21-用户和用户认证
本章节下载: 21-用户和用户认证 (6.43 MB)
目 录
用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。
根据用户的认证状态,可以将用户分为两类:匿名用户和认证用户。
· 匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户IP作为匿名用户的用户名。
· 认证用户, 是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、短信认证、微信认证、访客二维码认证、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证,认证用户所使用的IP地址可以是IPv4地址也可以是IPv6地址。
根据不同的用户分类,可以采取不同的用户策略,对用户的网络访问等进行权限限制和监控。
通过用户组织结构可以清晰的将每个用户按照组织架构进行分类处理,方便管理和维护。用户组织结构包含本地用户结构、本地属性结构和域用户结构。本地属性结构是为每个用户附加一个或者多个属性,这样可以通过属性组的方式将某一类用户进行管控;域用户结构是从LDAP服务器同步的用户结构。
· 本地用户结构组包含用户和用户组,用户组可以包含用户和用户组,支持8级层级,每个层级支持1024个节点。
· 属性组没有层级结构,全部属性组组使用并列的形式。
· 同一用户在本地用户结构组中仅可出现一次。
· 属性组中相同用户可以同时存在于多个属性组。
· 域用户结构和LDAP服务器上保持一致,域用户结构内的用户和用户组不能操作,即不能新增、编辑、删除,只可查看。
· 域用户不限制总的目录层级,只要总路径长度不超过1279个字节即可成功录入。
· 本地用户结构和域用户结构用户组和用户共用一个规格。
在导航栏中选择“用户管理 > 用户组织结构”,选择用户显示页面,如图1-1所示。
页面的详细说明如表1-1所示。
项目 |
说明 |
组织结构 |
以树形结构的方式展示所有用户的组织结构信息,最大支持8级的组织结构。 |
名称 |
该用户组下的用户或者下一级用户组的名称,1-127字符。 |
描述 |
用户组或者用户的描述信息,没有则为空。 |
类型 |
此行对应的是用户组或用户。 |
所属用户组 |
上一级用户组的名称,如果该用户组的所属用户组为“/”,则表示该用户的上一级用户组为根组。 |
绑定范围 |
显示该用户绑定的IP或者MAC地址。 |
状态 |
该用户是否生效。 |
引用 |
该用户在系统中被策略引用的次数。 |
操作 |
可以修改或者删除该用户或者用户组,被引用或者预定义的用户和用户组不能被删除。 |
选择“用户管理 > 用户组织结构”,将鼠标移至<新建>按钮,在下拉框中选择“组”,进入用户组的新建页面,如图1-2所示。
页面的详细说明如表1-2所示。
项目 |
说明 |
名称 |
用户组的名称。1~127字符。 |
描述 |
用户组的描述(可选)。 |
路径 |
选择用户组的上级部门。只支持添加到本地用户结构中,不支持添加到本地属性结构组。 |
IP/IP地址段 |
设置用户组的IP或IP地址段,支持IPv4和IPv6。 |
按照需求输入对应的项目后,单击<提交>,即可将该用户组加入到选择的路径下。
选择“用户管理>用户”,将鼠标移至<新建>按钮,在下拉框中选择“用户”,进入用户的新建页面,如图1-3所示。
页面的详细说明如表1-3所示。
项目 |
说明 |
启用 |
用户是否启用。 |
登录名 |
用户的名称。 |
描述 |
关于用户的描述。 |
所属组 |
用户所属于的用户组。 |
本地密码 |
勾选之后设置用户的本地密码,不勾选代表此用户为无密码或者为第三方服务器认证用户,密码记录在地三方服务器。 |
确认密码 |
重新确认一次密码,防止误操作。 |
允许修改密码 |
允许本地认证用户修改登录密码。 |
初次认证修改密码 |
强制本地认证用户在第一登录时修改密码。 |
绑定范围 |
用户登录的地址范围,支持IPv4/IPv6主机,IPv4/IPv6地址范围,网络和mac地址的绑定。 同时设置了本地密码和绑定范围后,如果上线用户属于绑定范围,则在线用户列表中展示的用户名为登录名中所设置的用户名,否则展示的用户名为IP地址,展示的认证方式为“未认证”。 如果上线用户不属于绑定范围,且上网IP匹配本地认证策略,则该用户可以使用本地密码进行身份认证。认证成功后,在线用户列表中展示的认证方式为“本地认证”。 |
排除地址范围 |
设置绑定范围内的排除IP地址或地址段,即不应用静态绑定的IP地址或地址段,只支持IPv4地址。 |
点击“高级选项”页签,切换到用户的高级选项配置页面,如下图所示。
图1-4 用户高级配置页面
表1-4 用户高级配置页面详细说明
项目 |
说明 |
用户登录唯一性检查 |
是否启用用户唯一性检查的配置方式,勾选为启用。 |
单一账号登录 |
同一时间只允许同一账号登录一次。 启用单一账号登录后,可针对已登录用户做如下2种处理方式: · 踢出已登录用户:如果新用户登录,老的用户将会被踢下线; · 禁止同名用户再次登录:如果老用户已经登录,新用户将不能以此用户名登录。 |
允许重复登录 |
同一时间允许同一账号登录多次。 启用允许重复登录后,允许个数支持无限制和限制登录个数。 |
账户过期时间 |
账号有效期,可选择永不过期或者在某天后过期。 |
自定义属性 |
配置用户属性,点击<新建>选择自定义的属性名和属性值,也可以选择文本,自定义属性。选择文本时自定义的属性值不会同步显示在“用户管理>高级选项”的自定义属性列表中。 选择用户管理,在菜单栏选择“用户管理>高级选项”可以自定义属性,详细配置请参考高级选项。 |
按照需求输入对应的项目后,单击<提交>,即可将该用户加入到选择的用户组下。
在组信息显示页面,勾选中用户或者用户组后,单击列表上方的<删除>按钮,或者单击对应用户或用户组操作中的<删除>按钮,如图1-5所示,可以删除对应的用户组或者用户。
根据创建用户的来源不同,在用户组织结构中的用户信息中显示该用户的创建属性,例如管理员添加、ARP扫描录入、认证录入等。
仅用户支持创建属性,用户组不支持创建属性,且创建属性不支持导入导出。
如果用户的创建属性非管理员添加时,管理员点击用户的编辑按钮,编辑相关信息,点击<提交>,会提示“该用户非管理员创建,是否转换为自建用户?”。
点击<确定>会进行创建属性的变更,该用户的创建属性变更为“管理员添加”。
选择“用户管理>用户组织结构”,查看设备上已配置的所有用户和用户组,当用户或用户组被其他策略引用后,会显示用户或用户组被引用的次数,未被引用的则显示为0。
点击引用次数,可以查看该用户/用户组被策略引用的详细信息。
在用户显示页面,勾选需要导出的用户和用户组信息,再单击页面上方的<导出>按钮,可以将所选的本地用户和用户组导出成csv文件。
图1-6 导出用户组
导出的文件中只包含勾选的用户或者用户组信息,用户组内的用户或者下一级用户组信息不能导出。
在用户显示页面单击<导入>按钮,弹出导入用户弹窗,在弹窗的左下角单击“下载模板”,可以下载用户导入模板,将用户和用户组信息录入模板后,在弹窗的上传文件名称中选择修改后的模板,并勾选需要的选项,单击<提交>按钮即可将用户或者用户组导入到系统中。
图1-7 导入用户组
导入用户的详细说明如所示。
表1-5 导入用户详细说明
项目 |
说明 |
上传文件名称 |
选择本地已经录入用户的模板文件。 |
当用户所属组不存在时,自动创建 |
勾选后,如所填写的所属用户组在本地不存在,则自动创建该用户组。 |
对本地已经存在的用户 |
可以选择继续覆盖本地用户或者跳过该用户的导入。 |
对有本地密码的用户,要求初次登录时修改初始密码 |
勾选后,有本地密码的用户首次登录时要求修改初始密码。 |
通过用户和用户组移动功能,可以同时将多个用户或者用户组以及用户组中的子用户组和用户移动到指定的用户组中。
通过菜单“用户管理 > 用户组织结构”,选择勾选需要移动的用户或者用户组(也可以通过选择按钮快捷选择用户和用户组),单击<移动>,在用户组选择弹窗中单击目标用户组,即可将选中的用户和用户组移动到目标用户组中。如图1-8所示。
使用用户批量编辑功能,可以同时对多个用户属性进行编辑。
仅用户支持批量编辑功能,用户组不支持批量编辑。
选择“用户管理>用户组织结构”,进入用户列表,勾选需要批量修改的用户,单击列表上方的<批量编辑>按钮,即可进入批量编辑用户页面。如图1-9所示。
批量编辑用户页面的详细说明如下表所示。
表1-6 批量编辑用户页面说明
标题项 |
说明 |
用户 |
进行批量编辑的用户 |
用户状态 |
勾选则修改用户状态,不勾选则不修改用户状态 勾选后,选择启用则选择的用户状态批量修改为启用;选择禁用则批量修改为禁用。 |
密码设置 |
选择用户的密码统一重置密码。 勾选允许修改密码则用户允许自行修改密码 勾选初次认证修改密码则用户初次登录是强制修改密码。 |
选择“用户管理>用户组织架构”,在左侧导航树中选择本地属性结构展示系统上已配置的所有属性组。属性组没有层级结构,即属性组内只能包含用户,不能包含用户组,且组内用户全部为并列结构。
点击<新建>并从下拉框选择“组”创建新的属性组,编辑相关信息,点击<提交>。
详细配置请参见下表。
配置项 |
说明 |
名称 |
输入属性组名称。 |
描述 |
添加属性组的描述信息(可选)。 |
自定义属性 |
属性组赋予的属性,点击<新建>可以给该属性组赋予属性。 |
也可以通过直接上传csv文件的方式导入属性组,或将当前配置的属性组以csv文件格式导出。
导入属性组的操作方法如下:
点击<导入>,在弹出的导入用户对话框中点击<下载模板>,下载模板文件至本地。
根据模板文件示例编辑模板文件并保存。
在导入用户对话框中点击<选择文件>,选择编辑好的模板文件,设置相关选项,点击<提交>即可导入属性组。
导出用户的操作方法如下:
勾选要导出的属性组,点击<导出>,即可将属性组信息导出至本地。
通过LDAP服务器上的用户。通过LDAP同步将LDAP服务器上的用户同步到设备后,AD域上的用户或用户组会同步到域用户结构下。LDAP同步的详细配置请参考LDAP同步。
LDAP同步任务被删除或者任务禁用,域用户结构中的用户也会随之删除。
为了实现用户管理在其使用场景上的易用性,对用户管理相关功能进行优化。用户同步包括LDAP同步、SNMP同步、ARP扫描和数据库同步,其中LDAP同步需要先配置LDAP服务器后,在LDAP同步里调用LDAP服务器进行同步,LDAP服务器的配置可参考“用户和用户认证”章节的相关内容。
同步成功录入设备的用户支持在线用户识别、策略调用、QOS控制、策略路由等模块的引用控制。
· LDAP同步:通过LDAP协议报文将LDAP服务器上的用户同步到本地,然后可以按照实际需求分别对同步下来的用户组和用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等,LDAP同步分为两种同步类型,分别为按OU(组织单位)同步和按安全组同步,配置为按OU同步时即按照OU区分所属用户组,按照LDAP服务器上OU的配置来进行同步,即每个OU同步下来后为一个用户组,此OU下包含的OU和用户也分别对应到此用户组下的用户组和用户,同理配置为按安全组同步时按照安全组区分所属用户组,即每个安全组同步下来后为一个安全组,此安全组下包含的安全组和安全组下的用户,同一个用户可以从属多个安全组,同步到设备组织结构处的安全组和安全组下的用户不允许编辑,只有AD服务器上安全组或用户发送变化的时候点击同步同步或组织结构处的安全组名称进行触发一次ldap同步,保证设备的ldap安全组用户和AD上一致。配置按照OU同步时,安全组就不会同步下来作为用户组了,同理如果配置为安全组,那此BASE DN下的OU也就不会被同步下来作为用户组了;可以开启自动同步,开启自动同步后需配置起始时间和间隔时间,起始时间表示在每天的这个时间点进行同步,间隔时间表示本次执行同步后每经过配置的间隔时间后再执行同步。
· SNMP同步:通过SNMP协议报文获取三层交换机上的ARP表,从而得到了内网PC真实的IP和MAC地址对应关系,同步下来的IP地址和MAC地址的对应关系可以录入到用户组也可以进行IP-MAC绑定。录入到用户组支持手工录入和自动录入,录入的用户以IP地址作为用户名,绑定其IP及MAC地址,即此IP或MAC其中任何一个匹配均认为是此用户,此同步录入的用户属于静态绑定的用户,不会再进行其它方式的认证同时用户录入到本地后,可以针对此录入的用户组或用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等。SNMP同步支持任务周期配置,即每经过任务周期的时间进行一次同步,支持配置时间为2-36000秒。
· ARP扫描:通过ARP请求报文来获取内网PC的IP和MAC地址对应关系,同步下来的IP地址和MAC地址的对应关系可以录入到用户组也可以进行IP-MAC绑定。录入到用户组支持手工录入和自动录入,录入的用户以IP地址作为用户名,绑定其IP地址,此同步录入的用户属于静态绑定的用户,不会再进行其它方式的认证同时用户录入到本地后,可以针对此录入的用户组或用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等。ARP扫描支持任务周期配置,即每经过任务周期的时间进行一次同步,支持配置时间为10-36000秒。由于ARP报文为二层报文,无法跨越三层网络,因此要求ARP扫描的网段必须是设备接口的直连网段。
LDAP同步主要是通过LDAP协议报文来获取配置的Base DN下的用户组织关系,以用户组(配置按OU同步时,即按照LDAP服务器上的OU来区分录入用户组配置,配置按安全组同步时,即LDAP服务器上的安全组来区分录入用户组配置 )单元为单位,循环读取从LDAP服务器上发送回来的用户组及其包含的用户信息。
检查获取的用户组及用户数量是否到达或超过本地设备规格,若到达设备最大规格则将获取的信息丢弃结束同步过程,否则检查是否超过用户组用户最大规格,若超过则跳过此用户组单元,继续获取下一个用户组单元,直至获取完成或者到达设备规格;如不超过则将获取到的用户组及用户信息先保存到本地缓存中。
当一个用户组单元的信息获取完整后,将本地设备中同属于一个LDAP服务器的用户及用户组置LDAP标记,然后将获取的用户组单元信息其下发给DPLAN用以用户的认证以及设备本地用户的添加保存。在DPLAN保存用户及用户组时将已存在的用户及用户组的LDAP标记取消。
同步完成初始化同步标识等变量,释放已建立的会话,结束同步。
SNMP同步主要是设备通过SNMP协议学习三层交换机上的ARP表,获得内网PC的IP和MAC对应关系,设备会通过SNMP报文去请求交换机上记录ARP表的mib节点来获取到其上面的IP与MAC的对应关系,然后根据配置选择是否自动录入到相应的用户组或者通过同步结果手工执行录入到用户组或IP-MAC绑定.。
l 交换机上已开启SNMP代理功能。
l 设备与交换机网络可达。
l 设备上配置的团体字与交换机团体字一致。
ARP扫描主要通过ARP协议探测同网段主机地址,从而获取到内网PC的IP地址和MAC的对应关系。设备根据配置的扫描网段依次发送ARP请求报文,监听ARP回复报文来获取对应的MAC地址,然后根据配置选择是否自动录入到相应的用户组或者通过同步结果手工执行录入到用户组或IP-MAC绑定.。
ARP扫描地址段必须是和设备同一网段.
