦网科技、移动云MAS。 |
|
短信内容前缀 |
短信网关发送短信验证码时的短信内容前缀,一般为使用设备的企业或单位名称。 |
|
网关地址 |
网关URL地址,由短信服务商提供。 |
|
序列号 |
短信网关的授权接入序列号,由短信服务商提供。 |
|
密码 |
短信网关的授权接入密码,由短信服务商提供。 |
|
短信key |
短信服务商提供的短信key,由短信服务商提供,如未设置系统将自动创建。 |
|
扩展号段 |
一个序列号的不同扩展号段,类似“电话分机号”概念,各设备分别设置不同的“扩展号段”,亿美平台根据每一个设备的“拓展号段”通道进行短信验证码发送。此项特性可以避免多个设备使用一个亿美账号发送短信验证码时产生拥堵的情况。 |
|
短信内容 |
定制短信显示内容。长度为1-256个字符,必须包含标签 <identifying-code>,表示验证码。 |
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > Portal Server”,进入Portal Server服务器配置页面,如图2-39所示。
图2-39 Portal Server服务器配置页面
页面的详细说明如表2-21所示。
表2-21 Port Server服务器创建页面详细说明
|
项目 |
说明 |
|
认证服务器 |
Portal认证使用的radius服务器或radius服务器组名称。 |
|
Portal服务器 |
Portal服务器的IP地址。 |
|
快速无感知 |
用户快速无感知认证功能及超时时间,当认证用户上线后会将用户MAC加入到IMC无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会根据用户MAC去匹配IMC服务器无感知列表,如果匹配上,则无需再次认证。 |
|
超时时间 |
用户认证的超时时间,在时间段内没有流量设备会强制用户下线。 |
|
认证URL |
Portal认证时重定向的URL。 |
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 免认证”,进入免认证配置页面,如图2-40所示。
页面的详细说明如表2-22所示。
|
项目 |
说明 |
|
超时时间 |
免认证用户超时时间,默认值为15分钟。 |
|
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证成功后跳转到认证登录结果页面。 |
访客二维码认证主要针对下列两种场景:
· 对于企业访客,联网时,终端弹出认证二维码,由公司内部审核人员(比如前台),扫描二维码,备注访客信息,然后实现访客上网;
· 对于酒店客户,手机可以通过微信认证上网,而笔记本无法进行微信认证,可以选择二维码认证,客户通过已经认证的手机,扫描笔记本二维码完成认证,最终实现笔记本上网。这种方式下,不需要弹出审核页面,直接以审核人身份上网。
在导航栏中选择“用户管理>认证管理>认证方式 > 访客二维码认证”,进入访客二维码认证页面,页面显示了当前的访客二维码认证配置,如图2-41所示。
页面的详细说明如表2-23所示。
|
项目 |
说明 |
|
超时时间 |
二维码认证成功用户无流量的情况下超时时间。 |
|
二维码超时 |
二维码认证时二维码超时时间。 |
|
无感知 |
二维码认证成功用户无流量超时下线后,在无感知配置时间内,可以无需认证直接上线。 |
|
页面跳转 |
认证成功后,跳转页面,支持三种: l 之前访问的页面 l 重定向URL l 认证结果页面 |
|
审核人 |
审核人用户配置。 |
|
审核方式 |
支持两种审核方式: l 弹出审核页面,审核备注并授权。 l 不弹审核页面,以审核人身份登录。 |
输入完毕后,点击<提交>按钮,应用配置。
IC卡认证是在一些上网管控要求严格的场景,用户在使用网络服务时需要使用自己的IC卡进行认证等操作后,才允许用户访问网络。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > IC卡认证”,进入IC卡认证配置界面,如图2-42所示。
表2-24 IC认证配置界面详细说明
|
参数 |
说明 |
|
超时时间 |
IC认证用户超时时间,默认值为15分钟。在时间段内没有流量设备会强制用户下线。 |
随着手机的普及,手机的使用已是人们生活中不可分割的一部分。手机APP已成为时下的主流,不仅为我们的生活带来了极大的便利,还使移动办公成为了可能。因此,在客户场景中使用用户认证功能与APP进行联动,从而使认证用户才能使用网络服务。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > APP认证”,进入APP认证配置界面,如图2-43所示。
