06-用户身份识别与管理配置
本章节下载: 06-用户身份识别与管理配置 (303.84 KB)
目 录
通过用户身份识别与管理功能,设备可以将网络流量的IP地址或MAC地址识别为用户,并与安全特性(用户黑名单、对象组等)相配合基于用户进行网络访问控制。此功能便于网络管理员基于用户进行安全管理功能策略的制定,以及基于用户进行网络攻击行为以及流量的统计和分析,解决了用户IP地址或MAC地址变化带来的策略控制问题。
基于用户身份的访问控制流程主要包括如下步骤:
(1) 用户身份认证:网络接入用户完成身份验证,并成为在线用户。
(2) 用户身份识别:设备记录在线用户的用户名和IP地址、MAC地址等信息,并与本地的身份识别用户账户和身份识别用户组进行关联,实现IP地址或MAC地址和用户的映射。管理员也可以直接配置用户和IP地址或MAC地址的映射关系,便于无需认证的网络接入用户使用。
(3) 安全管理功能策略执行:在线用户访问网络服务时,设备识别出用户流量的源IP地址或源MAC地址,并根据已建立IP地址或MAC地址和用户的映射关系解析出对应的用户名以及所属的用户组,然后按照安全管理特性(用户黑名单、对象组等)对用户/用户组的策略配置,对该用户的网络访问权限进行控制。
图1-1 基于用户身份的访问控制流程示意图
设备上的所有身份识别用户按树形结构组织,按照身份识别用户、身份识别用户组以及身份识别域的递进关系进行管理:
· 每个身份识别用户可以隶属于一个或多个身份识别用户组;
· 每个身份识别用户组可以隶属于一个或多个更高结构层次的身份识别用户组;
· 每个身份识别用户以及身份识别用户组可以隶属于一个域或不属于任何域,该域称为身份识别域。身份识别域是整个用户身份识别管理架构中最高级别的管理单元。设备通过域名和用户名的组合,以及域名和用户组名的组合唯一标识一个被管理对象。
这种树形组织结构易于管理员查询、定位,是企业内常用的用户组织方式。网络管理员可以根据企业的组织结构在设备上管理身份识别用户组和身份识别用户,分别对应不同管理级别的部门和员工,如图1-2所示:
身份识别用户账户用于存储和管理不同来源的网络接入用户身份信息,包括用户名、用户组名以及所属身份识别域名。设备上,不同来源的身份识别用户账户被身份识别模块统一管理。
目前,支持以下几种方式生成身份识别用户账户:
· 从本地用户数据库学习:用户身份识别模块学习设备上的网络接入类本地用户信息,将其保存为身份识别用户账户。关于网络接入类本地用户的详细介绍请参见“安全配置指导”中的“AAA”。
· 从CSV文件中导入:管理员将记录了用户信息的CSV文件导入到设备中,实现批量创建身份识别用户账户。
· 从远程服务器导入:通过向远程服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户账户。如果实际网络环境中的用户信息存放在远程服务器上,则可采用此方式统一管理。支持的服务器包括LDAP服务器和H3C iMC的RESTful服务器。
通过用户身份识别模块管理的网络接入类在线用户,被称为在线身份识别用户。设备记录的在线身份识别用户信息可包括用户名、身份识别域名、IP地址、MAC地址等。在线身份识别用户有动态和静态两种类型。
动态在线身份识别用户包括以下两种类型:
· 在本设备接入的在线网络接入用户。用户通过本地或远程服务器认证上线后,用户身份识别模块会在本地身份识别用户账户中查询该用户名和域名对应的表项,如果查询成功,则会生成一条在线身份识别用户表项。
· 从远程服务器上获取的在线网络接入用户。设备获得远程服务器的在线用户信息后,用户身份识别模块会在本地身份识别用户账户中查询用户名和域名对应的表项,如果查询成功,则会生成对应的在线身份识别用户表项。可采用此方式将远程服务器上的在线用户信息(包括其它接入设备上的在线用户信息)导入到本机进行统一管理和监控。
支持互通远程服务器为H3C iMC的RESTful服务器和Security Manage服务器,具体交互情况如下:
¡ 设备主动从H3C iMC的RESTful服务器上导入在线网络接入用户信息。
¡ 设备接收由Security Manage服务器推送的在线网络接入用户信息,但不支持主动获取。
网络管理员可以手工配置静态类型的身份识别用户,每个用户表项中记录了用户名和IP地址或MAC地址的绑定关系。一个静态类型的身份识别用户创建后,用户身份识别模块会在本地身份识别用户账户中查询该用户名和域名对应的表项,如果查询成功,则会生成一条静态类型的在线身份识别用户表项。一些组网需求下,例如有少量指定人员临时接入网络时,网络管理员希望这些用户无需进行认证也能够在安全特性的管理下访问网络,则可以通过配置静态类型的身份识别用户满足该需求。
在线身份识别用户可被应用模块引用进行相关安全业务的处理。在线身份识别用户被应用模块引用之后,基于该用户的安全业务将会生效。在线身份识别用户表项被删除后,用户身份识别模块将通知应用模块停止该用户相关的业务处理。
在用户身份识别业务中,可以将用户加入到组中进行批量配置和层级式管理,这样的组称为身份识别用户组。设备上,不同来源的身份识别用户组被用户身份识别模块统一管理。
目前,支持以下几种方式生成身份识别用户组:
· 从本地用户数据库学习:当设备上创建本地用户组时,会通知用户身份识别模块生成相应的身份识别用户组。关于本地用户组的详细介绍请参见“安全配置指导”中的“AAA”。
· 从CSV文件中导入:设备在从CSV文件中导入身份识别用户账户的同时,可以根据管理员的配置自动生成相应的身份识别用户组。
· 从远程服务器导入:
¡ 设备在从H3C iMC的RESTful服务器或LDAP服务器上导入身份识别用户账户的同时,会根据账户中的组信息自动生成相应的身份识别用户组。