在导航栏中选择“用户管理>用户管理>用户同步”,进入用户同步任务页面,可查看已配置的用户同步任务,如图1-10所示。
用户同步任务页面详细信息如表1-7所示
标题项 |
说明 |
新建 |
新建任务 |
删除 |
批量删除任务 |
启用 |
启用同步条目 |
禁用 |
禁用同步条目 |
名称 |
任务名称 |
描述 |
任务描述 |
状态 |
任务状态 · 启用 · 禁用 |
同步类型 |
· LDAP同步 · SNMP同步 · ARP扫描 |
同步周期 |
任务执行的周期 |
自动录入 |
是或者否 |
同步状态 |
任务执行状态结果,同步成功或者同步失败。 |
操作 |
立即同步,单击即可执行同步任务; 同步结果,单击显示同步结果; 编辑,单击进入任务编辑页面; 删除,删除同步任务。 |
在导航栏中选择“用户管理>用户管理>用户同步”,单击<新建>按钮,选择<LDAP同步>进入LDAP同步配置界面,如图1-11所示;LDAP同步详细参数如表1-8所示。
图1-11 LDAP同步配置界面
表1-8 LDAP同步界面参数说明
参数 |
说明 |
启用 |
Ldap同步条目启用。 |
名称 |
LDAP同步条目名称。1~63字符。 |
描述 |
LDAP同步描述信息。 |
LDAP服务器 |
选择引用的LDAP服务器。 |
同步类型 |
· 按OU同步:OU同步AD域下OU用户;一个用户只能从属一个OU组。 · 按安全组同步:安全组同步AD域下组用户;一个用户可以从属多个安全组。 |
自动同步 |
启用或禁用自动同步功能。 |
自动录入 |
不勾选时域用户不录入本地,勾选后域用户录入本地用户组织结构。 |
起始时间 |
LDAP同步条目创建后开始同步的时间。 |
间隔时间 |
LDAP同步条目创建后按照时间间隔进行同步。 |
用户组 |
LDAP用户同步到某一用户组 |
(1) 配置SNMP同步
在导航栏中选择“用户管理>用户管理>用户同步”,单击<新建>按钮,选择<SNMP同步> 进入SNMP同步配置界面,如图1-12所示;SNMP同步详细参数如表1-9所示。
图1-12 SNMP同步配置界面
表1-9 SNMP同步界面参数说明
参数 |
说明 |
启用 |
SNMP同步功能启用、禁用。 |
名称 |
SNMP同步条目名称。1~63字符。 |
描述 |
SNMP同步描述信息。 |
IP地址 |
交换机ip地址,需要与设备互通。 |
MAC地址 |
与设备相连的交换机接口的IP/MAC地址。 |
团体名 |
交换机启用SNMP功能所配置的团体字。 |
版本号 |
交换机SNMP版本号,支持V1、V2和V3。 |
任务周期 |
启用后按照所配置的时间进行SNMP用户同步。 |
自动录入 |
启用后同步用户录入设备可选指定用户组录入用户,不启用只同步不录入。 |
录入方式 |
默认录入:以IP地址作为录入名,绑定IP地址及MAC地址; IP录入:以IP地址作为录入名,只绑定IP地址; MAC录入:以MAC地址作为录入名,只绑定MAC地址。 |
IPMAC自动绑定 |
启用后,设备自动把第一次学到的IP/MAC进行唯一性绑定,无需手工绑定。 |
创建完成后,在用户同步页签右侧“操作”列下点击 图标立即执行SNMP同步任务,或点击 图标查看同步结果。如果同步的用户信息中IP、MAC地址匹配到IP-MAC绑定中的条目,状态栏下会展示“已绑定”,否则会展示“未绑定”。有关IP-MAC绑定的更多信息请参考IP-MAC绑定。
(2) 配置用户MAC敏感
SNMP同步场景下需要配合用户MAC敏感功能一起使用.
user mac-sensitive 命令用来配置用户识别是否对MAC变化保持敏感。
【命令】
user mac-sensitive{enable|disable}
【视图】
(config)#视图
【参数】
enable:开启用户MAC敏感,用户MAC发生变化后会被踢下线重新识别。
disable:关闭用户MAC敏感。
【使用指导】
用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。
说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。
【举例】
# 配置用户MAC敏感
Host(config)# user mac-sensitive enable 开启用户MAC敏感
Host (config)# user mac-sensitive disable 关闭用户MAC敏感
在导航栏中选择“用户管理>用户管理>用户同步”,单击<新建>按钮,选择<ARP扫描> 进入ARP扫描配置界面,如图1-13所示;ARP扫描详细参数如表1-10所示。
图1-13 ARP扫描配置界面
表1-10 ARP扫描界面参数说明
参数 |
说明 |
启用 |
ARP扫描功能启用、禁用。启用该功能后,设备将自动同步ARP广播域内所扫描到的所有用户。 |
名称 |
ARP扫描条目名称。1~63字符。 |
描述 |
ARP扫描描述信息。 |
扫描网段 |
需要和设备是同一网段,例如接口192.168.1.1/24,扫描需要配置成192.168.1.0/24。 |
任务周期 |
启用后按照所配置的时间进行ARP扫描同步。 |
自动录入 |
启用后同步用户录入设备可选指定用户组录入用户,不启用只同步不录入。 |
IPMAC自动绑定 |
启用后,设备自动把第一次学到的IP/MAC进行唯一性绑定,无需手工绑定。 |
创建完成后,在右侧操作列下点击 图标立即执行ARP扫描任务,点击 图标展示同步结果。
在用户已有一套数据库系统存储用户组织结构信息的前提下,可以通过使用设备的数据库同步功能在Web界面上配置SQL查询语句,去主动查询数据库系统中的用户组织结构列表,并同步到设备的用户组织结构中,从而实现用户通过数据库认证时,即通过设备的用户认证,同样,用户从数据库认证系统中注销,也自动完成了在设备上的注销,即单点登录/注销。
在用户同步页面点击<新建>并从下拉框选择<数据库同步>创建新的数据库同步任务,编辑相关信息,点击<提交>。
详细配置请参见下表。
配置项 |
说明 |
启用 |
数据库同步功能启用、禁用。 |
名称 |
数据库同步条目名称。 |
描述 |
数据库同步描述信息。 |
自动同步 |
勾选复选框启用自动同步功能,并设置自动同步的间隔时间。 |
数据库服务器 |
选择要用于同步用户信息的数据库服务器。点击<新建>可以创建数据库服务器,详细配置请参考数据库服务器。 |
执行同步的SQL语句 |
获取组织结构的SQL语句,例如:SELECT 用户名,组名FROM 组织结构信息列表。 |
组路径分割符 |
组路径默认分隔符为/,若数据库中不是以/为分隔符,则需要向用户了解并填写正确的分隔符,才能正确同步结构。 |
录入的组路径 |
数据库同步到的组织结构信息导入到指定的组织结构目录下。 |
测试有效性 |
点击后,弹出窗口显示SQL语句的执行结果。 |
创建完成后,在右侧操作列下点击 图标立即执行ARP扫描任务,点击 图标展示同步结果。
可将用户终端的IP及MAC进行绑定,增强用户访问网络的安全性。启用该功能后,通过设备报文的MAC和IP地址必须与绑定关系保持严格一致,否则报文将被丢弃。
选择“用户管理>IP-MAC绑定”,查看设备上已有的IP-MAC绑定配置。
新建IP-MAC绑定条目的操作方法如下:
点击<新建>,编辑相关信息,点击<提交>。
IP-MAC绑定配置项及详细说明如下。
配置项 |
说明 |
名称 |
输入IP-MAC绑定条目的名称。1~63字符。 |
描述 |
输入IP-MAC绑定条目的描述信息(可选)。 |
IP地址/MAC地址 |
输入绑定的IP地址和MAC地址。 |
唯一性 |
勾选复选框后,一个MAC地址只能与一个IP地址绑定,否则一个MAC地址可以与多个IP地址绑定。 |
其他操作:
· 在操作列下点击图标修改已有的条目。
· 点击<下载模板>,可下载模板文件,编辑模板文件并保存。之后点击<导入>,选择编辑后的模板文件,即可批量导入IP-MAC绑定条目。
· 点击<导出>,导出IP-MAC条目。
用户可以创建自定义属性的属性名(key)和属性值(value),在用户及属性组配置页面,可以引用自定义的属性。引用的属性组为一个或者多个“key-value”组合,多个组合之间是“与”的关系,即同时满足“key-value”组合的用户,能与该属性组匹配;配置策略时可以引用属性组,该属性组下的用户匹配对应的策略;所有用户都可以具备一样的属性。
选择“用户管理>高级选项”,进入自定义属性界面,展示系统上已配置的所有自定义属性信息。
点击<新建>,编辑相关信息,点击<提交>。
自定义属性配置项及详细说明如下。
配置项 |
说明 |
属性名 |
用户属性名。 |
属性值 |
用户属性值,多个属性以回车分隔,最多可配置128个。 |
如果删除自定义属性的属性名,即删除该自定义属性后会同步删除所有用户和属性组中对应的自定义属性;如果删除自定义属性中的属性值,则对应的用户和属性组里的属性值不会删除,只是变成文本显示。
用户认证配置的推荐步骤如表2-1所示。
配置任务 |
说明 |
详细配置 |
配置用户和用户组 |
必选 |
|
配置认证服务器 |
可选(使用第三方认证服务器时选择。) |
|
第三方用户同步 |
可选(使用第三方认证服务器时选择。) |
|
配置高级选项 |
必选 |
|
配置认证设置 |
必选 |
|
配置认证策略 |
可选 |
认证策略录入配置主要针对第三方用户,目的是将存在于第三方的用户加入设备,便于做策略限制等。
图2-1 用户认证策略流程图
在导航栏中选择“用户管理 > 认证管理 > 认证策略”,单击<新建>按钮,进入认证策略的配置界面,如图所示。
图2-2 认证策略配置界面
认证策略参数详细说明,如图所示
表2-2 认证策略配置参数详细说明
标题 |
说明 |
启用 |
认证策略启用或禁用,认证策略只有启用才能生效。 |
名称 |
认证策略的名称。1~63字符。 |
描述 |
认证策略描述信息填写。 |
源接口 |
认证策略源接口。 |
源地址 |
认证策略源地址对象或地址组,可直接新建地址对象。 |
目的接口 |
认证策略目的接口。 |
目的地址 |
认证策略目的地址对象或地址组,可直接新建地址对象。 |
认证方式 |
认证策略认证方式可选本地WEB认证、微信认证、短信认证、Portal Server认证、免认证、SAM认证、单点登录、访客二维码认证、混合认证、IC卡认证、APP认证、POP3认证、钉钉认证、酒店会员认证、第三方小程序认证、企业微信认证、CAS认证、OAUTH认证。 |
时间 |
认证策略时间对象,时间对象有效期内策略生效,时间对象无效的时候认证策略为禁用状态。 |
启用自注册 |
选择是否启用自注册,选择新建的自注册对象。 |
用户组 |
默认不选择用户组,第三方用户认证成功后不录入用户;选择用户组后,第三方用户认证成功后录入指定的用户组。 该功能主要针对于第三方认证的用户,目的将存储在第三方服务器的用户导入设备。如果需要对第三方认证的用户进行策略限制等,建议选择录入指定的用户组。 |
用户有效时间 |
用户有效期指的是第三方用户录入方式: · 永久录入:第三方用户认证成功后录入指定组,永久有效。 · 有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。 · 临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。 |
IP-MAC绑定 |
认证录入用户时对用户的IP和MAC进行绑定,保证终端一对一接入网络。 |
录入用户绑定 |
用户认证之后将用户名和IP或者MAC进行绑定,在有效期内,用户可以直接上线,不需要认证,也不需要一直有流量触发。 |
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 本地WEB认证”,进入本地WEB认证配置页面,页面显示了当前的本地WEB认证配置,如图2-3所示。
图2-3 本地WEB认证配置页面(允许重复登录)
系统默认选择允许重复登录,如果选择单一账号登录点选框,页面如图2-4所示。
图2-4 本地WEB认证配置页面(单一账号登录)
页面的详细说明如表2-3所示。
表2-3 本地WEB认证配置详细说明
项目 |
说明 |
用户唯一性检查 |
用户唯一性检查的配置方式。 |
单一账户登录 |
同一时间只允许同一账号登录一次。 |
踢出已登录用户 |
如果新用户登录,老的用户将会被踢下线。 |
禁止同名用户再次登录 |
如果老用户已经登录,新用户将不能以此用户名登录。 |
允许重复登录 |
同一时间允许同一账号登录多次。 |
允许个数 |
允许同一账号登录的次数,可以选择无限制,也可以设定2到1000的数值。 |
加密认证 |
勾选后,认证过程中对终端与设备之间的认证报文进行加密处理。 如密码存储在LDAP、RADIUS等第三方服务器上,终端与设备之间的认证报文进行加密处理,但设备与服务器之间的交互报文不加密。 |
客户端超时 |
配置客户端超时方式和超时时间,超时方式包含:心跳超时、流量超时。 心跳超时:用户认证上线后的页面会定期发心跳报文,如果页面关闭心跳报文会停止发送,如果超过超时时间设备未收到心跳报文会将用户踢下线发送; 流量超时:设备检测用户产生流量,如果超过超时时间都未检测到用户流量会将用户踢下线 ; 不勾选超时时间默认不超时 |