界面详细说明如表2-25所示。
|
参数 |
说明 |
取值建议 |
|
超时时间 |
APP认证用户超时时间,在时间段内没有流量设备会强制用户下线。 |
默认值为15分钟,可输入的范围为10-144000分钟。 |
|
无感知 |
用户无感知认证功能及超时时间,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
默认值为10分钟,可输入的范围为10-144000分钟。 |
|
服务器白名单 |
添加APP软件下载的服务器地址。 |
可以输入IP格式或域名格式的地址,单击“添加到列表”。 |
|
规则一 |
添加在app登录url请求中用户名称位置,在规则中填写用户名起始符和用户名终止符,规则一为必填项。 |
APP账号登录支持GET和POST两种方式。首先使用抓包软件抓整个APP应用登录过程的报文,然后过滤找到包含登录账号的GET报文或POST表单报文,根据报文内容用户名提取规则配置用户名起始符。 |
|
规则二 |
添加在app登录url请求中用户名称位置,在规则中填写用户名起始符和用户名终止符,规则二为非必填项。 |
- |
|
PC下载地址 |
填写PC端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为http或https,且仅可设置一条URL。 |
|
IOS下载地址 |
填写IOS端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为http或https,且仅可设置一条URL。 |
|
Android下载地址 |
填写Android端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为http或https,且仅可设置一条URL。 |
POP3认证是指用户在使网络服务时,可以在认证页面中输入内网或外网邮箱服务器中的邮箱账号和密码进行认证,从而使认证用户接入使用网络。
在导航栏中选择“用户管理 > 认证管理 > 认证服务器 > 认证服务器”,进入认证服务器界面。将鼠标移至“新建”按钮,在下拉框中选择“POP3服务器”,进入POP3服务器的配置界面,如图2-9所示。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > POP3认证”,进入POP3认证配置界面,如图2-44所示。
表2-26 POP3认证配置界面详细说明
|
参数 |
说明 |
|
认证服务器 |
用户唯一性检查的配置方式。 |
|
超时时间 |
用户认证的超时时间,在时间段内没有流量设备会强制用户下线。 |
|
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户上线后会将用户MAC加入无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会直接匹配无感知列表上线,无需再次认证。 |
|
页面跳转设置 |
之前访问的页面:认证成功后跳转到认证前访问的页面。 重定向URL:认证成功后将重定向到指定的URL资源页面。 认证结果页面:认证成功后停留在认证结果页面。 |
POP3服务器的配置请参见 2.2.3 配置POP3服务器。
用户通过钉钉认证授权的方式进行验证身份后上网。主要应用于企业网络场景,便于企业网络人员通过钉钉应用进行上网行为的管理。
钉钉认证的认证流程如下:
(1) 在设备上配置认证策略。
(2) 对用户PC访问外网的流量进行劫持并触发用户认证弹portal。
(3) 用户获取钉钉授权登录的二维码。
(4) 用户使用手机扫描获取到的二维码,并向钉钉服务器发送确认信息。
(5) 服务器会将确认后的相关信息返回给用户PC,此时PC再通过回调地址将数据发送给设备。
(6) 设备使用用户通过回调地址提供的信息向钉钉服务器获取用户的认证信息。
(7) 用户认证信息获取成功,使用获取到的信息将用户上线。
(8) 用户上线成功后放通后续用户的所有流量。
在导航栏中选择“用户管理>认证管理>认证方式>钉钉认证”,进入钉钉认证配置页面,如下图所示。
图2-45 钉钉认证配置页面
页面的详细说明如表2-20所示。
表2-27 钉钉认证配置页面详细说明
|
项目 |
说明 |
|
启用 |
是否启用钉钉认证。 |
|
超时时间 |
钉钉认证的超时时间,默认值为15分钟,在时间段内没有流量设备会强制用户下线。 |
|
页面跳转设置 |
设置认证成功之后页面跳转情况。 |
|
回调地址 |
