• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6614)-6W102

目录

09-用户同步典型配置举例

本章节下载 09-用户同步典型配置举例  (512.61 KB)

09-用户同步典型配置举例


1  简介

本文档介绍设备用户同步配置举例,用户同步包含LDAP同步、ARP扫描、SNMP同步。同步成功录入设备的用户支持策略调用、QOS控制、策略路由等模块的引用控制。本文档主要针对用户同步中的LDAP同步和SNMP同步进行典型配置举例介绍。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解用户同步特性。

针对SNMP同步在配置前,需要做如下准备:

·     交换机上已开启SNMP代理功能。

·     设备的与交换机网络可达。

3  使用限制

·     LDAP同步条目128。

·     SNMP同步条目64。

·     Arp扫描条目64。

·     LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。

·     LDAP服务器用户名长度大于63字符后无法录入。

·     LDAP服务器同步目前支持389明文传输,不支持636密文传输(不能与加密服务器交互,无法进行身份验证)。

·     只支持Windows AD域用户同步,不支持匿名同步用户。只支持OpenLdap服务器用户同步,不支持OpenLdap认证(OpenLdap同步的用户没有dn属性无法参与认证)。

·     AD服务器上用户名超长(大于63字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。

·     LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。

·     IPSec和sslvpn使用LDAP认证时,需保证本地存在该用户。

·     多个用户同步条目存在时,同步任务为串行,上面同步条目同步完成后在进行下面同步条目的同步。

·     LDAP同步周期起始时间(0-23),间隔时间(1-24),例如起始时间8,间隔2,代表该同步条目每天8点开始同步,每隔2小时同步一次,晚上12点结束当天的同步任务。

·     AD域用户更新密码后,使用同步的LDAP认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。

这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。

测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。

·     手动创建用户组、用户创建为本地用户,和LDAP服务器上组、用户名称一样,点LDAP同步,这个用户没法用LDAP认证,LDAP同步当存在重名用户时,只移动用户,不覆盖。

·     LDAP组里第一个LDAP服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前不能处理跨域的LDAP组认证,需要保障LDAP组下地址可达,服务器密码正确。

·     arp扫描只支持扫描设备同网段用户。

·     新建SNMP同步条目的MAC地址是与设备相连的交换机的地址。

·     设备的配置的团体名需要跟交换机上的团体名一致,团体字中不能包含中文。

·     开启SNMP同步及IP-MAC绑定后,交换机下的新用户IP-MAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。

·     在配置多个交换机时扫描开始后串行逐个扫描,待所有交换机扫描完毕后等待配置的更新时间后再开始下一轮扫描。

·     对于每次扫描结果如何处理:如果旧表中有对应MAC,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的MAC,等老化后删除。

·     SNMP同步分两步:

1. SNMP协议跟交换机交互报文,来学习IP-MAC条目,并将IP-MAC条目存到文件中(网络好时报文交互快,学的也快)。

2.从文件中读IP-MAC,进行新旧对比并更新老化时间。

·     正常情况下,开启SNMP同步功能后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,判断当前时间-上次快速老化时间小于10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。

·     快速老化机制:

1.IP-MAC表达到59000条时触发快速老化,将已经老化的IP-MAC全清掉,规格满直接丢新的条目。

2.两次快速老化的时间间隔是10分钟。

4  用户同步配置举例

4.1  组网需求

图1所示,某公司的财务部、工程部员工实行固定设备使用静态绑定IP/MAC的方式上网,生产部员工使用LDAP服务器配置的用户账号认证上网,其网段分别是172.16.1.0/24、172.16.2.0/24和172.16.3.0/24,LDAP服务器的地址为172.16.0.20/24。工程部SNMP服务器地址为172.16.0.10/24。使用设备的ge0和ge1接口透明模式部署在网络中,在上配置用户同步。

图1 用户同步功能配置组网图

 