强制重登录间隔 |
WEB强制重新认证时间。如果开启无感知,用户被强制重登录踢下线后,会重新匹配无感知上线。 |
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户上线后会将用户MAC加入无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会直接匹配无感知列表上线,无需再次认证。 |
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
输入完毕后,点击<提交>按钮,应用配置。
微信认证支持两种认证方式:
· 通过认证URL认证。用户单击公众号指定的超链接(认证URL),该报文被设备截获,并与设备配置的认证URL进行对比,如果匹配则认证成功,并以终端IP为用户名上线。
· 通过小程序认证。用户授权小程序完成认证,小程序将获取的OpenID和手机号发给设备,设备以此将终端上线,支持公众号唤醒小程序方式或者浏览器唤醒小程序方式。
· 通过认证URL认证的流程如下:
(1) 用户访问外网触发弹出认证页面,认证页面说明认证的步骤以及商家公众号信息。
(2) 用户单击认证页面上的认证按钮,设备临时放通终端的流量,唤醒微信。
(3) 用户根据认证页面的提示,手动搜索公众号并关注(也可以通过扫码)。然后在公众号中输入关键字(比如:我要上网)或单击菜单。
(4) 公众平台根据之前的配置,对关键字或菜单请求返回认证URL,并向用户呈现为带超链接的文本信息(比如:点我上网)。
(5) 用户单击该文本信息,微信对认证URL发起访问。
(6) 设备劫持该请求,判断是否是微信流量、并与设备配置的认证URL进行匹配,并以终端的IP为用户名将用户上线,完成微信认证。
· 通过公众号唤醒小程序认证的流程如下:
(1) 用户访问外网触发弹出认证页面,认证页面说明认证的步骤以及商家公众号信息。
(2) 用户单击认证页面上的认证按钮,设备临时放通终端的流量,唤醒微信(如果选择浏览器唤醒小程序方式,就会跳转到默认浏览器,然后直接弹出小程序进行认证)。
(3) 用户根据认证页面的提示,手动搜索公众号并关注(也可以通过扫码)。然后在公众号中输入关键字(比如:我要上网)或单击菜单。
(4) 公众平台根据之前的配置,对关键字或菜单请求推送小程序。
(5) 用户打开小程序,单击授权申请进行OpenID和手机号的授权。
(6) 设备创建微信用户对象并上线,完成微信认证。
通过浏览器唤醒小程序认证的流程如下:
(1) 用户访问外网触发弹出认证页面,认证页面提示点击界面打开微信小程序按钮进行验证。
(2) 用户单击认证页面上的认证按钮,设备临时放通终端的流量,手机跳转到默认浏览器,然后直接弹出小程序。
(3) 用户打开小程序,单击授权申请进行OpenID和手机号的授权。
(4) 设备创建微信用户对象并上线,完成微信认证。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 微信认证”,进入微信认证配置页面,如下图所示。
图2-5 微信认证配置页面
页面的详细说明如下表所示。
表2-4 微信认证配置页面详细说明
项目 |
说明 |
超时时间 |
微信认证用户超时时间,默认值为15分钟,在时间段内没有流量设备会强制用户下线。 |
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
认证方式 |
认证方式支持认证URL认证和小程序认证两种方式,认证URL方式需要关注公众号,按照认证步骤点击认证URL进行认证;小程序认证方式可以选择公众号唤醒小程序或者浏览器唤醒小程序方式,点击小程序进行认证上线。 |
公众号名称 |
微信公众平台申请的公众号名称,该名称会在认证页面上显示。 |
应用ID |
微信公众平台,开发者中心的开发者ID中的AppId项。 |
应用密钥 |
微信公众平台,开发者中心的开发者ID中的AppSecret项。 |
认证步骤说明 |
认证步骤说明会在认证页面显示,用以提示用户按步骤完成微信认证。默认认证步骤说明是“请点击认证菜单进行微信认证”,用户可以根据自己公众号的配置进行自定义配置。 |
认证URL |
用户名为ip时为必填项,不可以配置网络中已经存在的url,需要与微信公众平台配置的链接一致;用户名为openid或手机号时为非必填项。 |
用户名 |
选择小程序认证方式时用户名支持OpenID、手机号。选择认证URL认证方式时用户名为IP。 |
唤醒方式 |
小程序认证方式支持公众号唤醒和浏览器唤醒,公众号唤醒小程序需要关注公众号点击公众号下发小程序跳转连接唤醒,浏览器唤醒小程序方式可以在浏览器弹出的小程序跳转连接直接跳转到小程序进行认证上线。 |
小程序跳转链接 |
浏览器唤醒小程序的跳转链接,如果不填,系统默认使用“无线实名助手” 小程序;如果要使用自己开发认证小程序,可以在微信开发者工具的云开发控制台获取小程序的静态网站域名。 |
在短信认证中,通过手机获取短信认证码方式认证上网。认证通过后用手机号填充用户名请求,设备收到后进行对比,对比成功完成用户认证,用户名为手机号。
与其他认证方式相同,终端访问外网的流量都会被重定向到认证页面,用户通过认证页面提交获取验证码的请求。设备收到请求后,生成验证码,并将手机号和带验证码的短信内容,通过短信服务商提供的接口,向短信服务器发出发送验证码的请求。短信服务器收到请求后,向指定手机号发送验证码。用户根据收到的验证码,提交认证。
短信网关是当终端与设备对接时,给认证终端指定的手机号下发授权验证码的设备。目前设备已支持与多家短信厂商的对接,并支持基于HTTP协议及soap协议的短信网关通用框架,实现与预定义之外的短信厂商服务器对接。
配置短信认证,需要先根据对接的短信厂商不同,配置对应的短信服务网关。
(1) 配置预定义短信厂商
在导航栏中选择“系统管理>服务器管理>短信服务”,单击新建进入短信服务设置页面,单击厂商列表选择对接的短信厂商名称,如下图所示。
图2-6 短信服务设置页面
页面的详细说明如下表所示。
表2-5 短信服务配置说明
项目 |
说明 |
名称 |
短信服务对象的名称 |
描述 |
可输入该短信服务对象的作用等信息 |
厂商 |
通过下拉框方式选择系统内置的不同短信厂商(不同厂商需要填写信息各不相同,实际情况请根据所选厂商进行填写,此处以“亿美软通”为例说明)。 |
短信内容前缀 |
短信内容前面部分的描述信息 |
网关地址 |
短信厂商提供的通信地址 |
序列号 |
短信厂商提供的产品序列号 |
密码 |
短信厂商提供的产品密码 |
短信key |
短信厂商提供的产品key值 |
扩展号段 |
短信厂商提供的扩展功能号码 |
(2) 配置HTTP短信网关
在导航栏中选择“系统管理 >服务器管理 >短信服务”,厂商选择“HTTP协议”,进入HTTP短信网关配置页面,如下图所示。
图2-7 HTTP短信网关配置页面
页面的详细说明如下表所示。
表2-6 HTTP短信网关配置页面详细说明
项目 |
说明 |
名称 |
创建的HTTP短信网关名称。 |
描述 |
创建的HTTP短信网关的描述信息。 |
厂商 |
创建的短信网关厂商信息,此处选择HTTP协议。 |
网关地址 |
对接的HTTP短信网关服务器的地址信息。 |
Content-type |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
报文主体 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档格式填写。比如:如上图,填入企业编号、用户编号、用户密码、短信内容、短信类型等信息 |
报文内容运算 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写,如果接口文档中对报文内容有运算要求,勾选相应的运算方式。支持:转json、Unicode编码、base64编码三种方式。 |
报文格式 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。支持:json、formdata两种方式。 |
响应头 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。支持:json、xml、text三种方式。 |
响应标记 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。 |
(3) 配置soap短信网关
在导航栏中选择“系统管理 >服务器管理 >短信服务”,厂商选择“soap”,进入soap短信网关配置页面,如下图所示。
图2-8 soap短信网关配置页面
页面的详细说明如下表所示。
表2-7 soap短信网关配置页面详细说明
项目 |
说明 |
名称 |
输入新建soap短信网关的名称 |
描述 |
新建的soap短信网关的描述信息。 |
厂商 |
选择短信网关的类型,此处选择soap。 |
网关地址 |
对接的soap短信网关服务器的地址信息。 |
报文内容 |
报文内容有2种方式可以输入:1、xml文件的方式,把需要交互的内容使用xml的各种保存问题标准的xml文件,上传该文件;2、手动输入方式,把需要和短信网关服务器交互的内容,按照xml文件的格式填入到手动输入框中。 |
响应标记 |
响应标记有三个字段信息,分别是:1、短信发送成功后的成功状态的标记字段名;2、短信发送成功后的成功返回的标记字段值;3、短信发送成功后的成功返回消息。 |
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 短信认证”,进入短信认证配置页面,如图2-9所示。
页面的详细说明如表2-8所示。
项目 |
说明 |
启用 |
启用开关,开启后可配置页面其它参数。 |
超时时间 |
短信认证用户超时时间,默认值为15分钟。 |
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
加密认证 |
勾选为使用加密方式进行认证,防止用户名和密码在传输过程中泄露,如果关闭加密认证会存在安全风险,默认为勾选。 |
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
短信对象 |
通过下拉框选中创建的短信对象。比如:此处创建的是“东航短信认证”,点击<新建>可以创建短信服务对象。 |
短信内容 |
定制短信显示内容。长度为1-256个字符,必须包含标签 <identifying-code>,表示验证码。 |
在导航栏中选择“用户管理>认证管理>认证策略”,单击新建进入认证策略配置页面,启用认证策略,认证方式选择“短信认证”,如下图所示。
图2-10 认证策略配置页面
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > Portal Server”,进入Portal Server服务器配置页面,如图2-11所示。
图2-11 Portal Server服务器配置页面
页面的详细说明如表2-9所示。
表2-9 Port Server服务器创建页面详细说明
项目 |
说明 |
认证服务器 |
Portal认证使用的radius服务器或radius服务器组名称。 |
Portal服务器 |
Portal服务器的IP地址。 |
快速无感知 |
用户快速无感知认证功能及超时时间,当认证用户上线后会将用户MAC加入到IMC无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会根据用户MAC去匹配IMC服务器无感知列表,如果匹配上,则无需再次认证。 |
超时时间 |
用户认证的超时时间,在时间段内没有流量设备会强制用户下线。 |
认证URL |
Portal认证时重定向的URL。 |
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 免认证”,进入免认证配置页面,如图2-12所示。
页面的详细说明如表2-10所示。
项目 |
说明 |
超时时间 |
免认证用户超时时间,默认值为15分钟。 |
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证成功后跳转到认证登录结果页面。 |
单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其它系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。
AD域单点登录功能是指用户通过登录AD域服务器,实现windows 登录和上网的账号认证。当用户通过域账号登录到某个AD 域后,不需要再输入账号密码,自动通过设备的上网认证,实现单点登录功能。
· AD域服务器配置组策略,加载sso_setup.exe脚本(登录脚本),当用户以域账号正常登录AD域服务器时,获取到相应组策略,执行sso_setup.exe脚本向网关发送认证登录报文;当域用户从域中注销时,执行sso_setup.exe脚本向网关发送注销报文,AD域服务器首次配置完成后,整个认证登录、注销过程都不需要用户参与。
