- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-用户认证功能典型配置
本章节下载: 08-用户认证功能典型配置 (1.32 MB)
目录
本文档介绍设备的用户认证配置举例,包括本地用户Web认证、Radius联动Web认证和LDAP联动Web认证。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解用户认证特性。
R6616版本支持与Openldap、Windows AD域服务器的认证对接。
如图1所示,某公司的财务部、工程部和生产部实行用户认证上网,其网段分别是172.16.1.0/24、172.16.2.0/24和172.16.3.0/24。内网Radius服务器的地址为172.16.0.10/24、LDAP服务器的地址为172.16.0.20/24。使用设备的ge0和ge1接口透明模式部署在网络中,在设备上配置用户认证功能。具体要求如下:
· 财务部进行Web认证上网,用户名和密码存储在设备的本地。
· 工程部进行Web认证上网,用户名和密码存储在Radius服务器上。
· 生产部进行Web认证上网,用户名和密码存储在LDAP服务器上。
· 财务部、工程部和生产部的每个Web认证用户需要支持两个终端同时并发登录,要求用户成功登录后跳转到http://www.baidu.com。
· 配置Radius和LDAP服务器对象,设备上的相关参数配置需要和服务器保持一致。
· 配置地址对象。
· 配置本地认证用户,RADIUS和LDAP认证用户直接在相应的服务器创建即可。
· 配置用户认证策略。
本举例是在R6616版本上进行配置和验证的。
· 设备的配置Web认证时,允许用户的TCP三次握手报文、DNS报文以及ICMP报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用Web认证功能时,需要保证终端可以进行正常的HTTP访问。
· 如果需要实现访问某些资源时免Web认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的目的IP地址排除即可。
(1) 配置工程部Radius服务器
如图2所示,进入“用户管理>认证管理>认证服务器”,点击<新建>,选择Radius服务器,配置“服务器地址”为172.16.0.10,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>。
(2) 配置生产部LDAP服务器
如图3所示,进入“用户管理>认证管理>认证服务器>”,点击<新建>选择LDAP服务器,配置“服务器地址”为172.16.0.20,“端口”和“通用名标识”和“Base DN”需要和LDAP服务器保持一致,点击<提交>。
图3 添加生产部LDAP服务器
(1) 配置市场部本地认证用户
如图4所示,进入“用户管理>用户组织结构”,点击“新建>用户”,配置用户名称为“user1”,配置和确认密码后,点击<提交>。
(2) 配置工程部Radius认证用户
设备本地不需要创建Radius认证用户,直接在Radius服务器上创建即可。
(3) 配置生产部LDAP认证用户
设备本地不需要创建LDAP认证用户,直接在LDAP服务器上创建即可。
(1) 配置财务部地址对象
如图5所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,命名为“财务部地址对象”,“地址项目”选为子网地址,配置地址为172.16.1.0/24,点击<提交>。
(2) 配置工程部地址对象
如图6所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,命名为“工程部地址对象”,“地址项目”选为子网地址,配置地址为172.16.2.0/24,点击<提交>。
(3) 配置生产部地址对象
如图7所示,进入“策略配置>对象管理>地址对象>地址对象”,点击<新建>,命名为“生产部地址对象”,“地址项目”选为子网地址,配置地址为172.16.3.0/24,点击<提交>。
如图8所示,进入“用户管理>认证管理>认证方式>本地WEB认证”,勾选“允许重复登录”,配置“允许登录数”为2,配置重定向URL为https://www.baidu.com,点击<提交>。
图8 配置Web认证
如图9所示,进入“策略配置>控制策略”,将默认规则修改为允许。
(1) 配置财务部用户认证策略
如图10所示,进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“财务部地址对象”,认证方式选择“本地WEB认证”,其它选项保持默认,点击<提交>。
(2) 配置工程部用户策略
如图11所示,进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“工程部地址对象”,认证方式选择“本地WEB认证”,其它选项保持默认,点击<提交>。
(3) 配置生产部用户认证策略
如图12所示,进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“生产部地址对象”,认证方式选择“本地WEB认证”,其它选项保持默认,点击<提交>。
如图13所示,添加完成的用户策略配置如下。
