27-用户自注册典型配置
本章节下载: 27-用户自注册典型配置 (454.04 KB)
本地Web认证支持用户自注册功能,根据选择的用户自注册对象,在用户认证页面给用户提供自注册账号的功能。通过用户自注册代替管理员注册的方式来实现用户账号的获取,进而通过认证进行上网。用户自注册对象按照注册对象分为以下两种:
· 账号注册:通过申请账号,审批通过后可在任意终端上,通过账号进行认证登录。
· 终端注册:通过绑定IP或Mac来申请终端,审批通过后必须使用绑定的终端进行登录,并无需认证直接可以上网。
2 配置前提
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解认证策略特性。
3 使用限制
· 自注册申请的审批只能在WEB页面上操作,不支持命令行操作。
· 终端注册绑定MAC地址时,跨三层环境必须开启跨三层识别。
· 注册用户所属组选择认证策略所属组时,如果认证策略未配置录入组,则录入组为默认组。
· 审批自注册申请时,如果申请已经超时,则审批结果为拒绝,审批原因为已超过审批时间。
· 审批自注册申请时,如果认证策略引用自注册对象已经被删除,则自动将审批拒绝,审批原因为已超过审批时间。
· 审批结果目前仅支持邮箱通知。
· 注意导出配置不包含审批列表,保存配置重启审批列表还在,如果把配置文件导出后导入到其他设备,则不包含审批列表。
· 用户自注册只支持本地WEB认证及混合认证中的本地WEB认证。
· 审批列表可以申请的最大规格为用户的1/3。
· 已经审批的用户不保存配置重启用户信息会丢。
· 审批自注册用户时是否会发送邮件取决于审批时引用的自注册对象是否勾选了邮件通知。
· 命令行新建的终端注册,必选项比如绑定IP、mac默认不选,此时该对象无法正确生效。
4 配置举例
· 内网用户使用固定IP,通过设备绑定终端IP进行上网;
· 当临时用户需要使用网络时,可通过注册账户进行上网,自由度较高,无需管理员过多维护,账号过期后由管理员统一删除。
图1 用户自注册配置举例组网图
· 配置自注册对象
· 配置认证策略
· 提交自注册
· 管理员审核
· 认证成功
本举例是在R6616版本上进行配置和验证的。
自注册对象的审批方式设置为“需要审批”时,需要指定审批人。
(1) 配置设备的接口,进入“网络配置>接口配置”,配置接口ge0的IP地址为:192.168.2.173/24,ge1的IP地址为10.0.153.1。
图2 配置接口地址ge0
图3 配置接口地址ge1
(2) 配置静态路由
配置设备为路由模式,进入“网络配置>路由管理>静态路由”,点击新建配置静态路由。
图4 配置静态路由
(3) 配置NAT
进入“策略配置>NAT转换策略”,点击新建,配置NAT策略,如下图所示。
图5 配置NAT策略
(1) 创建自注册对象。进入“用户管理>认证管理>用户自注册”,选择“新建>账号注册”,输入名称,选择用户录入的组,账号有效期默认永久,如下图所示。
图6 创建自注册对象
(2) 设置审批员,单击“提交”后选择进入“审批设置”页面,如下图所示。
图7 审批设置页面
(3) 单击“提交”完成设置。
进入“用户管理>认证管理>认证策略”单击<新建>进入用户认证策略配置页面。输入名称,选择自注册对象,并勾选启用,其他为默认配置即可,如下图所示。
(1) 内网用户通过设备访问外网弹出认证页面,登录按钮旁边会显示注册按钮,点击注册。如下图所示。
图8 用户认证注册页面
(2) 填写自注册信息,填写必填信息后点击<提交>。
图9 自注册页面
使用审批员账号登录设备Web页面,进入“用户管理>认证管理>用户自注册>审批列表”,可以查看已注册的用户对象,选择审批通过后提交。
图10 审批通过页面
(1) 使用已注册的账号密码登录成功,如下图所示。
图11 认证登录成功页面
(2) 进入“用户管理>用户组织结构”,可以查看用户组中加入的注册用户。
图12 认证成功
图13 用户组织结构页面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!