· 网关监听指定的udp端口,接收域用户通过登录脚本发送的域用户单点登录信息。
· 登录报文加密传输,且可防止回放攻击。
· 网关设备收到登录报文后,对报文信息进行校验,校验通过后对用户执行登录操作,若收到退出报文,则对用户执行注销操作。
单点登录配置、登录流程如下:
(1) 域管理员配置AD域服务器,加载用户上下线时需执行的脚本程序。
(2) 网关开启单点登录功能,配置通信密钥,配置单点登录认证策略。
(3) 域用户成功登录域服务器,执行登录脚本,向网关发送认证消息。
(4) 网关收到认证报文后,自动完成用户上网认证;收到注销报文,自动完成用户注销。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 单点登录”,进入单点登录全局参数配置页面,如图2-13所示
单点登录全局配置参数详细说明,如表2-11所示
标题 |
说明 |
启用 |
单点登录启用或禁用,默认未启用。 |
单点登录程序 |
单点登录程序用于AD域服务器配置登录脚本,包括sso_setup.exe和ssoserver_setup.exe两个应用程序; sso_setup.exe应用程序:主要在域PC登录时通过AD域服务器下发自动安装,安装成功之后给设备发送指定的上下线报文的信息。 ssoserver_setup.exe应用程序:ssoserver为一个下载单点登录程序安装包的http/https服务器,此程序可根据实际需要安装,当域PC与AD域服务器通信出现异常无法通过域服务器自动安装sso_setup.exe程序时,可以安装ssoserver_setup.exe程序,将sso_setup.exe程序放到ssoserver程序安装的目录下,并在ssoserver安装目录下配置好对应的sso.ini文件,域PC通过访问http://www.sso.pub:880/sso_setup.exe下载程序手动安装,程序手动安装之后会通过8443端口自动到ssoserver上获取sso.ini文件里的配置信息。 |
会话密钥 |
网关配置密钥,与AD域服务器上脚本参数或者sso.ini文件里密钥配置保持一致,长度为1-127个字符,不允许输入空格和中文。 |
单击“下载域单点登录程序”下载单点登录脚本文件,下载完成后的压缩包内文件如图2-14所示。
在导航栏中选择“用户管理 > 认证管理 > 认证策略”,进入认证策略显示页面,单击“新建”按钮,进入认证策略配置页面,如图2-15所示,认证方式选择单点登录。
单点登录用户策略配置参数说明,如表2-12所示。
参数 |
说明 |
源接口 |
单点登录用户的接口。 |
源地址 |
单点登录用户的IP范围。 |
认证方式 |
可以选择多种认证方式,如图可配置单点登录认证策略,当用户认证失败时,以下两种处理方案供用户选择: 不需要认证,用户直接上线。 跳过当前这条认证策略,匹配后面的策略。 |
时间 |
认证策略时间对象,时间对象有效期内策略生效,时间对象无效的时候认证策略为禁用状态。 |
用户组 |
默认不选择用户组,第三方用户认证成功后不录入用户;选择用户组后,第三方用户认证成功后录入指定的用户组。 该功能主要针对于第三方认证的用户,目的将存储在第三方服务器的用户导入设备。如果需要对第三方认证的用户进行策略限制等,建议选择录入指定的用户组。 |
用户有效时间 |
用户有效期指的是第三方用户录入方式: · 永久录入:第三方用户认证成功后录入指定组,永久有效。 · 有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。 临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。 |
IP-MAC绑定 |
认证录入用户时对用户的IP和MAC进行绑定,保证终端一对一接入网络。 |
录入用户绑定 |
用户认证之后将用户名和IP或者MAC进行绑定,在有效期内,用户可以直接上线,不需要认证,也不需要一直有流量触发。 |
进入组策略:以windows 2008 server为例,登录到AD域服务器,“运行”中输入gpmc.msc。
选择“Default Domian Policy > 用户配置 > 脚本(登录)”, 如图2-16所示。
双击“登录”选项,选择“显示文件”,将下载的sso_setup.exe文件拷贝到此目录。
返回“登录”属性窗口,单击“添加”,在弹出的窗口中设置脚本名以及脚本参数,脚本参数有以下两种配置方式。
(1) 格式1
以“/S Value1 Value 2 Value 3”的形式包含四个参数,参数间以空格隔开,四个参数缺一不可,其中:
· /S:代表程序静默安装(即自动安装),必须大写;
· Value 1:代表内网用户可访问到的设备网口IP;
· Value 2:代表设备监听端口(固定为6622,不可改变);
· Value 3:代表通信密钥(必须同设备侧单点登录全局参数设置的密钥统一)。
图2-19 配置脚本(4个参数)
(2) 格式2
以“/S Title1=value1 Title 2=value2 …… Title15=value15”的形式包含多个参数,参数间以空格隔开,且参数的Title部分建议都大写。
目前支持的参数有如下项:
· /S:表示静默安装单点登录程序;
· IP=192.168.1.1 :代表设备地址;
· PORT=6622 :代表设备监听端口;
· KEY=admin.123 :代表域PC与设备之间的通信密钥,与设备端配置需要保持一致;
· HB=1:代表心跳开关,默认开启,0表示关闭;
· HBI=30 :代表心跳时间间隔,默认30,单位秒,范围30-600之间的正整数;
· UDI=30 :代表配置更新时间间隔以及配置更新开关,不配置表示关闭,配置表示打开,默认30,单位秒,范围30-600之间的正整数。
更新组策略,为了使用更改的组策略立即生效,需要刷新组策略,刷新组策略命令为gpupdate.exe
刷新组策略后,域用户重新上线,即可生效。
当域PC加入AD域服务器后,如果与服务器通信异常时,无法通过AD域脚本参数推送单点登录程序自动安装,则需要通过其他方式下载单点登录程序客户端到域PC上安装。
· 方法一:可以直接通过设备上下载单点登录程序(但此项仅管理员有操作权限,普通用户无登录设备权限,普通用户只能通过管理员提供的单点登录程序安装)在域PC上安装,域PC上安装之后还需要将加密的配置文件(sso.ini)拷贝到sso_setup.exe程序安装的目录下,用户才可上线;
· 方法二:安装ssoserver_setup.exe程序,此程序安装之后拥有http和https方式下载服务,将sso_setup.exe程序放到ssoserver_setup.exe安装目录下,并在安装目录下配置好对应的sso.ini文件,域PC通过http://www.sso.pub:880/sso_setup.exe下载登录脚本程序手动安装,安装完之后域PC会通过https的8443端口自动到ssoserver上获取sso.ini文件。
ssoserver_setup.exe程序安装步骤如下:
(1) 双击ssoserver_setup.exe程序,安装前建议先将360安全软件退出再安装(原因是安装程序会设置开启自启动360安全软件会误阻断导致程序无法启动),点击安装,默认点击下一步。
图2-21 ssoserver程序安装
(2) 点击下一步,安装目录默认C盘(“C:\Users\Administrator\AppData\Roaming\sso_server”),也可指定到其他安装目录,此处需要记录一下对应的安装目录,便于安装完之后配置sso.ini文件和存放sso_setup.exe程序需要到此安装目录。
图2-22 ssoserver程序安装目录
(3) 点击安装,安装完成之后默认勾选“运行sso_server”和“开启自启动”,此选项不用修改,如果取消勾选,则程序不会自动运行,需要到安装目录去手动启用。点击“完成”安装,ssoserver安装完成。
图2-23 ssoserver程序安装完成
(4) 安装完成后可以在任务管理器里查看到serve.exe进程,表示ssoserver程序已运行。
图2-24 任务管理查看ssoserver程序进程
(5) 进入到ssoserver安装目录下(“C:\Users\Administrator\AppData\Roaming\sso_server”),将sso_setup.exe拷贝到如下目录。
图2-25 sso_setup.exe程序拷贝到ssoserver程序安装目录
(6) 在该目录下双击打开sso.ini文件,修改配置文件里的GWIP(设备的IP地址)和SessionKey(与设备单点登录会话密钥配置一致)信息,其他参数不用修改,并保存。
图2-26 修改ssoserver安装目录下sso.ini文件
表2-13 sso.ini配置文件参数说明
参数 |
说明 |
EnableHeartBeat |
是否启动心跳功能(0:关闭 , 1:开启),默认为1开启状态 |
UpdateInterval |
配置更新时间间隔,单位秒,默认30s,范围是30-600之间的正整数 |
HeartBeatInterval |
发送心跳的时间间隔(正整数,范围[30, 600],默认值:30) |
GWIP |
网关的IP |
SessionKey |
会话密钥(大小写敏感、支持特殊字符,最长32个字符) |
Port |
端口号(6622,不能改变) |
Ssoserver安装目录下还有一个config.ini文件,此文件用来更新sso_setup.exe程序。
图2-27 ssoserver安装目录下config.ini文件
表2-14 config.ini配置文件参数说明
参数 |
说明 |
VER |
代表sso_setup.exe的版本号,首次发布版本号为1.0,如果后续sso_setup.exe程序有更新,可以将程序版本号进行修改,并将对应程序放到此目录下。 |
FILE |
程序名称,此名称不支持修改,修改后下发给客户端会导致安装失败。 |
如果AD服务器有安全软件或开启了自带的防火墙,需要放通TCP的880和8443端口。因为PC使用880端口下载单点登录程序,单点登录程序安装后通过8443端口获取sso.ini文件中的配置参数。
ssoserver_setup.exe程序安装完之后,还需要配置DNS域名信息,具体配置如下:
(1) AD域服务器“开始菜单>管理工具>DNS”,打开DNS管理页面。
图2-28 DNS管理页面
(2) 在“正向查找区域”点右键,选择“新建区域”打开新建区域向导。
图2-29 右击新建区域
(3) 新建区域向导,点击“下一步”。
图2-30 新建区域向导
(4) 区域类型选择主要区域,点击“下一步”。
图2-31 区域类型
(5) Active Directory区域传送作用域,点击“下一步”。
图2-32 区域传送作用域
(6) 区域名称配置为“www.sso.pub”,点击“下一步”。
图2-33 区域名称配置
(7) 动态更新选择“不允许动态更新”,点击“下一步”。
图2-34 动态更新
正在完成新建区域向导,点击“完成”。
图2-35 新建区域配置完成
(8) DNS管理界面展开“正向查找区域>wwww.sso.pub”,在右侧空白处点击右键,选择“新建主机”。
图2-36 右击新建主机
(9) 弹出新建主机配置界面,IP地址配置为“10.1.163.41”即安装ssoserver这台服务器的IP地址(也就是AD域服务器地址),点击 “添加主机”。
图2-37 添加主机地址
点击“确定”后并点击“完成”,主机记录配置完成。
图2-38 点击确定
图2-39 点击完成
图2-40 配置完成后查看www.sso.pub主机地址
至此ssoserver_setup.exe所有配置完成。
域pc可通过http://www.sso.pub:880/sso_setup.exe下载单点登录程序包进行手动安装,如果无法访问,请检查AD域服务器上防火墙是否放通了880和8443端口。
· 单点登录功能目前仅支持AD域系统,不支持其他系统。
· 支持的AD域服务器有Windows 2003 server、Windows 2008 server、Windows 2012 server、Windows 2016 server、Windows 2019 server。
· 由于sso_setup.exe和ssoserver_setup.exe程序安装会在系统上添加自启动项,通过主流安全软件扫描有可能会被误阻断的现象,安装时需关注此项,如出现误阻断需要在杀毒软件上添加允许程序操作安装成功,如果ssoserver_setup.exe程序安装设置允许程序操作时,程序进程还是会被阻断的情况,导致ssoserver的serve进程被隐藏无法启动,此时重新安装也无法启动serve进程(出现此情况卸载ssoserver程序然后重启服务器,将360安全软件退出再重新安装),最好是将360安全软件退出安装程序。