¡ 设备直接从LDAP服务器上获取用户组信息,并生成相应的身份识别用户组。
身份识别用户组可被应用模块引用进行相关安全业务的处理。身份识别用户组被应用模块引用之后,该用户组将处于激活状态,所有基于该组的业务将会生效。当应用模块取消对该身份识别用户组的引用,该身份识别用户组将处于非激活状态。
目前,本特性与远程服务器的互通情况如下:
· 支持从H3C iMC RESTful服务器导入身份识别用户账户、身份识别用户组和在线身份识别用户;
· 支持从LDAP服务器导入身份识别用户账户和身份识别用户组;
· 支持从Security Manage服务器上获取到在线身份识别用户。
本特性支持的H3C iMC的RESTful服务器必须为支持SSM E0503P04组件的iMC PLAT 7.3 (E0605P04)版本或者支持EIA E0512组件的iMC PLAT 7.3(E0605)。
本特性不支持对基于MAC地址的快速认证Portal用户的身份识别与管理。关于基于MAC地址的快速认证的详细介绍,请参见“安全配置指导”中的“Portal”。
用户身份识别与管理配置任务如下:
(1) 开启用户身份识别功能
仅当设备需要从RESTful服务器和LDAP服务器导入用户信息时,才需要进行此配置。
a. 配置远程服务器参数
b. 配置身份识别用户导入策略
仅当设备需要与Security Manage服务器互通来获取在线用户信息时,才需要进行此配置。
(4) (可选)管理身份识别用户账户
(5) (可选)管理在线身份识别用户
(6) (可选)删除身份识别用户组
开启用户身份识别功能后,用户身份识别模块才会与接入模块以及应用模块一起联动实现基于用户身份的访问控制。
(1) 进入系统视图。
system-view
(2) 开启用户身份识别功能。
user-identity enable
缺省情况下,用户身份识别功能处于关闭状态。
RESTful服务器视图用于定义设备与RESTful服务器交互的相关参数,包括登录账户和服务器URI等。设备与RESTful服务器成功建立连接之后,可以从该服务器上手工或定期导入身份识别用户账户、身份识别用户组和在线身份识别用户。
系统中仅能存在一个RESTful服务器。
(1) 进入系统视图。
system-view
(2) 创建RESTful服务器,并进入RESTful服务器视图。
user-identity restful-server server-name
(3) 配置登录到RESTful服务器所需的用户名和密码。
login-name user-name password { cipher | simple } string
缺省情况下,未配置登录到RESTful服务器所需的用户名和密码。
指定的用户名和密码必须是RESTful服务器上已存在的,否则无法与RESTful服务器建立连接。
(4) 指定RESTful服务器的URI。
uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user } uri-string
缺省情况下,未指定RESTful服务器的URI。
指定的URI必须与RESTful服务器上提供各类用户资源服务的URI保持一致,否则将会导致用户信息交互失败。
可以通过多次执行本命令指定多个不同类型的URI。
(5) 配置RESTful服务器所属的VPN。
vpn-instance vpn-instance-name
缺省情况下,未配置RESTful服务器的VPN,表示RESTful服务器位于公网。
(6) (可选)配置对RESTful服务器的探测功能。
a. 开启对RESTful服务器的探测功能。
connection-detect enable
缺省情况下,对RESTful服务器的探测功能处于关闭状态。
b. 配置对RESTful服务器的探测参数。
connection-detect { interval interval | maximum max-times }
缺省情况下,对RESTful服务器的探测周期为5分钟,每周期内的最大探测次数为3。
LDAP方案用于指定与设备通信的LDAP服务器以及相关参数。设备与LDAP服务器成功建立连接之后,管理员可以从该服务器上导入身份识别用户账户和身份识别用户组。
关于LDAP方案及其相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
目前,系统不支持从LDAP服务器上导入在线身份识别用户。
缺省情况下,系统从LDAP服务器上导入身份识别用户账户或身份识别用户组时,并不会携带其父组信息。如果希望导入的身份识别用户和身份识别用户组信息中携带其父组信息,则需要配置用户组类型的LDAP属性映射表,并在LDAP方案中引用该映射表。
(1) 进入系统视图。
system-view
(2) 配置LDAP服务器。
LDAP服务器的配置包括服务器IP地址、与LDAP服务器建立连接所使用的管理员DN和密码、DN查询策略以及用户组的过滤条件等。具体配置请参见“安全配置指导”中的“AAA”。
(3) 创建LDAP的属性映射表,并进入属性映射表视图。
ldap attribute-map map-name
(4) 配置用户组类型的LDAP属性映射表。
map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute user-group
(5) 退回系统视图。
quit
(6) 创建LDAP方案,并进入LDAP方案视图。
ldap scheme ldap-scheme-name