4.2  配置思路

按照组网图组网。

(1)     添加LDAP服务器

(2)     配置用户组

(3)     配置用户同步任务

(4)     配置用户认证地址对象

(5)     配置WEB认证参数

(6)     配置控制策略

(7)     全局配置启用第三方LDAP服务器

(8)     配置用户策略

4.3  使用版本

本举例是在R6614版本上进行配置和验证的。

4.4  配置步骤

4.4.1  配置设备

1. 添加LDAP服务器

通过菜单“用户管理>认证管理>认证服务器”,点击<新建>LDAP服务器。进入如图2所示的页面。

图2 LDAP服务器配置

 

2. 配置用户组

通过菜单“用户管理>用户组织结构”,单击选择“新建>用户组”,配置财务部和工程部用户组,如图3图4所示。

图3 财务部用户组配置

 

图4 工程部用户组配置

 

3. 配置用户同步认证

(1)     配置LDAP同步

通过菜单“用户管理>用户同步”,单击选择“新建>LDAP同步”,进入LDAP同步配置页面。配置LDAP同步任务名称,选择LDAP服务器,选择开启同步周期并配置同步周期(每天的某个整点),或者选择关闭周期同步,如图5所示。

图5 配置生产部LDAP同步

 

(2)     配置SNMP同步

通过菜单“用户管理>用户同步”,单击选择“新建>SNMP同步”,进入SNMP配置页面。配置SNMP同步任务名称,IP地址和MAC地址配置为SNMP server的IP地址和MAC地址,配置团体名和SNMP的版本号,选择开启周期同步并配置同步周期或者关闭周期同步(只在配置成功后同步一次),选择开启自动录入并配置同步结果的录入用户组,或者关闭自动录入由后期用户手动添加。如图6所示。

图6 配置工程部SNMP同步

 

(3)     配置ARP扫描

通过菜单“用户管理>用户同步”,单击选择“新建>ARP扫描”,进入ARP扫描配置页面。配置“扫描网段”为财务部网段,选择配置是否开启周期同步,是否开启自动录入并选择录入用户的组织结构的用户组。如图7所示。

图7 配置财务部ARP扫描

 

4. 配置用户认证地址对象

通过菜单“策略配置 > 对象管理 > 地址对象”,单击“新建>地址对象”,配置生产部地址对象。如图8所示。

图8 地址对象配置

 

5. 配置Web认证参数

通过菜单“用户管理>认证管理>认证方式 > 本地WEB认证”,勾选“允许重复登录”,配置“允许登录数”为无限制,单击<提交>。如图9所示。

图9 配置Web认证

 

6. 配置安全策略

通过菜单“策略配置>控制策略”,单击<新建>配置控制策略。如图10所示。配置用户组财务部、工程部和生产部(LDAP同步下来的用户组)允许访问外网。

图10 控制策略配置

 

 

7. 全局配置启用第三方认证选择LDAP服务器

在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证,选择LDAP服务器,如图11所示。

图11 全局模式启用第三方Ldap配置

 

8. 配置用户策略

通过菜单进入“用户管理>认证管理>认证策略”,单击<新建>,源地址配置为“生产部地址对象”,认证方式配置为“Web认证”,其它选项保持默认,单击<提交>。如图12所示。

图12 用户策略配置

 

4.5  验证配置

(1)     进入“用户管理>用户组织结构”,查看“财务部”用户组。财务部ARP同步成功后,财务部固定设备的用户全部自动录入,用户静态绑定对应的IP,固定设备直接可以上网。如图13所示。

图13 财务部ARP同步用户

 

(2)     进入“用户管理>用户组织结构”,查看“工程部”用户组。工程部SNMP同步成功后,生产部固定设备的用户全部自动录入,用户静态绑定对应的IP/MAC,固定设备直接可以上网。如图14所示。

图14 工程部SNMP同步用户

 

(3)     进入“用户管理>用户组织结构”,查看“生产部”用户组。从LDAP成功同步了生产部的用户,同步了用户组“生产部”以及用户组的直属用户user1,user2,user3。如图15所示。

图15 生产部LDAP同步用户

 

(4)     在生产部网段(172.16.3.0/24)使用PC终端进行HTTP访问,弹出本地Web认证页面,使用LDAP联动用户user3(此用户在LDAP服务器上真实存在且已经通过LDAP同步功能录入到了设备本地用户组)认证成功,认证成功后可以正常访问外网。如图16所示。

图16 生产部LDAP用户认证页面

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们