· sso_setup.exe和ssoserver_setup.exe程序下载安装会受杀毒软件扫描(目前程序已提交微软、360杀毒、腾讯管家主流杀毒软件扫描,但是并不能完全保证杀毒软件不误识别的情况),杀毒软件有可能存在误识别病毒或木马的情况,如果存在此情况可先退出杀毒软件下载或者将软件添加信任。
AD域单点登录适用于客户内网已有AD域统一管理内网用户,部署设备后希望设备和AD域结合,加入域的终端用户登录PC之后,上网过程中不需要再认证一次。在设备不使用脚本单点登录方式时,可以选择AD域监控单点功能,通过获取AD服务器上用户的上线日志,用来认证域PC用户上线。
选择“用户管理>认证管理>认证方式>单点登录”,选择AD域单点登录页签,进入AD域单点登录页面,可以查看系统上已创建的域控制器信息。
点击<新建>,编辑相关信息,点击<提交>。
详细配置请参见下表。
配置项 |
说明 |
启用 |
AD域单点登录启用或禁用。 |
名称 |
域控制器名称。 |
域DNS服务器 |
域DNS服务器地址,可以用来解析域名。 |
域名 |
填写域服务器对应的域名。点击域名解析按钮,可自动解析出所有的域控制器的IP地址。 |
域服务器IP |
可以手动填写域服务器对应的IP地址,或者通过域名解析导入域服务器IP。 |
域账号 |
AD域服务器有管理员权限的账号。 |
域账号密码 |
域账号对应的密码。 |
日志eventID |
用来读取AD域上的事件类型,可多选,一般4624登录。 |
访客二维码认证主要针对下列三种场景:
· 对于企业访客,联网时,终端弹出认证二维码,由公司内部审核人员(比如前台),扫描二维码,备注访客信息,然后实现访客上网;
· 对于酒店客户,手机可以通过微信认证上网,而笔记本无法进行微信认证,可以选择二维码认证,客户通过已经认证的手机,扫描笔记本二维码完成认证,最终实现笔记本上网。这种方式下,不需要弹出审核页面,直接以审核人身份上网。
· 对于企业访客,联网时,终端弹出认证portal,访客需要填写用户信息后生成二维码,由公司内部审核人员扫描二维码,授权访客上网。
二维码认证的认证流程如下:
(1) 在设备上配置二维码认证。配置内容有:终端超时时间、二维码超时时间、无感知功能、审核人、审核方式等。
(2) 在设备上配置认证策略。认证方式选择“二维码认证”,可配置用户录入方式等。
(3) 访客终端流量到达设备时,匹配到策略的流量会被设备劫持,设备将流量重定向到二维码认证页面URL(比如,通过302报文),验证URL中的审核方式:
a. 如果审核方式是:“访客填写用户信息,审核人扫码,授权访客上线”,则重定向到访客编辑页面,访客终端弹出编辑框,备注自己的用户名提交后,设备再生成二维码页面;
b. 如果审核方式是另外两种方式,则直接生成二维码页面。
在终端,二维码认证页面周期向设备查询认证结果。
(4) 审核人通过手机微信或QQ扫描认证二维码,微信或QQ解析二维码,得到指向设备的URL,然后向设备请求该URL。
(5) 设备收到URL的请求包时,先验证该URL中的时间是否超时,如果超时,则将请求重定向到验证码过期页面。如果没有超时,就验证请求者身份,如果不是配置的审核人,则返回无权限审核页面。如果是审核人,则查看配置的审核方式,如果是:“审核人扫码,备注后授权访客上线”,则重定向到审核页面;如果审核方式是:“审核人扫码,授权访客以审核人身份上线”,则客户直接以审核人用户名上线。
(6) 审核人手机收到设备返回的审核页面,根据提示,填写客户信息,并授权用户上线;
(7) 设备收到审核信息后,新建动态用户,并将客户终端IP关联到该动态用户,完成上线。
二维码认证用户上线后可以通过终端页面主动注销,也可以因超时、管理员踢出而下线。
在导航栏中选择“用户管理>认证管理>认证方式 > 访客二维码认证”,进入访客二维码认证页面,页面显示了当前的访客二维码认证配置,如图2-41所示。
页面的详细说明如表2-15所示。
项目 |
说明 |
超时时间 |
二维码认证成功用户无流量的情况下超时时间。默认值为15分钟,可输入的范围为10-144000分钟。 |
二维码超时 |
二维码认证时二维码超时时间。默认值为5分钟,可输入的范围为2-10分钟。 |
无感知 |
二维码认证成功用户无流量超时下线后,在无感知配置时间内,可以无需认证直接上线。 |
页面跳转 |
认证成功后,跳转页面,支持三种: l 之前访问的页面 l 重定向URL l 认证结果页面 |
审核人 |
单击“选择用户”配置审核人,可以选择用户组织结构中的用户和用户组(如选择用户组,则该组中所有用户均为审核人),可以配置多个;如果配置为any,表示选择所有已认证的用户。 二维码认证时,需要使用已配置的且通过认证上线的审核人手机扫描认证二维码,否则会提示无审核权限。 |
审核方式 |
支持三种审核方式: l 审核人扫码,备注后授权访客上线:访客上网时终端弹出认证二维码,审核人员扫描二维码,备注访客信息后授权访客上线。 l 审核人扫码,授权访客以审核人身份上线:不弹审核页面,审核人直接扫描二维码完成认证后,以审核人身份登录。 l 访客填写用户信息,审核人扫码,授权访客上线:访客上网时终端弹出认证portal,访客需要填写用户信息后生成二维码,由审核人员扫描二维码,授权访客上线。 |
输入完毕后,点击<提交>按钮,应用配置。
IC卡认证是在一些上网管控要求严格的场景,用户在使用网络服务时需要使用自己的IC卡进行认证等操作后,才允许用户访问网络。设备支持安装包导入,管理员导入安装包后,用户可以在认证页面下载IC卡认证程序,进行IC卡认证。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > IC卡认证”,进入IC卡认证配置界面,如图2-42所示。
表2-16 IC认证配置界面详细说明
参数 |
说明 |
本地检查 |
用户刷卡时,设备识别IC卡信息,与IC卡卡号信息校验,如果没有对应的IC卡卡号,则认证失败。 |
超时时间 |
IC认证用户超时时间,默认值为15分钟。在时间段内没有流量设备会强制用户下线。 |
安装包导入 |
管理员导入IC卡安装程序,导入后用户认证时可以下载,导入名称必须为ic_card.exe,点击上传导入成功后即可生效(不需要单击提交)。 |
提交 |
下发配置。 |
单击选择“IC卡卡号信息”标签页,进入IC卡卡号信息配置页面,在该页面可以查询、导入、导出IC卡卡号信息,如图2-43所示。
导入IC卡卡号信息后,当用户完成认证后,在线用户显示的用户名为导入的IC卡卡号对应的用户名,否则显示为IC卡卡号。
图2-43 IC卡卡号信息页面
单击“查询”按钮,可以根据用户名和卡号查询IC卡卡号信息。
单击“导出”按钮,可以导出IC卡卡号信息,下载后的文件为csv格式,文件的内容如图2-44所示。
图2-44 导出的IC卡卡号信息文件
如需导入IC卡信息,可以在导出的IC卡信息文件中,录入需要导入的IC卡卡号信息后保存文件,导入信息字段的说明如表2-17所示。
表2-17 IC卡卡号信息字段说明
参数 |
说明 |
IC card number |
用户刷卡认证时使用的IC卡卡号,最大长度63字符 |
Name |
与IC卡卡号对应的用户名,最大长度127字符 |
单击“导入”按钮,弹出导入IC卡卡号信息页面,单击“选择文件”选择修改后的IC卡卡号信息文件,单击“提交”即可将IC卡卡号信息导入到系统中。导入后的IC卡信息会覆盖已存在的数据。
图2-45 导入IC卡卡号信息页面
· 导入文件必须为CSV格式,卡号与用户名输入限制为63字符。
· 目前支持两种型号卡机,旧款D8,新款750VL。
· 新款750VL卡机支持WIN7、WIN10系统,旧款D8卡机只支持WIN10。
随着手机的普及,手机的使用已是人们生活中不可分割的一部分。手机APP已成为时下的主流,不仅为我们的生活带来了极大的便利,还使移动办公成为了可能。因此,在客户场景中使用用户认证功能与APP进行联动,从而使认证用户才能使用网络服务。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > APP认证”,进入APP认证配置界面,如图2-46所示。
界面详细说明如表2-18所示。
参数 |
说明 |
取值建议 |
超时时间 |
APP认证用户超时时间,在时间段内没有流量设备会强制用户下线。 |
默认值为15分钟,可输入的范围为10-144000分钟。 |
无感知 |
用户无感知认证功能及超时时间,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
默认值为10分钟,可输入的范围为10-144000分钟。 |
服务器白名单 |
添加APP软件下载的服务器地址。 |
可以输入IP格式或域名格式的地址,单击“添加到列表”。 |
规则一 |
添加在app登录url请求中用户名称位置,在规则中填写用户名起始符和用户名终止符,规则一为必填项。 |
APP账号登录支持GET和POST两种方式。首先使用抓包软件抓整个APP应用登录过程的报文,然后过滤找到包含登录账号的GET报文或POST表单报文,根据报文内容用户名提取规则配置用户名起始符。 |
规则二 |
添加在app登录url请求中用户名称位置,在规则中填写用户名起始符和用户名终止符,规则二为非必填项。 |
- |
PC下载地址 |
填写PC端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为HTTP或HTTPs,且仅可设置一条URL。 |
IOS下载地址 |
填写IOS端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为HTTP或HTTPs,且仅可设置一条URL。 |
Android下载地址 |
填写Android端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为HTTP或HTTPs,且仅可设置一条URL。 |
POP3认证是指用户在使网络服务时,可以在认证页面中输入内网或外网邮箱服务器中的邮箱账号和密码进行认证,从而使认证用户接入使用网络。
在导航栏中选择“用户管理 > 认证管理 > 认证服务器 > 认证服务器”,进入认证服务器界面。将鼠标移至“新建”按钮,在下拉框中选择“POP3服务器”,进入POP3服务器的配置界面,如图2-101所示。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > POP3认证”,进入POP3认证配置界面,如图2-47所示。
表2-19 POP3认证配置界面详细说明
参数 |
说明 |
认证服务器 |
用户唯一性检查的配置方式。 |
超时时间 |
用户认证的超时时间,在时间段内没有流量设备会强制用户下线。 |
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户上线后会将用户MAC加入无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会直接匹配无感知列表上线,无需再次认证。 |
页面跳转设置 |
之前访问的页面:认证成功后跳转到认证前访问的页面。 重定向URL:认证成功后将重定向到指定的URL资源页面。 认证结果页面:认证成功后停留在认证结果页面。 |
POP3服务器的配置请参见 2.4.3 配置POP3服务器。
用户通过钉钉认证授权的方式进行验证身份后上网。主要应用于企业网络场景,便于企业网络人员通过钉钉应用进行上网行为的管理。
钉钉认证的认证流程如下:
(1) 在设备上配置认证策略。
(2) 对用户PC访问外网的流量进行劫持并触发用户认证弹portal。
(3) 用户获取钉钉授权登录的二维码。
(4) 用户使用手机扫描获取到的二维码,并向钉钉服务器发送确认信息。
(5) 服务器会将确认后的相关信息返回给用户PC,此时PC再通过回调地址将数据发送给设备。
(6) 设备使用用户通过回调地址提供的信息向钉钉服务器获取用户的认证信息。
(7) 用户认证信息获取成功,使用获取到的信息将用户上线。
(8) 用户上线成功后放通后续用户的所有流量。
在导航栏中选择“用户管理>认证管理>认证方式>钉钉认证”,进入钉钉认证配置页面,如下图所示。
图2-48 钉钉认证配置页面
页面的详细说明如下表所示。
表2-20 钉钉认证配置页面详细说明
项目 |
说明 |
启用 |
是否启用钉钉认证。 |
超时时间 |
钉钉认证的超时时间,默认值为15分钟,在时间段内没有流量设备会强制用户下线。 |
页面跳转设置 |
设置认证成功之后页面跳转情况。 |
回调地址 |
在钉钉服务器用来指定跳转回设备的URL地址,输入格式为:设备管理地址IP+指定端口,目前只支持HTTP。 例如:HTTP://192.168.1.1:8000/ 配置必须和钉钉服务器配置保持一致。 即在钉钉服务器用来指定跳转回设备的URL地址。 |
AppID |
钉钉服务器配置的AppID。在钉钉开放平台HTTPs://open-dev.dingtalk.com设置扫码登录应用授权,钉钉服务器自动生成的个人钉钉的唯一标识 |
AppSecret |
钉钉服务器配置的AppSecret,钉钉服务器自动生成的应用秘钥。 |
企业ID |
钉钉服务器配置的企业ID,从钉钉认证服务器获取的enterpriseid(企业id)唯一标识。 |