(7) 指定LDAP认证服务器。
authentication-server server-name
缺省情况下,未指定LDAP认证服务器。
(8) 引用LDAP属性映射表。
attribute-map map-name
缺省情况下,未引用LDAP属性映射表。
引用了LDAP属性映射表的情况下,导入的身份识别用户和身份识别用户组信息中会携带其父组信息,但设备不会根据它自动生成相应的身份识别用户组。
若要从服务器导入身份识别用户账户、在线身份识别用户或身份识别用户组,则需要配置服务器身份识别用户导入策略,该策略主要用于设置连接RESTful服务器和LDAP服务器的相关参数。
系统中仅能存在一个身份识别用户导入策略。配置新策略之前,必须首先删除当前策略。
(1) 进入系统视图。
system-view
(2) 创建身份识别用户导入策略,并进入身份识别用户导入策略视图。
user-identity user-import-policy policy-name
(3) 指定RESTful服务器。
restful-server server-name
缺省情况下,未指定RESTful服务器。
最多只能指定一个RESTful服务器。如需指定其它的RESTful服务器,必须首先删除已指定的RESTful服务器。
(4) 指定LDAP方案。
ldap-scheme ldap-scheme-name
缺省情况下,未指定LDAP方案。
最多可指定16个LDAP方案。
(5) (可选)配置自动导入身份识别用户账户的周期。
account-update-interval interval
缺省情况下,自动导入身份识别用户账户的周期为24小时。
(6) 配置从LDAP服务器上导入的用户信息类型。
import-type { all | group | user }
缺省情况下,未配置从LDAP服务器上导入的用户信息类型,允许导入用户和用户组信息。
Security Manage服务器集视图中定义了Security Manage服务器的相关参数,包括服务器的IP地址、设备和服务器通信报文的加密算法、监听服务器报文的端口号。
设备与Security Manage服务器成功建立连接之后,可以接收该服务器推送给设备的用户上线报文和用户下线报文。设备通过解析用户上线报文来获取在线用户信息,并在完成身份识别用户账户匹配后添加在线身份识别用户表项;设备通过解析下线报文来删除对应的在线身份识别用户表项。
系统中仅能存在一个Security Manage服务器集。
(1) 进入系统视图。
system-view
(2) 创建Security Manage服务器集,并进入Security Manage服务器集视图。
user-identity security-manage-server server-set-name
(3) 配置Security Manage服务器的IP地址。
ip ip-address&<1-10>
缺省情况下,未配置Security Manage服务器的IP地址。
(4) 配置与Security Manage服务器交互使用的加密算法与共享密钥。
encryption algorithm { 3des | aes128 } key { simple | cipher } string
缺省情况下,未配置与Security Manage服务器交互时使用的加密算法与共享密钥。
(5) 配置设备监听Security Manage服务器的端口号。
listen-port port-num
缺省情况下,设备监听Security Manage服务器的端口号为8001。
开启指定策略的身份识别用户账户自动导入功能后,设备首先会从该策略指定的服务器上导入所有身份识别用户账户和所有在线身份识别用户信息,然后定期从该服务器上自动导入身份识别用户账户(导入周期由身份识别用户导入策略中的account-update-interval命令配置)。
如果开启此功能时,用户身份识别功能处于关闭状态,则仅能从服务器上导入身份识别用户账户。
如果开启了指定策略的身份识别用户账户自动导入功能,且同时开启了对该策略中指定的RESTful服务器的探测功能,则当该RESTful服务器状态由不可达变为可达时,设备会主动同步一次该服务器上的在线身份识别用户信息。
(1) 进入系统视图。
system-view
(2) 开启身份识别用户账户自动导入功能。
user-identity user-account auto-import policy policy-name
缺省情况下,身份识别用户自动账户导入功能处于关闭状态。
可以通过执行本命令向远程服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户账户。在导入过程中,若某个账户导入失败,则跳过该账户,继续导入。
本命令中指定的身份识别用户导入策略必须已经存在,且该策略中必须指定了有效的RESTful服务器的URI或LDAP服务器IP地址。
(1) 进入系统视图。
system-view
(2) 导入服务器上的身份识别用户账户。
user-identity user-account import policy policy-name
可以通过执行本命令从CSV文件中导入身份识别用户账户。在导入过程中,若某个账户导入失败,则立即停止导入。
查看由user-identity user-account export url命令导出的标准模板,确保使用的CSV文件格式合法。
(1) 进入系统视图。
system-view
(2) 从CSV文件中导入身份识别用户账户。