在钉钉服务器用来指定跳转回设备的URL地址,输入格式为:设备管理地址IP+指定端口,目前只支持http。 例如:http://192.168.1.1:8000/ 配置必须和钉钉服务器配置保持一致。 即在钉钉服务器用来指定跳转回设备的URL地址。 |
|
AppID |
钉钉服务器配置的AppID。在钉钉开放平台https://open-dev.dingtalk.com设置扫码登录应用授权,钉钉服务器自动生成的个人钉钉的唯一标识 |
|
AppSecret |
钉钉服务器配置的AppSecret,钉钉服务器自动生成的应用秘钥。 |
|
企业ID |
钉钉服务器配置的企业ID,从钉钉认证服务器获取的enterpriseid(企业id)唯一标识。 |
|
Appkey |
钉钉服务器配置的Appkey,自动获取用户组时,需要和钉钉服务器端建立连接,由钉钉服务器端生成的公钥。 |
|
自动获取所属组 |
选择是否自动获取所属组。 |
|
路径 |
开启自动获取所属组时,会将认证用户自动获取并在“数据中心>系统监控>在线用户>属性组>认证用户”中显示;同时可以手动配置认证用户所属路径。 |
混合认证是指认证策略中认证方式为混合认证,混合方式可以选择一种或者多种认证,在用户弹出的认证页面中可以选择其中一种进行认证即可。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 混合认证”,进入混合认证配置界面。
图2-46 混合认证配置页面
表2-28 混合认证配置界面详细说明
|
参数 |
说明 |
|
页面跳转设置 |
之前访问的页面:认证成功后跳转到认证前访问的页面; 重定向URL:认证成功后将重定向到指定的URL资源页面; 认证结果页面:认证成功后停留在认证结果页面。 |
在导航栏中选择“用户管理 > 认证管理 > 认证策略”,进入认证策略配置界面,勾选启用,认证方式选择“混合认证”,并勾选一个或多个认证方式。认证方式支持微信认证、本地WEB认证、短信认证、访客二维码认证等。
图2-47 混合认证配置页面
认证方式的配置请参考相关认证方式的配置章节。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>第三方用户同步接口”,进入第三方用户同步配置页面,如图2-48所示。
页面的详细说明如表2-29所示。
|
项目 |
说明 |
|
第三方用户同步接口 |
|
|
服务器1/服务器2 |
是否启用第三方用户同步接口功能。开启第三方用户同步接口功能后,第三方认证服务器将用户上线下报文发送到设备的UDP9999端口,设备通过上下线报文来识别用户。支持同时配置两个对接服务器。 |
|
服务器名称 |
第三方认证服务器的名称。 |
|
服务器地址 |
第三方认证服务器的IP地址。 |
|
密钥 |
与第三方认证服务器之间对接的密钥,需要与对端保持一致。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>Radius用户同步”,进入Radius用户同步配置页面,如图2-49所示。
图2-49 Radius用户同步配置页面
页面的详细说明如表2-30所示。
表2-30 Radius用户同步配置详细说明
|
项目 |
说明 |
|
RRadius用户同步 |
|
|
启用 |
是否启用Radius用户同步,启用该功能后,用户的Radius报文经过设备,即可通过Radius报文来识别用户。 |
|
Radius认证端口 |
Radius服务器上认证报文的接收端口,默认为1812。支持修改成其它使用的端口. |
|
Radius计费端口 |
Radius服务器上计费报文的接收端口,默认为1813。支持修改成其它使用的端口. |
|
用户组 |
用户同步的目的用户组。通过Radius报文识别的用户加入到配置的用户中。 |
配置完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>web用户同步”,进入web用户同步配置页面,如图2-50所示。
图2-50 web用户同步(http流量经过设备)配置页面
页面的详细说明如表2-31所示。
表2-31 web用户同步(http流量经过设备)配置详细说明
|
项目 |
说明 |
|
web用户同步(http流量经过设备) |
|
|
启用 |
是否启用web用户同步,启用该功能后,用户的http认证报文经过设备,即可通过http认证报文来识别用户。 |
|
web服务器 |
配置web服务器,支持域名、IP地址、IP地址加端口。 |
|
类型 |
支持从URL请求参数、Cookie值、post表单中获取认证用户名。 |
|
url请求参数 |