Appkey |
钉钉服务器配置的Appkey,自动获取用户组时,需要和钉钉服务器端建立连接,由钉钉服务器端生成的公钥。 |
自动获取所属组 |
选择是否自动获取所属组。 |
路径 |
开启自动获取所属组时,会将认证用户自动获取并在“数据中心>系统监控>在线用户>属性组>认证用户”中显示;同时可以手动配置认证用户所属路径。 |
点击导航栏的“用户管理 > 认证管理 > 认证方式 > 酒店会员认证”,进入酒店会员认证配置页面。
图2-49 酒店会员认证配置页面
页面的详细说明如下表所示。
表2-21 酒店会员认证配置页面详细说明
项目 |
说明 |
设备ID |
配置设备ID。 |
超时时间 |
认证的超时时间,默认值为15分钟,在时间段内没有流量设备会强制用户下线。 |
Portal URL |
对接酒店服务器提供的Portal认证时重定向的URL。 |
认证URL |
对接酒店服务器提供的Portal认证时重定向的URL。 |
公钥 |
公钥(Public Key)是通过一种算法得到的一个密钥,公钥是密钥对中公开的部分 |
私钥 |
私钥(Private Key)是通过一种算法得到的一个密钥,私钥是密钥对中非公开的部分 |
通过第三方小程序认证,设备接收第三方小程序推送过来的用户信息,解析后将用户以第三方小程序认证的方式上线,支持配置在线用户超时时间和加密秘钥。
点击导航栏的“用户管理 > 认证管理 > 认证方式 > 第三方小程序认证”,进入第三方小程序认证的显示页面,如图2-50所示。在“超时时间”输入框中,输入用户上线超时时间(默认是15分钟),在“加密秘钥”输入框中,输入秘钥字符串(只支持数字和字母的输入)。
配置项 |
说明 |
超时时间 |
取值范围是10-144000分钟,默认是15分钟。 |
加密秘钥 |
只支持数字和字母,支持的长度范围是0-63字符;加密秘钥由第三方小程序的开发者提供。 |
企业微信认证是用户在客户端上网时,可通过移动端的企业微信扫描设备推送的二维码,实现认证,通过认证后用户即可在设备侧上线,通过设备进行上网。
在设备上配置企业微信认证前,需要先登录企业微信管理后台进行相关配置,也可以在设备的企业微信认证配置页面,单击<配置指导>查看详细说明。配置步骤如下:
(1) 登录企业微信管理后台,地址如下:
HTTPs://work.weixin.qq.com/wework_admin/loginpage_wx?from=myhome
(2) 选择“我的企业>企业信息”,获取企业ID,对应设备企业微信认证配置参数中的AppID。
(3) 选择“应用管理>应用”,在自建下点击“创建应用”,应用名称填“我要上网”。
(4) 点击进入“我要上网”应用(此时企业微信服务器会给这个应用颁发一个AgentID和Secret。AgentID是授权方的网页应用ID;Secret用于Client向认证服务器获取access token时加密使用的)。
(5) 获取AgentID和Secret,对应设备企业微信认证配置参数中的AgentID、AppSecret。
(6) 点击进入“网页授权及JS-SDK”,填入回调地址域名,例如:lgtest.com:8000。
(7) 启用“企业微信授权登录”,在“web网页”下面填入授权回调域名,例如:lgtest.com:8000。
(8) 启用“工作台应用主页”,填入HTTPs://open.weixin.qq.com/connect/oauth2/authorize?appid=ww84b3066845e835b6&redirect_uri=HTTP://lgtest.com:8000/wxwork_auth.php?action=miniprogram_wxcode&response_type=code&scope=snsapi_base&state=qywechat-#wechat_redirect。
其中appid替换为步骤2获取的AppID(即企业ID),direct_uri替换为回调地址。
(1) 点击导航栏的“用户管理 > 认证管理 > 认证方式 >企业微信认证”,进入企业微信认证的配置页面,如下图所示。
图2-51 企业微信认证配置页面
页面的详细说明如下表所示。
表2-23 企业微信认证配置页面详细说明
配置项 |
说明 |
启用 |
勾选复选框启用企业微信认证功能。 |
超时时间 |
设置企业微信认证的超时时间。如果在该时间段内无任何来自客户端的流量,用户将会被强制下线。 |
页面跳转设置 |
认证成功后继续访问的页面。 · 之前访问的页面:用户认证前访问的页面。 · 重定向URL:自定义的重定向URL。 · 认证结果页面。 |
接口参数配置 |
点击<配置指导>,根据指导信息配置接口参数。接口参数需要与企业微信管理后台保持一致。 · 回调地址:为管理IP地址+指定端口,只支持HTTP。 · AppID:填入在企业微信管理后台配置的企业ID。 · AppSecret:填入在企业微信管理后台获取的Secret。 · AgentId:填入在企业微信管理后台获取的AgentId。 |
自动获取所属组 |
勾选复选框,自动获取用户所属的用户组。 |
路径 |
设置获取到的用户所属组信息在本地指定路径下创建用户组,并将用户录入到该组下。 |
· 由于需要与第三方平台(服务器)进行交互,所以必须确保设备可以访问外网。
· 需要配置DNS服务器,用以域名解析。
· 使用前请先到第三方平台(服务器)进行注册并获取对接参数相关信息。
· 因为流量放通时间默认是1分钟,所以需要认证用户在1分钟内完成扫码认证。
(2) 配置认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,单击新建进入认证策略配置页面,启用认证策略,认证方式选择“企业微信认证”。
图2-52 企业微信认证策略配置页面
CAS(Central Authentication Service)是一种单点登录协议,允许一个用户访问多个应用程序,而只需向认证服务器提供一次凭证(如用户名和密码),避免重复登录认证,同时降低用户名和密码信息泄露的风险。
有些企业在内部网络中部署有CAS认证服务器,使用统一身份认证平台,实现对用户的统一认证,用户只需一次登录即可访问多个应用程序,提供工作效率和安全性。
设备支持CAS认证方式,将用户的用户名和密码信息通过CAS认证服务器进行验证,根据CAS认证服务器返回的认证结果,实现用户的认证。
认证的流程如下:
(1) 终端用户访问外部网络资源;
(2) 设备对用户访问外网的流量进行劫持,重定向到CAS服务器的登录页面;
(3) 用户输入登录信息,通过CAS服务器进行认证。
(4) CAS服务器将认证结果返回给设备;
(5) 设备对用户进行验证,通过后对用户流量进行放行;否则,用户认证失败。
(1) 登录CAS服务器管理后台。
(2) 添加CAS的访问服务。
接入类型配置“CAS”,回调地址是PC访问网站后重定向页面(即设备的认证portal页面地址)。配置如下:
· CAS认证回调地址:HTTP:// ${ ipaddr }:8000/portal/cas/index.html
· 混合认证-CAS认证回调地址:HTTP:// ${ ipaddr }:8000/portal/adv/cas_index.html
其中ipaddr是设备推送认证页面的接口地址。
不同的CA服务器配置会有差异,请根据实际使用的服务器进行配置。
在导航栏中选择“用户管理>认证管理>认证服务器”,进入认证服务器页面,点击<新建>按钮,选择“CAS服务器”,进入CAS服务器配置页面。详细配置请参见配置CAS服务器章节。
在导航栏中选择“用户管理>认证管理>认证方式>CAS认证”,进入CAS认证配置页面,如下图所示。
图2-53 CAS认证配置页面
表2-24 CAS认证配置详细说明
项目 |
说明 |
认证服务器 |
选择创建的CAS服务器。 |
超时时间 |
配置CAS认证用户超时下线时间,如果在该时间段内无任何来自客户端的流量,用户将会被强制下线。 |
强制重登录间隔 |
配置CAS认证用户强制重登录时间,从用户登录时间开始,超时后用户将会被强制下线。 |
无感知 |
配置CAS认证用户无感知时间,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
页面跳转设置 |
配置认证成功后的页面跳转: 1. 跳转到之前访问的页面; 2. 跳转到指定页面; 3. 认证成功的页面。 |
在导航栏中选择“用户管理>认证管理>认证策略”,点击<新建>按钮,进入认证策略配置页面,如下图所示。认证方式选择“CAS认证”。
图2-54 认证策略配置页面
配置完成后,单击“提交”。
OAUTH认证功能是设备与OAUTH服务器进行对接,用户在使网络服务时,可以在认证页面中输入OAUTH服务器的账号和密码进行认证,从而使认证用户接入使用网络。
· OAUTH服务器不支持服务器组。
· OAUTH服务器规格为128个。
· OAUTH认证时默认放通1分钟流量,需要在1分钟内完成认证。
· 设备无法即时感知用户帐号权限变化并进行相应处理,即用户在设备上认证上线后,在CAS服务器上注销或禁用用户,无法使用户在设备上下线。
· 用户名长度限制为1-127字符,超过127字符不能在设备上认证上线。
· 用户名支持中文数字字母以及字符(不包含空格'"`/\),用户名包含不支持的特殊字符进行认证可以认证成功,不支持的特殊字符用_代替。
· HA环境主机上清除OAUTH认证无感知列表,备机不会同步清除,备机可以执行clear user-waa cas-waa命令进行清除。
· OAUTH认证不支持IPv6。
(1) 在导航栏中选择“用户管理>认证管理>认证服务器”,进入认证服务器页面,点击<新建>按钮,选择“OAUTH服务器”,进入OAUTH服务器配置页面。详细配置请参见配置OAUTH服务器章节。
(2) 在导航栏中选择“用户管理>认证管理>认证方式>OAUTH认证”,进入OAUTH认证配置页面,编辑相关信息,点击<提交>。
图2-55 OAUTH认证配置页面
详细配置请参见下表。
配置项 |
说明 |
认证服务器 |
选择一个认证服务器。需选择已创建的OAUTH服务器,关于OAUTH服务器的更多信息请参考配置OAUTH服务器。 |
超时时间 |
配置OAUTH认证用户超时下线时间,如果在该时间段内无任何来自客户端的流量,用户将会被强制下线。 |
强制重登录间隔 |
配置OAUTH认证用户强制重登录时间,从用户登录时间开始,超时后用户将会被强制下线。 |
无感知 |
配置OAUTH认证用户无感知时间,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
页面跳转设置 |
认证成功后继续访问的页面。 之前访问的页面:用户认证前访问的页面。 重定向URL:自定义的重定向URL。 认证结果页面。 |
(3) 配置OAUTH认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,点击<新建>按钮,进入认证策略配置页面,启用认证策略,认证方式选择OAUTH认证,编辑相关信息,点击<提交>。有关认证策略配置的更多信息,请参考认证策略。
混合认证是指认证策略中认证方式为混合认证,混合方式可以选择一种或者多种认证,在用户弹出的认证页面中可以选择其中一种进行认证即可。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 混合认证”,进入混合认证配置界面。
图2-56 混合认证配置页面
表2-25 混合认证配置界面详细说明
参数 |
说明 |
页面跳转设置 |
之前访问的页面:认证成功后跳转到认证前访问的页面; 重定向URL:认证成功后将重定向到指定的URL资源页面; 认证结果页面:认证成功后停留在认证结果页面。 |
在导航栏中选择“用户管理 > 认证管理 > 认证策略”,进入认证策略配置界面,勾选启用,认证方式选择“混合认证”,并勾选一个或多个认证方式。认证方式支持微信认证、本地WEB认证、短信认证、访客二维码认证等。
图2-57 混合认证配置页面
可以选择首选认证方式,设置混合认证页面显示的首个认证方式,默认本地认证为首选认证方式默认本地认证为首选认证方式。
认证方式的配置请参考相关认证方式的配置章节。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置”,进入认证模板显示页面,页面显示了当前所有认证模板的类型,如图2-58所示。
表2-26 认证模板设置页面详细说明
项目 |
说明 |
名称 |
认证模板名称,不支持编辑。 |
描述 |
认证模板描述,不支持编辑。 |
预览 |
模板设置完成后支持PC端和移动端效果预览。 |
操作 |
对认证模板进行编辑、重置等操作。 |
导入 |
可以导入自定义的portal页面,默认隐藏,通过命令“portal_pages_edit enable”可以开启。 |
导出 |
可以将认证页面样式导出,默认隐藏,通过命令“portal_pages_edit enable”可以开启。 |
重置 |
将认证页面的样式恢复默认,默认隐藏,通过命令“portal_pages_edit enable”可以开启。 |