user-identity user-account import url url-string [ vpn-instance vpn-instance-name ] [ auto-create-group | override | start-line line-number ] *
可以通过执行本命令将设备上的身份识别用户账户导出到一个CSV文件中保存。导出的CSV文件可直接或在编辑之后用于导入到本设备或其它接入设备上使用。
若执行本命令时指定了template参数,则导出一个标准的CSV文件模板,此模板可用于指导管理员编辑符合设备要求的CSV文件。
(1) 进入系统视图。
system-view
(2) 将身份识别用户账户导出到CSV文件。
user-identity user-account export url url-string [ { domain domain-name | null-domain } [ user user-name ] | template ] [ vpn-instance vpn-instance-name ]
可以通过以下方式删除身份识别用户账户:
· 手工删除:管理员通过命令行删除从服务器或者从CSV文件导入的身份识别用户账户。
· 动态删除:本地用户数据库中删除某网络接入类本地用户之后,用户身份识别模块会同步删除对应的身份识别用户账户。
请在用户视图下执行本命令,删除身份识别用户账户。
reset user-identity user-account { all | { domain domain-name | null-domain } [ name user-name ] }
一个用户名可以绑定多个IP地址、多个MAC地址或者多个IP地址和MAC地址的组合,但同一个IP地址、多个MAC地址或者IP地址和MAC地址的组合不能被多个用户名绑定。
(1) 进入系统视图。
system-view
(2) 配置静态类型的身份识别用户。
user-identity static-user user-name [ domain domain-name ] bind { { ipv4 ipv4-address | ipv6 ipv6-address } | mac mac-address } *
设备创建一条在线身份识别用户表项之前,首先检查该用户是否能够匹配上本地的身份识别用户账户,如果能够匹配上,才会生成对应的在线身份识别用户表项。本功能来用来配置设备采用哪种用户名格式去匹配身份识别用户账户。
本功能仅对本设备接入的动态在线身份识别用户生效。
(1) 进入系统视图。
system-view
(2) 配置在线用户身份识别的用户名匹配模式。
user-identity online-user-name-match { keep-original | with-domain | without-domain }
缺省情况下,在线用户身份识别的用户名匹配模式为keep-original。
可以通过执行本命令向指定的远程服务器实时发起在线用户请求,实现导入服务器上当前所有在线用户信息的目的。
目前,仅支持从H3C iMC的RESTful服务器上导入在线身份识别用户。
若未开启用户身份识别功能,则本命令执行失败。
本命令中指定的身份识别用户导入策略必须已经存在,且该策略中必须指定了有效的RESTful服务器的URI。
(1) 进入系统视图。
system-view
(2) 导入服务器上的在线身份识别用户。
user-identity online-user import policy policy-name
可以通过以下方式删除在线身份识别用户:
· 手工删除:管理员通过命令行删除从服务器导入的动态在线身份识别用户,以及通过匹配静态身份识别用户表项生成的静态在线身份识别用户。
· 动态删除:
¡ 本设备接入的用户下线后,接入模块通知用户身份识别模块删除对应的在线身份识别用户。
¡ 设备重启后,所有动态类型的在线身份识别用户均被删除。
¡ 用户身份识别功能关闭,所有在线身份识别用户均被删除。
¡ 远程服务器上用户下线时,服务器会主动通知设备删除相应的在线身份识别用户。
在用户视图下执行本命令,删除动态在线身份识别用户。
reset user-identity dynamic-online-user { all | { domain domain-name | null-domain } [ name user-name ] | { { ip ipv4-address | ipv6 ipv6-address } | mac mac-address } * }
(1) 进入系统视图。
system-view
(2) 删除静态在线身份识别用户。
undo user-identity static-user user-name [ domain domain-name ] [ bind { { ipv4 ipv4-address | ipv6 ipv6-address } | mac mac-address } * ]
可以通过以下方式删除身份识别用户组:
· 手工删除:管理员通过命令行删除从服务器或者从CSV文件导入的身份识别用户组。
· 动态删除:本地用户数据库中删除本地用户组之后,用户身份识别模块会同步删除对应的身份识别用户组。
在用户视图下执行本命令,删除身份识别用户组。
reset user-identity user-group { all | { domain domain-name | null-domain } [ name group-name ] }
在完成上述配置后,在任意视图下执行display命令可以显示配置后用户身份识别与管理的运行情况,通过查看显示信息验证配置的效果。