对应的报文字段中查询配置的用户名关键字,配置用户名获取类型为url请求参数时配置对应url参数名;配置用户名获取类型为Cookie值时配置对应Cookie名;配置用户名获取类型为POST表单时配置对应用户表单名称。 |
|
用户组 |
用户默认属于web用户组,可以修改所属用户组。 |
|
启用认证关键字 |
是否启用认证关键字,启用该功能后,支持校验服务器响应。 |
|
认证成功关键字 |
启用认证成功关键字后,响应报文匹配到配置的认证成功关键字后用户才可上线,否则用户上线失败。 |
|
认证失败关键字 |
启用认证失败关键字后,响应报文匹配到配置的认证失败关键字后用户上线失败,否则用户上线。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>web用户同步”,进入web用户同步配置页面,如下图所示。
图2-51 web用户同步(http流量到达设备)配置页面
页面的详细说明如表2-31所示。
表2-32 web用户同步(http流量到达设备)配置详细说明
|
项目 |
说明 |
|
web用户同步(http流量到达设备) |
|
|
启用 |
是否启用web用户同步,启用该功能后,用户的http认证报文达到设备,即可通过http认证报文来识别用户。 |
|
URL |
配置url,http请求的资源路径。 |
|
服务器端口 |
配置用于接收第三方认证报文的设备服务端口。 |
|
用户组 |
用户默认属于web用户同步,可以修改所属用户组。 |
|
启用上线信息同步 |
是否启用上线信息同步,启用该功能后,支持匹配到配置上线信息后用户上线。 |
|
上线标记 |
认证上线请求报文匹配到上线标记后用户才可上线,否则用户上线失败。 |
|
上线用户名 |
认证上线请求报文匹配到上线用户名起始及终止符后用户才可上线,否则用户上线失败。 |
|
上线用户IP |
认证上线请求报文匹配到上线用户ip的起始及终止符后用户才可上线,否则用户上线失败。 |
|
上线用户MAC |
认证上线请求报文匹配到上线用户mac起始及终止符后用户才可上线,否则用户上线失败。 |
|
启用下线信息同步 |
是否启用下线信息同步,启用该功能后,支持匹配到配置下线信息后用户下线。 |
|
下线标记 |
认证下线请求报文匹配到上线标记后用户才可下线,否则用户下线失败。 |
|
下线用户名 |
认证下线请求报文匹配到下线用户名起始及终止符后用户才可下线,否则用户下线失败。 |
|
下线用户IP |
认证下线请求报文匹配到下线用户ip的起始及终止符后用户才可下线,否则用户下线失败。 |
|
下线用户MAC |
认证下线请求报文匹配到下线用户mac起始及终止符后用户才可下线,否则用户下线失败。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>其它用户同步”,进入其它用户同步配置页面,如图2-52所示。
页面的详细说明如表2-33所示。
|
项目 |
说明 |
|
其它用户同步 |
|
|
深澜 |
勾选表示与深澜认证服务器对接。开启此功能后,配置深澜服务器发送相应的报文到设备,即可识别用户。 |
|
城市热点 |
勾选表示与城市热点认证服务器对接。开启此功能后,配置城市热点服务器发送相应的报文到设备,即可识别用户。 |
|
PPPOE |
勾选表示与PPPOE服务器用户同步。通过PPPoE报文识别用户并在本地用户界面创建相应的用户PPPOE账号。 |
|
安美 |
勾选表示与安美认证服务器对接。开启此功能后,配置安美服务器发送相应的报文到设备,即可识别用户。 |
|
ddi终端用户 |
勾选表示与ddi设备对接。开启此功能后,配置ddi设备发送相应的报文到设备,即可关联终端用户使用的终端型号。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>全局配置”,进入全局配置页面,页面显示了当前的识别配置和认证配置,如图2-53所示。
页面的详细说明如表2-34所示。
|
项目 |
说明 |
|
识别范围 |
标示用户识别范围的地址对象或者地址对象组。 用户只有同时在用户识别范围内和相应的认证网段中,使用流量的时候才会触发认证过程。如该用户不在用户识别范围内,则不会触发认证过程,也不会识别为匿名用户;如该用户在用户识别范围内,但不在任何一个认证网段中,则该用户被识别为匿名用户。 |
|
识别模式 |
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。 “启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。 “启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。 “强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。 “强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。 |