在命令行的config视图输入命令“portal_pages_edit enable”可以开启认证模板的导入导出功能,开启后在认证模板设置页面的左上方显示“导入”、“导出”及“重置”按钮(默认为隐藏),如下图所示。
图2-59 导入导出认证模板配置页面
点击“导出”会在浏览器下载zip压缩文件到本地,可以把当前认证模板文件导出到本地,对前端文件进行自编辑,再将编辑后的文件打包为zip压缩文件,导入到设备,实现自定义修改认证页面。同时通过导出功能也对当前认证模板进行备份。
导出格式为zip压缩文件,导出后的zip文件解压缩后的目录如下所示:
图2-60 导出认证模板文件目录
单击<导入>按钮,弹出导入模板窗口,用于将本地的认证页面模板文件(zip格式)导入到设备。
单击“选择文件”,选择本地zip格式的认证页面模板文件,单击“提交”,上传选择好的认证页面模板文件,上传过程中会有加载框,上传结束后提示上传结果。
导入的认证页面模板文件必须为zip格式,压缩前的目录名称需要与导出的文件目录一致,且修改导入的portal页面的HTML文件的名称必须为默认名称,否则无法识别。文件夹名称对应的含义如下图所示:
导入自定义的认证模板文件需要开发对应认证页面的HTML前端文件,如有技术问题,可以将导出的认证模板文件保存后,联系售后工程师处理。
单击“重置”可以将当前认证页面模板恢复至默认的模板。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>本地认证模板”,点击操作中的<编辑>按钮进入本地认证模板配置页面,页面显示了当前的本地认证模板配置,如图2-61所示。
页面的详细说明如表2-27所示。
项目 |
说明 |
标签页名称 |
本地认证Portal页面显示的标签名称。 |
欢迎词 |
本地认证模板欢迎词。 |
免责声明 |
本地认证模板免责声明。 |
按钮颜色 |
登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
本地认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-62所示。
图2-62 本地认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-63所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>微信认证模板”,点击操作中的<编辑>按钮进入微信认证模板配置页面,页面显示了当前的微信认证模板配置,如图2-64所示。
页面的详细说明如表2-28所示。
项目 |
说明 |
标签页名称 |
微信认证Portal页面显示的标签名称。 |
欢迎词 |
微信认证模板欢迎词。 |
免责声明 |
微信认证模板免责声明。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
微信认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击操作中的<成功页面编辑>按钮进入微信认证商家页面模板配置,页面显示了当前的微信认证商家页面模板配置,如图2-65所示。
页面详细说明如表1-4所示。
表2-29 微信认证商家页面模板配置详细说明
项目 |
说明 |
标签页名称 |
微信认证Portal页面显示的标签名称。 |
欢迎词 |
认证后的欢迎词。 |
背景图片 |
微信认证显示成功后页面的背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-66所示。
图2-66 微信认证模板PC终端预览效果
目前微信公众平台仅支持移动端微信认证,不支持PC端微信认证。
点击预览图标查看移动终端预览效果,如图2-67所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>短信认证模板”,点击操作中的<编辑>按钮进入短信认证模板配置页面,页面显示了当前的短信认证模板配置,如图2-68所示。
页面的详细说明如表2-30所示。
项目 |
说明 |
标签页名称 |
短信认证Portal页面显示的标签名称。 |
欢迎词 |
短信认证模板欢迎词。 |
免责声明 |
短信认证模板免责声明。 |
发送按钮颜色 |
发送短信验证码按钮颜色。 |
登录按钮颜色 |
点击认证登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
短信认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-69所示。
图2-69 短信认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-70所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>免认证模板”,点击操作中的<编辑>按钮进入免认证模板配置页面,页面显示了当前的免认证模板配置,如图2-71所示。
页面的详细说明如表2-31所示。
项目 |
说明 |
标签页名称 |
免认证Portal页面显示的标签名称。 |
欢迎词 |
免认证模板欢迎词。 |
免责声明 |
免认证模板免责声明。 |
免认证描述 |
免认证portal页面显示的描述信息。 |
按钮颜色 |
免认证登录按钮颜色。 |
Logo图片 |
免认证模板Logo图片 。 |
背景图片 |
免认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-72所示。
图2-72 免认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-73所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>二维码认证模板”,点击操作中的<编辑>按钮进入二维码认证模板配置页面,页面显示了当前的二维码认证模板配置,如图2-74所示。
页面的详细说明如表2-32所示。
项目 |
说明 |
标签页名称 |
二维码认证Portal页面显示的标签名称。 |
欢迎词 |
二维码认证模板欢迎词。 |
免责声明 |
二维码认证免责声明。 |
按钮颜色 |
登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
二维码认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-75所示。
图2-75 二维码认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-76所示。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>钉钉认证模板”,点击操作中的<编辑>按钮进入钉钉认证模板配置页面,页面显示了当前的钉钉认证模板配置,如下图所示。
图2-77 钉钉认证模板配置页面
页面的详细说明如表2-17所示。
表2-33 钉钉认证模板配置详细说明
项目 |
说明 |
标签页名称 |
钉钉认证Portal页面显示的标签名称。 |
欢迎词 |
钉钉认证模板欢迎词。 |
免责声明 |
钉钉认证模板免责声明。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
钉钉认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如下图所示。
图2-78 钉钉认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如下图所示。
图2-79 钉钉认证模板移动终端预览效果
9. APP认证模板
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>APP认证模板”,点击操作中的<编辑>按钮进入APP认证模板配置页面,页面显示了当前的APP认证模板配置,如下图所示。
图2-80 APP认证模板配置页面
页面的详细说明如表2-34所示。
表2-34 APP认证模板配置详细说明
项目 |
说明 |
标签页名称 |
APP认证Portal页面显示的标签名称。 |
欢迎词 |
APP认证模板欢迎词。 |
按钮颜色 |
登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
APP认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如下图所示。
图2-81 APP认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如下图所示。
图2-82 APP认证模板移动终端预览效果
10. POP3认证模板
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>POP3认证模板”,点击操作中的<编辑>按钮进入POP3认证模板配置页面,页面显示了当前的POP3认证模板配置,如下图所示。
图2-83 POP3认证模板配置页面
页面的详细说明如表2-35所示。
表2-35 POP3认证模板配置详细说明
项目 |
说明 |
标签页名称 |
POP3认证Portal页面显示的标签名称。 |
欢迎词 |
POP3认证模板欢迎词。 |
免责声明 |
POP3认证模板免责声明。 |
按钮颜色 |
登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
POP3认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如下图所示。
图2-84 POP3认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如下图所示。
图2-85 POP3认证模板移动终端预览效果
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置”,进入认证模板设置页面,点击企业微信认证模板的<编辑>按钮,进入企业微信认证模板编辑页面,如下图所示。
图2-86 企业微信认证模板编辑页面
表2-36 企业微信认证模板配置详细说明
项目 |
说明 |
标签页名称 |
配置标签页名称 |
欢迎词 |
配置欢迎词 |
免责声明 |
配置免责声明 |
按钮颜色 |
配置按钮颜色 |
Logo图片 |
配置Logo图片 |
背景图片 |
配置背景图片 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览图标可查看PC终端预览效果,点击预览图标查看移动终端预览效果。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置”,进入认证模板设置页面,点击CAS认证模板的<编辑>按钮,进入CAS认证模板编辑页面,如下图所示。
图2-87 CAS认证模板编辑页面
表2-37 CAS认证模板配置详细说明
项目 |
说明 |
标签页名称 |
配置标签页名称 |
欢迎词 |
配置欢迎词 |
免责声明 |
配置免责声明 |
按钮颜色 |
配置按钮颜色 |
Logo图片 |
配置Logo图片 |
背景图片 |
配置背景图片 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览图标可查看PC终端预览效果,点击预览图标查看移动终端预览效果。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置”,进入认证模板设置页面,点击OAUTH认证模板的<编辑>按钮,进入OAUTH认证模板编辑页面,如下图所示。
图2-88 OAUTH认证模板编辑页面
表2-38 CAS认证模板配置详细说明
项目 |
说明 |
标签页名称 |
配置认证页面的标签页名称,范围1-127字符 |
欢迎词 |
配置认证页面的欢迎词,范围1-63字符 |
免责声明 |
配置认证页面的免责声明,范围0-9999字符 |
按钮颜色 |
配置认证页面的按钮颜色 |
Logo图片 |
配置认证页面的Logo图片 |
背景图片 |
配置认证页面的背景图片 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览图标可查看PC终端预览效果,点击预览图标查看移动终端预览效果。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>混合认证模板”,点击操作中的<编辑>按钮进入混合认证模板配置页面,页面显示了当前的混合认证模板配置,如图2-89所示。
页面的详细说明如表2-39所示。
项目 |
说明 |
标签页名称 |
混合认证模板Portal页面显示的标签名称。 |
欢迎词 |
混合认证模板欢迎词。 |
免责声明 |
混合认证模板免责声明。 |
登录按钮颜色 |
混合认证模板登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