表1-1 用户身份识别与管理显示和维护
操作 |
命令 |
显示指定的身份识别用户或身份识别用户组 |
display user-identity { domain domain-name | null-domain } { user [ user-name [ group ] ] | user-group [ group-name [ member { group | user } ] ] } |
显示激活的身份识别用户组 |
display user-identity active-user-group { all | domain domain-name | null-domain } |
显示所有身份识别用户或身份识别用户组 |
display user-identity all { user | user-group } |
显示在线身份识别用户 |
display user-identity online-user { domain domain-name | null-domain } name user-name |
显示RESTful服务器配置 |
display user-identity restful-server [ server-name ] |
显示Security Manage服务器集的配置信息 |
display user-identity security-manage-server [ server-set-name ] |
显示身份识别用户导入策略 |
display user-identity user-import-policy [ policy-name ] |
管理员要求用户不需要经过身份认证即可通过设备访问网络,但其网络访问权限需要接受安全策略的控制。具体要求为:IP地址为1.2.3.4、MAC地址为0001-0001-0001、用户名为usera的用户只有在工作日才可以访问外部网络。
图1-3 静态类型用户的身份识别与管理配置组网图
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/2/5/1
[Device-GigabitEthernet1/2/5/1] ip address 1.2.3.5 255.255.255.0
[Device-GigabitEthernet1/2/5/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置安全域
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/2/5/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/2/5/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设用户Host到达外网服务器3.1.1.2/24的下一跳为2.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 3.1.1.2 24 2.2.2.2
(4) 配置用户身份识别
# 创建网络接入类本地用户usera,配置一个静态类型的身份识别用户usera,并开启用户身份识别功能。
[Device] local-user usera class network
[Device-luser-network-usera] quit
[Device] user-identity static-user usera bind ipv4 1.2.3.4 mac 0001-0001-0001
[Device] user-identity enable
(5) 配置时间段及安全策略
# 创建名为work的时间段,制订只允许用户在工作时间访问外部网络的安全策略。
[Device] time-range work 08:00 to 18:00 working-day
[Device] security-policy ip
[Device-security-policy-ip] rule name ippolicy1
[Device-security-policy-ip-1-ippolicy1] source-zone trust
[Device-security-policy-ip-1-ippolicy1] destination-zone untrust
[Device-security-policy-ip-1-ippolicy1] action pass
[Device-security-policy-ip-1-ippolicy1] user usera
[Device-security-policy-ip-1-ippolicy1] time-range work
[Device-security-policy-ip-1-ippolicy1] quit
[Device-security-policy-ip] quit
# 以上配置完成后,可通过如下显示命令查看静态类型的在线身份识别用户信息。该用户只有在工作日才可以访问外部网络。
[Device] display user-identity online-user null-domain name usera
User name: usera
IP : 1.2.3.4
MAC : 0001-0001-0001
Type: Static
Total 1 records matched.
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!