|
启用第三方认证 |
是否启用第三方认证。 |
|
认证方式 |
第三方认证服务器是Radius服务器或者Ldap服务器。 |
|
RADIUS |
选择已配置的Radius服务器或服务器组。 |
|
Ldap |
选择已配置的Ldap服务器或服务器组。 |
|
https弹portal |
勾选后,用户在访问HTTPS网站时也可以弹出认证页面。 |
|
用户MAC感知 |
开启用户MAC感知后,如检测到用户的MAC地址发生变化,则强制用户重新认证。(开启跨三层MAC地址学习功能时会发生用户MAC地址变更的情况。) |
|
伪Portal抑制 |
对于Portal重定向支持HTTP302方式和Html-refresh方式,选择HTTP302方式时对所有请求都响应,伪Portal抑制不生效;选择Html-refresh方式时,只响应浏览器的请求,伪Portal抑制生效。 |
|
用户认证验证码 |
只对本地认证、免认证、pop3认证、混合认证(本地认证、免认证)生效。 |
|
绑定范围与密码同时校验 |
开启后会同时校验用户绑定的IP/MAC和用户名密码 |
输入完毕后,点击<提交>按钮,应用配置。
认证策略录入配置主要针对第三方用户,目的是将存在于第三方的用户加入设备,便于做策略限制等。
图2-54 用户认证策略流程图
在导航栏中选择“用户管理 > 认证管理 > 认证策略”,单击<新建>按钮,进入认证策略的配置界面,如图2-55所示。
认证策略参数详细说明,如表2-35所示
|
标题 |
说明 |
|
启用 |
认证策略启用或禁用,认证策略只有启用才能生效。 |
|
名称 |
认证策略的名称。 |
|
描述 |
认证策略描述信息填写。 |
|
源接口 |
认证策略源接口。 |
|
源地址 |
认证策略源地址对象或地址组,可直接新建地址对象。 |
|
目的接口 |
认证策略目的接口。 |
|
目的地址 |
认证策略目的地址对象或地址组,可直接新建地址对象。 |
|
认证方式 |
认证策略认证方式可选WEB认证、Portal Server认证、短信认证、免认证、微信认证、混合认证、单点登录、二维码认证、IC卡认证、APP认证、POP3认证、钉钉认证。 |
|
时间 |
认证策略时间对象,时间对象有效期内策略生效,时间对象无效的时候认证策略为禁用状态。 |
|
用户组 |
默认不选择用户组,第三方用户认证成功后不录入用户;选择用户组后,第三方用户认证成功后录入指定的用户组。 该功能主要针对于第三方认证的用户,目的将存储在第三方服务器的用户导入设备。如果需要对第三方认证的用户进行策略限制等,建议选择录入指定的用户组。 |
|
用户有效时间 |
用户有效期指的是第三方用户录入方式: · 永久录入:第三方用户认证成功后录入指定组,永久有效。 · 有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。 · 临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。 |
如图2-56所示,某公司内网搭建有第三方Radius服务器,用户名全部存放在radius服务器上,要求内网用户使用radius服务器上的用户进行认证,认证成功后用户录入设备进行其它策略控制。具体要求如下:
· 内网用户进行Web认证上网,用户名和密码存储在Radius服务器上,认证成功后用户永久录入设备。
· 其它移动终端连接wifi后使用微信认证上网,认证策略用户录入为临时录入,用户下线后删除录入用户。
(1) 添加Radius服务器
通过菜单“用户管理>认证管理>认证服务器>认证服务器”,选择“新建>Radius服务器”,配置“服务器地址”为10.0.53.85,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>,如图2-57所示。
通过菜单进入“用户管理>认证管理>认证方式>微信认证”,配置微信认证相关参数后,点击<提交>,如图2-58所示。
(3) 配置地址对象
通过菜单“策略配置>对象管理 > 地址对象”,点击<新建>地址对象,配置内网用户和无线wifi地址对象。如图2-59、图2-60所示。
(4) 配置用户组对象
通过菜单“用户管理>用户组织结构”,单击<新建>用户组,配置radius用户组和无线wifi用户组,如图2-61、图2-62所示。
通过菜单“策略配置>IPv4控制策略”,点击<新建>IPv4控制策略,使用默认配置,如图2-63所示。
