- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-用户同步典型配置
本章节下载: 09-用户同步典型配置 (761.61 KB)
目 录
本文档介绍设备用户同步配置举例,用户同步包含LDAP同步、ARP扫描、SNMP同步。同步成功录入设备的用户支持策略调用、QOS控制、策略路由等模块的引用控制。本文档主要针对用户同步中的LDAP同步和SNMP同步进行典型配置举例介绍。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解用户同步特性。
针对SNMP同步在配置前,需要做如下准备:
· 交换机上已开启SNMP代理功能。
· 设备的与交换机网络可达。
· LDAP同步条目128。
· SNMP同步条目64。
· Arp扫描条目64。
· LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。
· LDAP服务器用户名长度大于63字符后无法录入。
· LDAP服务器同步目前支持389明文传输,不支持636密文传输(不能与加密服务器交互,无法进行身份验证)。
· 只支持Windows AD域用户同步,不支持匿名同步用户。只支持OpenLdap服务器用户同步,不支持OpenLdap认证(OpenLdap同步的用户没有dn属性无法参与认证)。
· AD服务器上用户名超长(大于63字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。
· LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
· IPSec和sslvpn使用LDAP认证时,需保证本地存在该用户。
· 多个用户同步条目存在时,同步任务为串行,上面同步条目同步完成后在进行下面同步条目的同步。
· LDAP同步周期起始时间(0-23),间隔时间(1-24),例如起始时间8,间隔2,代表该同步条目每天8点开始同步,每隔2小时同步一次,晚上12点结束当天的同步任务。
· AD域用户更新密码后,使用同步的LDAP认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。
测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。
· 手动创建用户组、用户创建为本地用户,和LDAP服务器上组、用户名称一样,点LDAP同步,这个用户没法用LDAP认证,LDAP同步当存在重名用户时,只移动用户,不覆盖。
· LDAP组里第一个LDAP服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前不能处理跨域的LDAP组认证,需要保障LDAP组下地址可达,服务器密码正确。
· arp扫描只支持扫描设备同网段用户。
· 新建SNMP同步条目的MAC地址是与设备相连的交换机的地址。
· 设备的配置的团体名需要跟交换机上的团体名一致,团体字中不能包含中文。
· 开启SNMP同步及IP-MAC绑定后,交换机下的新用户IP-MAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。
· 在配置多个交换机时扫描开始后串行逐个扫描,待所有交换机扫描完毕后等待配置的更新时间后再开始下一轮扫描。
· 对于每次扫描结果如何处理:如果旧表中有对应MAC,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的MAC,等老化后删除。
· SNMP同步分两步:
1. SNMP协议跟交换机交互报文,来学习IP-MAC条目,并将IP-MAC条目存到文件中(网络好时报文交互快,学的也快)。
2.从文件中读IP-MAC,进行新旧对比并更新老化时间。
· 正常情况下,开启SNMP同步功能后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,判断当前时间-上次快速老化时间小于10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
· 快速老化机制:
1.IP-MAC表达到59000条时触发快速老化,将已经老化的IP-MAC全清掉,规格满直接丢新的条目。
2.两次快速老化的时间间隔是10分钟。
如图1所示,某公司的财务部、工程部员工实行固定设备使用静态绑定IP/MAC的方式上网,生产部员工使用LDAP服务器配置的用户账号认证上网,其网段分别是172.16.1.0/24、172.16.2.0/24和172.16.3.0/24,LDAP服务器的地址为172.16.0.20/24。工程部SNMP服务器地址为172.16.0.10/24。使用设备的ge0和ge1接口透明模式部署在网络中,在上配置用户同步。
按照组网图组网。
(1) 添加LDAP服务器
(2) 配置用户组
(3) 配置用户同步任务
(4) 配置用户认证地址对象
(5) 配置WEB认证参数
(6) 配置控制策略
(7) 全局配置启用第三方LDAP服务器
(8) 配置用户策略
本举例是在R6616版本上进行配置和验证的。
通过菜单“用户管理>认证管理>认证服务器”,点击<新建>LDAP服务器。进入如图2所示的页面。
图2 LDAP服务器配置
通过菜单“用户管理>用户组织结构”,单击选择“新建>用户组”,配置财务部和工程部用户组,如图3、图4所示。
(1) 配置LDAP同步
通过菜单“用户管理>用户同步”,单击选择“新建>LDAP同步”,进入LDAP同步配置页面。配置LDAP同步任务名称,选择LDAP服务器,选择开启同步周期并配置同步周期(每天的某个整点),或者选择关闭周期同步,如图5所示。
(2) 配置SNMP同步
