• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

24-CAS认证典型配置

本章节下载 24-CAS认证典型配置  (338.83 KB)

24-CAS认证典型配置


1  简介

本文档用于介绍设备上CAS认证功能。CAS认证是设备与CAS服务器进行对接,使用CAS服务器的账号进行认证,通过认证后用户即可在设备侧上线,从而通过设备上网的功能。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解CAS认证功能特性。

3  使用限制

·              CAS服务器不支持服务器组。

·              CAS服务器规格为128个。

·              CAS认证时默认放通1分钟流量,需要在1分钟内完成认证。

·              设备无法即时感知用户帐号权限变化并进行相应处理,即用户在设备上认证上线后,在CAS服务器上注销或禁用用户,无法使用户在设备上下线。

·              用户名长度限制为1-127字符,超过127字符不能在设备上认证上线。

·              用户名支持中文数字字母以及字符(不包含空格'"`/\),用户名包含不支持的特殊字符进行认证可以认证成功,不支持的特殊字符用_代替。

·              HA主主环境需要在CAS服务器上配置两个回调地址,分别为主控设备接口地址和备控设备接口地址PortalURL。

·              HA环境主机上清除CAS认证无感知列表,备机不会同步清除,备机可以执行clear user-waa cas-waa命令进行清除。

·              CAS认证不支持IPv6。

 

4  配置举例

4.1  组网需求

某公司内网部署有CAS认证服务器,对用户进行统一认证。设备与CAS服务器进行对接,内网用户使用CAS服务器的账号进行认证,通过认证后用户即可在设备侧上线,对用户流量进行放行。

图1 CAS认证功能组网图

 

4.2  配置思路

(1)      配置接口地址

(2)      配置静态路由

(3)      配置NAT策略

(4)      配置DNS服务器

(5)      配置CAS服务器

(6)      配置CAS认证方式

(7)      配置认证策略

4.3  使用版本

本举例是在R6616版本上进行配置和验证的。

4.4  配置注意事项

·              要保证内网PC的报文过设备。

·              认证时设备需要对CAS服务器的流量临时放通,需要将CAS服务器的地址添加到CAS认证的自定义白名单中,或者设置设备的放通模式为“放通所有流量”。

4.5  配置步骤

4.5.1  配置设备

(1)      配置接口地址

进入“网络配置>接口配置”页面,点击ge1的编辑按钮,配置地址。

图2 配置接口地址

(2)      配置静态路由

进入“网络配置>路由管理>静态路由”,点击<新建>按钮,配置静态路由。

图3 配置静态路由

(3)      配置NAT策略

进入“策略配置>NAT转换策略”,点击<新建>按钮,配置NAT策略。

图4 配置源NAT规则

(4)      配置DNS服务器

进入“网络配置>基础网络>DNS服务>DNS服务器”,配置DNS服务器。

图5 配置DNS服务器

 

(5)      配置CAS服务器

进入“用户管理>认证管理>认证服务器”,点击<新建>按钮,选择CAS服务器,配置CAS服务器。

图6 配置CAS服务器

 

(6)      配置CAS认证

进入“用户管理>认证管理>认证方式>CAS认证”,配置CAS认证方式,引用已配置的认证服务器、配置超时时间、无感知等,配置完成后单击<提交>。

图7 配置CAS认证

(7)      配置认证方式白名单

选择“用户管理>认证管理>高级选项”,选择认证方式白名单页签,点击“CAS认证”后面的编辑按钮,将CAS服务器的地址添加到自定义白名单。

图8 配置认证方式白名单

 

(8)      配置认证策略

进入“用户管理>认证管理>认证策略”,点击<新建>按钮,配置CAS认证策略。启用认证策略,认证方式选择CAS认证,编辑相关信息,点击<提交>。

图9 配置CAS认证策略

 

4.6  验证配置

(1)      客户端打开浏览器,访问网站,跳转至CAS服务器登录页面,输入用户名密码进行登录。

图10 CAS服务器登录页面

(2)      在线用户展示已认证成功的用户信息。

进入“数据中心>系统监控>在线用户”,查看已认证成功用户。

图11 在线用户页面

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们