图2-63 IPV4控制策略配置
(6) 全局配置启用第三方认证选择radius服务器
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择radius服务器,如图2-64所示。
(7) 配置用户策略
a. 配置内网用户认证策略,用户永久录入。
通过菜单进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“内网用户地址对象”,相关行为配置为“本地Web认证”,用户录入选择创建的“Radius-group”,有效期为永久录入,点击<提交>。如图2-65所示。
(8) 配置无线wifi用户认证策略,用户临时录入。
通过菜单进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“无线wifi地址对象”,相关行为配置为“微信认证”,用户录入选择创建的“无线wifi”,用户有效期为临时录入,点击<提交>。如图2-66所示。
图2-66 配置无线wifi用户认证后临时录入用户策略
(1) 内网用户用户录入验证
如图2-67所示,内网终端进行HTTP访问,弹出如下本地Web认证页面,使用radius服务器上用户名、密码进行认证。
图2-67 内网用户使用第三方radius用户认证成功
如图2-68所示,设备在线用户显示第三方radius用户认证。
图2-68 Radius联动用户Web认证成功
通过菜单“用户管理>用户组织结构”,查看Radius-group用户组下,winradiusuer17用户已录入,如图2-69所示。
图2-69 Radius用户组下录入用户
如图2-70所示,编辑用户查看用户永不过期。
图2-70 radius录入用户显示为永不过期
如图2-71所示,移动终端连接wifi后浏览器弹出微信认证页面,点击一键打开微信连接进行认证。
图2-71 移动终端连接wifi后弹出微信认证页面
如图2-72所示,设备在线用户显示微信认证。
通过菜单“用户管理>用户组织结构”,查看无线wifi用户组下,微信用户已录入,如图2-73所示。
图2-73 无线wifi用户组下录入微信用户
如图2-74所示,在线用户处踢出微信认证用户。
通过菜单“用户管理>用户组织结构”,查看无线wifi用户组下,微信用户已删除,如图2-75所示。
图2-75 无线wifi用户组下录入的微信用户已删除
如图2-76所示,在公司你搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。
图2-76 LDAP认证拓扑图
(1) 新建LDAP服务器,通用名称标识为cn,并同步。
在导航栏中选择“用户管理>认证管理>认证服务器”,进入认证服务器的配置界面,选择“新建>LDAP服务器”,配置LDAP服务器,如图2-77所示。
图2-77 标识为CN的LDAP服务器配置
配置完成后如图2-78所示。
图2-78 LDAP服务器配置效果图
(2) 新建LDAP同步
在导航栏中选择“用户管理>用户同步”,选择“新建>LDAP同步”,配置LDAP同步,如图2-79所示。
(3) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图2-80所示。
图2-80 启用第三方ldap配置界面
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图2-81所示。
图2-82 PC访问网页弹出本地认证界面后,使用同步下来的LDAP用户进行认证
图2-83 认证成功效果图
如图2-84所示,在公司内网搭建有LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD—ldap服务器同步下来的用户进行认证上网。
图2-84 LDAP认证拓扑图
(1) 新建LDAP服务器,通用名称标识为sAMAccountName,并同步。
在导航栏中选择“用户管理>认证管理>认证服务器”,选择“新建LDAP服务器”,如图2-85所示。
图2-85 标识名为sAMAccountName的LDAP服务器配置
配置完成后如图2-86所示。
图2-86 LDAP服务器配置效果图
(2) 新建LDAP同步
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图2-87所示。
(3) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图2-88所示。
图2-88 启用第三方ldap配置界面