如图14、图15所示,进入“用户管理>认证管理>高级选项>全局配置”,当与Radius服务器认证对接时,启用Radius方式,当与LDAP服务器认证对接时,启用LDAP服务器。
图15 启用第三方认证LDAP
如图16所示,以WinRadius为例搭建Radius服务器,点击<操作>,配置用户名为user2,密码为123456,点击<确定>。
图16 配置Radius服务器
如图17所示,在LDAP服务器上配置Common Name和Sumname为user3,User Password为123456。
图17 配置LDAP服务器
如图18所示,在每个网段使用终端进行HTTP访问,弹出如下本地Web认证页面,填写用户名和密码进行认证。
图18 本地Web认证页面
如图19所示,财务部(172.16.1.0/24)本地用户user1测试认证成功。
图19 财务部本地Web认证成功
如图20所示,工程部(172.16.2.0/24)Radius联动用户user2测试认证成功。
图20 Radius联动用户Web认证成功
如图21所示,生产部(172.16.3.0/24)LDAP联动用户user3测试认证成功。
图21 LDAP联动用户Web认证成功
如图22所示,用户Web认证通过后跳转到配置的https://www.baidu.com。
图22 Web认证通过后重定向到www.baidu.com
!
admin auth certificate
radius-server Radius 172.16.0.10 secret kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN 1812
ldap LDAP
ldap 172.16.0.20 389
cnid cn
dn ou=test_1,dc=domain,dc=com1
bindtype simple user cn=administrator,cn=users,dc=domain,dc=com1 secret BgJYypIYXs1/LNbP9R5HFuFBPq2wzxUUDLphPZPbxeceoRv3HJMyd9xT0dkiOvR
!
address 财务部地址对象
ip subnet 172.16.1.0/24
!
address 工程部地址对象
ip subnet 172.16.2.0/24
!
address 生产部地址对象
ip subnet 172.16.3.0/24
!
user user1
bind-group organization
authenticate local kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN change-password enable first-log-change-pwd disable
!user-policy
!
user-policy listen authentication disable
user-policy redirect-mode html-refresh
user-policy https-portal enable
user-policy https-portal proxy-packet re-pass disable
user-policy portal-cache-cert enable
user-policy https-portal capacity 200
user-policy any any 财务部地址对象 any always local-webauth enable 财务部认证策略 no-record once
user include /any/
user-policy any any 工程部地址对象 any always local-webauth enable 工程部认证策略 no-record once
user include /any/
user-policy any any 生产部地址对象 any always local-webauth enable 生产部认证策略 no-record once
user include /any/
!
policy default-action permit
policy white-list enable
!
user-webauth login-multi number 2
user-webauth hello-url https://www.baidu.com
!user-portal-server
如图23所示,IPv6网络中,内网PC通过设备访问DNS服务器和WEB服务器。
PC的IP地址为:2016::100,DNS及WEB服务器的地址为:2000::1。
在设备上配置用户认证功能,要求内网PC通过本地Web认证后,访问WEB服务器,用户名和密码存储在设备的本地。
图23 IPV6本地认证组网图
· 按照拓扑组网。
· 配置DNS服务器和Web服务器。
· 配置客户机的IPv6地址和DNS地址。
· 配置设备IPv6地址、用户以及用户认证策略。
服务器上开启了DNS服务,域名www.example.com,IP地址指向了服务器的地址2000::1,并且搭建好WEB服务器。
如下图所示,在客户机上配置PC的IPV6地址,网关以及DNS服务器地址。
图24 配置PC
进入“用户管理>认证管理>高级选项”,识别范围配置为any,识别模式配置为“启发模式”。
图25 配置识别模式