通过菜单“用户管理>用户同步”,单击选择“新建>SNMP同步”,进入SNMP配置页面。配置SNMP同步任务名称,IP地址和MAC地址配置为SNMP server的IP地址和MAC地址,配置团体名和SNMP的版本号,选择开启周期同步并配置同步周期或者关闭周期同步(只在配置成功后同步一次),选择开启自动录入并配置同步结果的录入用户组,或者关闭自动录入由后期用户手动添加。如图6所示。
(3) 配置ARP扫描
通过菜单“用户管理>用户同步”,单击选择“新建>ARP扫描”,进入ARP扫描配置页面。配置“扫描网段”为财务部网段,选择配置是否开启周期同步,是否开启自动录入并选择录入用户的组织结构的用户组。如图7所示。
通过菜单“策略配置 > 对象管理 > 地址对象”,单击“新建>地址对象”,配置生产部地址对象。如图8所示。
通过菜单“用户管理>认证管理>认证方式 > 本地WEB认证”,勾选“允许重复登录”,配置“允许登录数”为无限制,单击<提交>。如图9所示。
图9 配置Web认证
通过菜单“策略配置>控制策略”,单击<新建>配置控制策略。如图10所示。配置用户组财务部、工程部和生产部(LDAP同步下来的用户组)允许访问
外网。
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证,选择LDAP服务器,如图11所示。
图11 全局模式启用第三方LDAP配置
通过菜单进入“用户管理>认证管理>认证策略”,单击<新建>,源地址配置为“生产部地址对象”,认证方式配置为“Web认证”,其它选项保持默认,单击<提交>。如图12所示。
(1) 进入“用户管理>用户组织结构”,查看“财务部”用户组。财务部ARP同步成功后,财务部固定设备的用户全部自动录入,用户静态绑定对应的IP,固定设备直接可以上网。如图13所示。
图13 财务部ARP同步用户
(2) 进入“用户管理>用户组织结构”,查看“工程部”用户组。工程部SNMP同步成功后,生产部固定设备的用户全部自动录入,用户静态绑定对应的IP/MAC,固定设备直接可以上网。如图14所示。
图14 工程部SNMP同步用户
(3) 进入“用户管理>用户组织结构”,查看“生产部”用户组。从LDAP成功同步了生产部的用户,同步了用户组“生产部”以及用户组的直属用户user1,user2,user3。如图15所示。
图15 生产部LDAP同步用户
(4) 在生产部网段(172.16.3.0/24)使用PC终端进行HTTP访问,弹出本地Web认证页面,使用LDAP联动用户user3(此用户在LDAP服务器上真实存在且已经通过LDAP同步功能录入到了设备本地用户组)认证成功,认证成功后可以正常访问外网。如图16所示。
图16 生产部LDAP用户认证页面
本文档介绍设备的数据库同步功能配置举例,在配置前,先了解如下定义:
· 应用场景:当用户有自己的认证系统进行认证,后台数据库为Postgresql数据库,且数据库中存在在线用户信息列表时,可以使用设备结合数据库进行单点登录完成自动认证。
· 数据库用户同步:客户已有一套数据库系统存储用户认证信息和组织结构信息的前提下,可以通过使用设备的数据库用户同步功能在Web界面上配置SQL查询语句,去主动查询数据库系统中的已认证用户列表,并同步到设备的在线用户列表中,从而实现用户通过数据库认证时,即通过设备的用户认证,同样,用户从数据库认证系统中注销,也自动完成了在设备上的注销(即数据库方式的单点登录/注销)。
·
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
在配置前,需要做如下准备:
· 客户已经拥有自己的Postgresql数据库,用户组织结构信息会存储在数据库中。
· 本文档假设您已了解数据库同步特性。
· 数据库同步任务最多支持64条。
· 数据库服务器里用户名或者用户组长度大于127字符后无法录入。
· 多个用户同步条目存在时,同步任务为串行,上面同步条目同步完成后在进行下面同步条目的同步。
· 数据库用户同步页面的SQL语句配置目前没有做限制,但是仅支持用户名和路径两个字段查询返回的数据解析。
· 数据库服务器不支持服务器组。
· 数据库同步,同步的用户名或者用户组含有不支持的特殊字符(空格'"`/\),同步后用_替换。
· 超过8级的用户组织结构无法同步录入。
· 一次最多只支持同步6W个用户。
· 当数据库存在同名用户时,同步后只录入最先录入的那个用户名。
如图17所示,某客户内网办公网段的IP地址为172.16.11.0/24,其中三层交换机172.16.11.1/24作为网关,办公用户使用组织结构系统将用户名/path等用户信息存储在Postgresql数据库服务器中,设备作为网关出口设备开启数据库同步功能,获取数据库中用户信息,并同步到设备用户组织结构中。
(1) 按照组网图组网
(2) 配置网络接口
(3) 配置静态路由
(4) 配置源NAT
(5) 配置数据库服务器
(6) 配置数据库同步功能
本举例是在R6616版本上进行配置和验证的。
如图18、图19所示,进入“网络配置>接口配置”,点击编辑GE3、GE0接口,把GE3、GE0的地址分别配置为172.16.10.1/24、172.16.30.2/24。
如图20所示,进入“网络管理>路由管理>静态路由”页面,新建配置访问外网的默认路由。
如图21所示,进入“策略配置>NAT转换策略>源NAT”页面,新建配置ge0接口源NAT。
如图22所示,进入“策略配置>认证管理>认证服务器”页面,新建数据库服务器配置如下参数,所有参数与数据库服务器信息保持一致,然后点击<提交>。
如图23所示,进入“策略配置>用户管理>用户同步”,单击选择“新建>数据库同步”,进入数据库同步配置页面,配置完成之后,点击<提交>。
图23 配置数据库同步功能
进入“用户管理>用户组织结构”,查看“数据库同步”用户组。数据库同步成功后,数据库里的用户及组织结构全部自动录入,如下图所示。
图24 数据库同步用户及组织结构
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