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图2-89所示。
图2-90 PC访问网页弹出本地认证界面后,使用同步下来的LDAP用户进行认证
图2-91 认证成功效果图
如图2-92所示,在公司内网搭建有LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD—ldap服务器同步下来的用户进行认证上网。
图2-92 LDAP认证拓扑图
(1) 新建LDAP服务器,通用名称标识为sAMAccountName,并同步。
在导航栏中选择“用户管理>认证管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如图2-93所示。
图2-93 标识名为sAMAccountName的LDAP服务器配置
配置完成后如图2-94所示。
图2-94 LDAP服务器配置效果图
(2) 新建LDAP同步
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图2-95所示。
(3) 查看LDAP同步用户
在导航栏中选择“用户管理>用户组织结构”,查看LDAP同步用户,如图2-96所示。
图2-96 LDAP同步的用户
(4) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,,如图2-97所示。
图2-97 启用第三方ldap配置界面
(5) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图2-98所示。
(6) 启用LDAP认证用户名不区分大小写,如图2-99所示。
图2-99 LDAP认证用户名不区分大小写配置图
默认情况下设备认证过程中用户名称不区分大小写,而LDAP服务器在检验用户名时不区分大小写,如在LDAP服务器上配置用户名为aaa,用户在认证时输入AAA,也可以认证通过,但在设备侧上线时记录的用户名是AAA,由于设备从LDAP服务器同步下来的用户名是aaa,其它策略在调用aaa做控制后,由于上线时的用户为AAA,导致策略无法匹配上,为了解决这一问题,设备侧开启认证用户名称区分大小写,即使用户输入了AAA,上线时也会显示为aaa,与本地存的用户名一模一样,保证了后续用户对象正常匹配。
PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。(原同步下来的用户为upntest1,启用ldap认证用户名区分大小写后,认证用户名输入UPNtest1进行认证)
(1) 关闭LDAP认证用户区分大小写
关闭ldap认证用户名区分大小写,认证页面显示如图2-100所示。
关闭ldap认证用户名区分大小写,设备在线用户显示如图2-101所示。
(2) 开启LDAP认证用户区分大小写
开启ldap认证用户名区分大小写,认证页面显示如图2-102所示。
开启ldap认证用户名区分大小,设备在线用户显示如图2-103所示。
如图2-104所示,在公司内网搭建有LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD—ldap服务器同步下来的用户进行认证上网。
图2-104 LDAP认证拓扑图
(1) 新建LDAP服务器,通用名称标识为cn。
在导航栏中选择“用户管理>认证管理>认证服务器”,选择“新建>LDAP服务器”,配置LDAP服务器,如图2-105所示。
图2-105 标识名为cn的LDAP服务器配置
(2) 新建LDAP同步,同步类型为按安全组同步。
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图2-106所示。
(3) 查看LDAP同步用户
在导航栏中选择“用户管理>用户组织结构”,查看LDAP同步用户,如图2-107所示。
图2-107 LDAP同步的用户
(4) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图2-108所示。
(5) 新建用户认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图2-109所示。
如图2-110所示,PC访问www.qq.com,弹出本地认证界面。输入LDAP同步下来的安全组用户的用户名和密码进行认证。
图2-110 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 安全组用户进行认证。
如图2-111所示,安全组用户的LDAP认证效果图。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