进入“网络配置>接口配置”,配置设备接口的IPv6地址,如下图所示。
图26 配置接口IPv6地址
进入“策略配置>NAT转换策略>源NAT”,点击<新建>配置源NAT。
进入“策略配置>对象管理>地址对象”,配置2016::网段的地址对象,如下图所示。
图28 配置地址对象
进入“策略配置>用户管理>用户组织结构”,新建一个本地用户test1,并配置密码,如下图所示。
图29 配置本地用户
进入“策略配置>认证管理>认证策略”,新建一个认证策略,源地址选择PC所在的IPv6网段,如下图所示。
图30 配置认证策略
在内网PC上打开浏览器访问域名www.example.com,会弹出重定向的WEB认证登录页面,输入用户test1及密码后登录成功。
图31 本地WEB认证页面
图32 本地WEB认证成功页面
本文档介绍设备的用户认证策略配置举例,认证策略页面实现对策略的新增、删除、导入、导出等操作,对于非本地/域用户支持认证后加入指定用户组功能,仅支持组织结构,暂不支持属性组。
用户有效时间指的是第三方用户录入方式:
· 永久录入:第三方用户认证成功后录入指定组,永久有效。
· 有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。
· 临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解用户认证特性。
· 设备仅支持简单模式的LDAP联动认证,不支持匿名和通用模式的LDAP联动认证,在配置时请使用简单模式的LDAP联动认证。
· 认证策略录入配置主要针对第三方用户,目的是将存在于第三方的用户加入设备,便于做策略限制等。此功能不影响本地已有用户,只会新增用户,不会修改已有用户信息。
· 认证策略用户录入未配置用户组时不会录入用户。
· 第三方录入用户,如果用户未下线,该用户无法编辑,在线用户注销后,用户可以编辑。
· 认证策略有效期录入用户,当认证策略里用户有效期过期后用户状态变为未启用状态,如果重新启用用户的话需要更换用户有效期为有效时间。
如4.1 图1所示,某公司内网搭建有第三方Radius服务器,用户名全部存放在radius服务器上,要求内网用户使用radius服务器上的用户进行认证,认证成功后用户录入设备做其它策略控制。具体要求如下:
· 内网用户进行Web认证上网,用户名和密码存储在Radius服务器上,认证成功后用户永久录入设备。
图33 用户认证功能配置组网图
· 配置Radius服务器对象,设备上的相关参数配置需要和服务器保持一致。
· 配置地址对象;
· 创建用户组,作为用户认证后的录入组;
· 配置控制策略允许上网;
· 全局配置启用第三方认证选择radius服务器;
· 配置用户策略触发认证。
本举例是在R6616版本上进行配置和验证的。
· 设备的配置Web认证时,允许用户的TCP三次握手报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用Web认证功能时,需要保证终端可以进行正常的HTTP访问。
· 如果需要实现访问某些资源时免Web认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除。目前仅支持排除IP地址,不支持排除域名。
通过菜单“用户管理>认证管理>认证服务器”,选择“新建>RADIUS服务器”,配置“服务器地址”为10.0.53.75,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>。进入如图2所示的页面。
图34 添加radius服务器
2. 配置地址对象
通过菜单“策略配置>对象管理 > 地址对象”,点击<新建>地址对象,配置内网用户和无线wifi地址对象。如图35所示。
3. 配置用户组对象
通过菜单“用户管理>用户组织结构”,单击<新建>用户组,配置radius用户组和无线wifi用户组,如图36示。
图36 配置Radius用户组
通过菜单“策略配置>控制策略”,点击<新建>控制策略,进入如图37所示的页面。
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择radius服务器,如图38所示。
图38 全局模式启用第三方radius配置效果图
配置内网用户认证策略,用户永久录入。
通过菜单进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“内网用户地址对象”,相关行为配置为“本地Web认证”,用户录入选择创建的“Radius-group”,有效期为永久录入,点击<提交>。如图39所示。
内网用户使用radius用户认证
如图40所示,内网终端进行HTTP访问,弹出如下本地Web认证页面,使用radius服务器上用户名、密码进行认证。
图40 内网用户使用第三方radius用户认证成功
如图41所示,设备在线用户显示第三方radius用户认证。
图41 Radius联动用户Web认证成功
通过菜单“用户管理>用户组织结构”,查看Radius-group用户组下,winradiusuer17用户已录入,如图42所示。
图42 Radius用户组下录入用户
如图43所示,编辑用户查看用户永不过期。
图43 RADIUS录入用户显示为永不过期
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
