登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath F3200-I工控防火墙 典型配置-5W101

67-数据库用户同步功能典型配置举例

本章节下载  (817.41 KB)

67-数据库用户同步功能典型配置举例

目  录

1 简介

2 配置前提

3 数据库用户同步功能配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.5 配置注意事项

3.6 验证配置

 

1  简介

本文档介绍设备的数据库用户同步功能配置举例,在配置前,先了解如下定义:

·     应用场景:当用户有自己的认证系统进行认证,后台数据库为Postgresql数据库,且数据库中存在在线用户信息列表时,可以使用设备结合数据库进行单点登录完成自动认证。

数据库用户同步:客户已有一套数据库系统存储用户认证信息和组织结构信息的前提下,可以通过使用设备的数据库用户同步功能在Web界面上配置SQL查询语句,去主动查询数据库系统中的已认证用户列表,并同步到设备的在线用户列表中,从而实现用户通过数据库认证时,即通过设备的用户认证,同样的,用户从数据库认证系统中注销,也自动完成了在设备上的注销(即数据库方式的单点登录/注销)。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

在配置前,需要做如下准备:

·     客户已经拥有自己的Postgresql数据库,用户认证信息会存储在数据库中。

·     本文档假设您已了解数据库用户同步特性。

3  数据库用户同步功能配置举例

3.1  组网需求

图1所示,某客户内网办公网段的IP地址为172.16.11.0/24,其中三层交换机172.16.11.1/24作为网关,办公用户使用认证系统通过认证后将用户名/IP等认证信息存储在Postgresql数据库服务器中,设备作为网关出口设备开启数据库用户同步功能,获取数据库中在线用户信息,当用户上网流量过设备时自动完成在设备侧实名上线,实现如下要求:

·     对通过内网认证系统的用户在设备侧进行实名认证,要求设备侧在线用户能实名显示哪些办公人员在线。

·     对所有办公用户的上网行为进行控制,不允许办公用户访问P2P下载、网络电视以及网络游戏。

图1 数据库用户同步组网图

 

3.2  配置思路

·     配置网络接口

·     配置静态路由

·     配置源NAT

·     配置数据库服务器

·     配置数据库用户同步功能

·     配置控制策略

3.3  使用版本

本举例是在E6501版本上进行配置和验证的。

3.4  配置步骤

(1)     配置网络接口

图2图3所示,进入“网络配置>接口配置”,点击编辑ge3、ge0接口,把ge0、ge3的地址分别配置为172.16.10.2/24、172.16.30.2/24。

图2 配置ge3接口

 

图3 配置ge0接口

 

(2)     配置静态路由

图4所示,进入“网络管理>路由管理>静态路由”页面,新建配置访问外网的默认路由。

图4 配置静态路由

 

(3)     配置源NAT

(2)图4所示,进入“策略配置>NAT转换策略>源NAT”页面,新建配置ge0接口源NAT。

图5 配置源NAT

 

(4)     配置数据库服务器

(2)图4所示,进入“用户管理>认证管理>认证服务器”页面,新建数据库服务器配置如下参数,所有参数与数据库服务器信息保持一致,然后点击<提交>。

图6 配置数据库服务器  

 

(5)     配置数据库用户同步功能

图7所示,进入“用户管理>认证管理>高级选项>第三方用户同步>数据库用户同步”,配置数据库用户同步功能,点击<提交>。

图7 配置数据库用户同步功能

 

 

(6)     配置控制策略

如下图所示,进入“策略配置>控制策略”页面,点击<新建>,匹配条件中用户选择“数据库同步用户”,进入“应用过滤>应用控制”中新建策略,将P2P软件、P2P流媒体、网络游戏等应用配置为阻断,提交配置。

图8 配置控制策略

 

图9 配置应用控制策略

 

3.5  配置注意事项

·     数据库用户上线后默认关联到”数据库同步用户”组中,且不支持修改,认证方式为数据库认证。

·     数据库用户同步页面的SQL语句配置目前没有做限制,但是仅支持用户名和IP地址两个字段查询返回的数据解析。

·     数据库用户同步过来的用户上线必须要有对应IP的流量过设备触发,在线用户上才会显示,否则不会显示。

·     数据用户同步上线的用户老化时间为5个周期的同步间隔,当数据库服务器中的某个用户不存在后,经过5次数据库用户同步如果都没有该用户,则会被老化踢下线。

·     数据库用户名支持的最大长度为64个字符,如果超过最大长度,用户无法上线。

·     数据库用户同步会根据配置的IP地址范围来过滤,只会同步在IP范围内用户信息。

·     当数据库中IP对应的用户名变更后,在线用户对应的用户名会在下个同步周期完成后进行更新。

·     数据库服务器不支持服务器组。

·     数据库用户同步不支持IPv6。

·     数据库用户同步不支持同步用户组。

·     数据库用户同步支持那些Postgres数据库版本?

数据库用户同步目前仅支持Postgres数据库,Postgres数据库的主流版本9、10、11、12、13均可支持,特殊说明如下:

数据库12.5以下的版本,数据库对接校验的身份认证加密算法支持md5/password  ,其他新版本只支持password,因此如果数据库身份校验不通过需要关闭系统防火墙,同时注意修改算法,方法如下:

编辑pg_hba.conf文件,添加如下红框中的内容,同时将method修改为md5或password

pg_hba.conf文件不同的操作系统路径不一样,举例说明如下:

¡     windows系统下路径为:C:\Program Files\PostgreSQL\13\data\pg_hba.conf

¡     linux系统下路径为:etc/postgresql/12/main/pg_hba.conf

需要注意,不同的数据库版本号路径会有区别。

3.6  验证配置

图10所示,用户在通过认证系统之后,不开启数据库用户同步时访问网络在设备侧全部显示为匿名用户,访问网络视频等不受策略控制。

图10   在线用户

 

 

图11所示,开启数据库用户同步功能后,用户访问网络会直接在设备侧以实名方式上线。

图11 在线用户

 

图12所示,用户访问爱奇艺会直接被阻断,产生阻断日志。

图12 阻断日志

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们