混合认证模板Portal页面背景图片,同时支持3张背景图片混合认证显示。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击操作中的<高级配置>按钮进入混合认证模板高级配置,页面显示了当前的混合认证模板高级配置,如图2-90所示。
页面详细说明如表2-40所示。
项目 |
说明 |
发送按钮颜色 |
短信认证发送短信验证码的按钮颜色。 |
免认证描述 |
免认证描述信息。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-91所示。
图2-91 混合认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-92所示
本小节中的认证服务器是指第三方的Radius、LDAP、POP3、数据库认证服务器、CAS服务器及OAUTH服务器,主要用于第三方用户同步和认证。
LDAP是轻量目录访问协议,英文全称是lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,与X.500不同,LDAP支持TCP/IP。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,LDAP其实是一电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。
在一些存在众多分支机构的大企业等网络中,往往存在LDAP(轻量级目录访问协议)系统,用户信息都由LDAP系统进行管理,如果分支机构间的人员出差频繁而又不符合漫游策略,为方便管理员开户操作,可以从LDAP系统中同步用户信息。
通过LDAP同步将AD服务器上的用户及用户组同步到设备上,对同步下来的用户及用户组可进行策略引用,同步方式为周期同步和触发同步两种:
· 设备周期向AD服务器发送LDAP同步请求。
· 可通过界面手动发起LDAP同步请求。
在导航栏中选择“用户管理>认证管理>认证服务器”,进入认证服务器配置页面,将鼠标移至<新建>按钮,在下拉框中选择“LDAP服务器”,进入LDAP服务器的配置界面,如图2-93所示。LDAP服务器详细参数如表2-41所示。
图2-93 LDAP服务器配置界面
表2-41 LDAP服务器界面的详细说明
参数 |
说明 |
服务器名称 |
LDAP服务器名称。 |
服务器IP |
LDAP服务器地址。 |
端口 |
LDAP服务器端口,默认389明文,暂时不支持636加密同步。 |
通用标识 |
cn:全称 common name,配置cn时,同步、认证都使用标识名。 sAMAccountName:同步和认证使用登录名。 |
Base DN |
用于获取同步信息的服务器域名路径。 |
管理员 |
拥有管理权限的域服务器管理员。 |
管理员密码 |
管理员对应密码。 |
开启加密 |
勾选加密后,用户同步时会使用TLS加密通信;LDAP服务器开启TLS加密不支持认证,只支持LDAP同步。 |
测试有效性 |
点击<测试有效性>测试目标LDAP服务器是否可用。 |
在导航栏中选择“用户管理>认证管理>认证服务器>服务器组”,将鼠标移至<新建>按钮,在下拉框中选择“LDAP组”,进入LDAP组配置界面,如图2-94所示。LDAP组详细参数如表2-42所示。
图2-94 LDAP组新建界面
表2-42 LDAP组界面的详细说明
参数 |
说明 |
名称 |
LDAP组名称。 |
服务器列表 |
已配置的LDAP服务器名称,最多可加入5个服务器。 |
在“用户管理>认证管理>高级选项>全局配置>认证配置”处,选择LDAP组统一认证。
LDAP用户认证通用名标识有两种类型分别是CN和sAMAccountName,如图2-95所示。
图2-95 LDAP用户认证通用名标识类型
CN:使用的是标识名进行认证,标识名使用CN时服务器用户配置如图2-96所示。
图2-96 标识名使用CN时服务器用户配置
sAMAccountName:使用的是登录名进行认证,标识名使用sAMAcountName时服务器用户配置如图2-97所示。
图2-97 标识名使用sAMAcountName时服务器用户配置
在导航栏中选择“用户管理>认证管理>认证服务器”,将鼠标移至<新建>按钮,在下拉框中选择“RADIUS服务器”,进入RADIUS服务器的配置界面,如图2-98所示。RADIUS服务器详细参数如表2-43所示。
图2-98 RADIUS服务器配置页面
表2-43 RADIUS服务器创建页面详细说明
项目 |
说明 |
服务器名称 |
RADIUS服务器名称。1~63字符。 |
服务器地址 |
RADIUS服务器地址。 |
服务器密码 |
RADIUS服务器密码。 |
端口 |
RADIUS服务器端口,缺省为1812。 |
认证方式 |
可以选择pap或chap两种认证方式,chap比pap认证方式更安全,建议选择chap。 |
测试有效性 |
点击<测试有效性>测试目标RADIUS服务器是否可用。 |
输入完毕后,点击<提交>按钮,应用配置。
在认证服务器显示页面,选中RADIUS服务器后,点击页面上上方的<删除>按钮,或者点击对应RADIUS服务器的<删除>按钮,如图2-99所示,可以删除对应的RADIUS服务器。
在导航栏中选择“用户管理>认证管理>认证服务器>服务器组”,将鼠标移至<新建>按钮,在下拉框中选择“RADIUS组”,进入RADIUS组配置界面,如图2-100所示。RADIUS组详细参数如表2-44所示。
图2-100 RADIUS服务器组配置页面
表2-44 RADIUS服务器组创建页面详细说明
项目 |
说明 |
名称 |
RADIUS服务器组名称。 |
服务器列表 |
已经配置的RADIUS服务器列表。 |
选中左边的服务器列表中的服务器,点击<添加>按钮,可以将选中服务器添加到服务器组中。
选中右边的服务器列表中的服务器,点击<删除>按钮,可以将选中服务器从服务器组中删除。
输入完毕后,点击<提交>按钮,应用配置。
在RADIUS服务器组显示页面,点击对应RADIUS服务器组的<删除>按钮,可以删除对应的RADIUS服务器。
在导航栏中选择“用户管理 > 认证管理 > 认证服务器”,进入认证服务器界面。将鼠标移至“新建”按钮,在下拉框中选择“POP3服务器”,进入POP3服务器的配置界面,如下图所示。
参数 |
说明 |
服务器名称 |
设备上用来唯一标识POP3服务器的名称,与POP3服务器本身的名称无关,可以相同也可以不同。 |
服务器地址 |
POP3服务器地址。输入提供认证服务的POP3服务器的IP地址。 |
服务器端口 |
POP3服务器端口,缺省为995。 |
SSL |
可以选择勾选SSL加密和不勾选SSL加密。默认勾选SSL加密方式,勾选SSL加密方式提高安全性,防止用户名和密码在传输中泄漏。 |
在导航栏中选择“用户管理 > 认证管理 > 认证服务器 > 服务器组”,将鼠标移至“新建”按钮,在下拉框中选择“POP3组”,进入POP3组配置界面,如下图所示。
表2-46 POP3服务器组界面的详细说明
参数 |
说明 |
名称 |
POP3服务器组名称。 |
服务器列表 |
已经配置的POP3服务器列表。 |
选中左边的服务器列表中的服务器,单击“添加”按钮,可以将选中服务器添加到服务器组中;选中右边的服务器列表中的服务器,单击“删除”按钮,可以将选中服务器从服务器组中删除。
在导航栏中选择“用户管理>认证管理>认证服务器”,将鼠标移至<新建>按钮,在下拉框中选择“数据库服务器”,进入数据库服务器的配置界面,如图2-98所示。数据库服务器详细参数如表2-43所示。
图2-103 数据库服务器配置页面
表2-47 数据库服务器创建页面详细说明
项目 |
说明 |
服务器名称 |
数据库服务器名称。1~63字符。 |
类型 |
数据库服务器类型,目前只支持PostgreSQL。 |
服务器IP |
数据库服务器的IP地址。 |
端口 |
数据库服务器端口,一般为5432。 |
数据库编码 |
数据库服务器存储内容的编码方式,支持UTF-8\GBK\BIG5。 |
用户名 |
数据库服务器的合法用户名 |
密码 |
数据库服务器的合法密码 |
数据库名 |
数据库服务器中的数据库表名称 |
超时时间 |
设备与数据库交互信息的超时时间 |
测试有效性 |
测试设备与数据库服务器是否能正常通信 |
输入完毕后,点击<提交>按钮,应用配置。
在认证服务器显示页面,选中数据库服务器后,点击页面上上方的<删除>按钮,或者点击对应数据库服务器的<删除>按钮,如图2-99所示,可以删除对应的数据库服务器。
图2-104 删除数据库服务器
在导航栏中选择“用户管理>认证管理>认证服务器”,进入认证服务器页面,点击<新建>按钮,选择“CAS服务器”,进入CAS服务器配置页面,如下图所示。
图2-105 CAS服务器配置页面
相关配置说明
项目 |
说明 |
服务器名称 |
配置服务器名称 |
描述 |
配置服务器描述 |
关键字 |
配置关键字,用于识别CAS服务器返回报文关键字,获取用户名。默认为“cas:serviceResponse>cas:authenticationSuccess>cas:user” |
校验版本 |
配置校验版本,可选cas2.0或cas3.0,根据CAS服务器进行配置。 |
URL |
配置CAS服务器登录界面的地址,与CAS服务器的配置一致。 |
在导航栏中选择“用户管理>认证管理>认证服务器”,点击<新建>并从下拉菜单选择“OAUTH服务器”,编辑相关信息,点击<提交>即可新建OAUTH服务器。
表2-48 OAUTH服务器详细配置说明
参数 |
说明 |
服务器名称 |
配置OAUTH服务器名称,1-63字符。 |
描述 |
配置OAUTH服务器描述,0~127字符。 |
回调地址 |
设备的管理IP地址加指定端口。 例如:http://192.168.1.1:8000/,OAUTH服务器上的回调地址需要与设备上配置的回调地址保持一致。 |
appID |
填入在OAUTH服务器后台配置的appID,与OAUTH服务器保持一致。 |
appSecret |
填入在OAUTH服务器后台获取的Secret,与OAUTH服务器保持一致。 |
重定向URL |
OAUTH认证的登录页面地址。3-127字符,格式如 http(s)://www.example.com/index.html |
accessToken获取地址 |
OAUTH认证获取access token的请求地址。 |
accessToken请求类型 |
获取access token 请求的方式,选择GET或POST,默认是GET。 |
获取用户信息请求地址 |
OAUTH认证获取用户信息(userinfo)的请求地址。 |
获取用户信息请求类型 |
请求获取用户信息(userinfo)的请求地址的类型,选择GET或POST,默认是GET。 |
获取用户信息所需参数 |
会添加到获取用户信息(userinfo)的请求地址的http url参数或者http head参数。 |
授权范围 |
OAUTH授权允许客户端使用“scope”请求参数指定访问请求的范围。 |
获取方式 |
获取用户信息参数方式。URL参数或HTTP头部参数,默认是URL参数。 |
获取用户关键字 |
OAUTH认证的获取用户信息userinfo返回的json报文中对应用户名的JSON字段。 |
本地Web认证支持用户自注册功能,根据选择的用户自注册对象,在用户认证页面给用户提供自注册账号的功能。通过用户自注册代替管理员注册的方式来实现用户账号的获取,进而通过认证进行上网。用户自注册对象按照注册对象分为以下两种:
· 账号注册:通过申请账号,审批通过后可在任意终端上,通过账号进行认证登录。
· 终端注册:通过绑定IP或Mac来申请终端,审批通过后必须使用绑定的终端进行登录,并无需认证直接可以上网。
进入“用户管理>认证管理>用户自注册”,单击“新建>账号注册”,进入账号自注册对象配置页面。如下图所示。
图2-106 账号注册配置界面
表2-49 账号注册配置说明
项目 |
说明 |
名称 |
自注册对象的名称。长度为1~63字符。 |
手机号、邮箱 |
单击可设置为是否必填项,可以设置预置邮箱域名。 |
注册用户所属组 |
选择用户录入方式,可以指定注册用户所属用户组,也可以让注册的用户和认证策略用户在一个用户组,或让用户自己选择需要录入的用户组。 |
账号有效期 |
选择账号的有效时间,超过有效期后账号失效。 |
预览注册页面 |
查看注册提交的页面,预览页面布局。 |
选择“审批设置”,进入审批设置页面,如下图所示。
图2-107 审批设置页面
表2-50 审批设置页面说明
项目 |
说明 |
审批方式 |
选择是否需要审批,勾选需要审批后则需要选择审批人。 |
审批人设置 |
选择审批的管理员,其中设备审计员不能执行审批权限。 |
结果通知方式 |
是否需要邮箱通知,选择邮箱通知后需要配置邮箱服务器,自注册信息中邮箱默认变为必填项。 |
进入“用户管理>认证管理>用户自注册”,单击“新建>终端注册”,进入终端自注册对象配置页面。如下图所示。
图2-108 终端注册配置界面
表2-51 终端注册配置说明
项目 |
说明 |
名称 |
自注册对象的名称。 |
手机号、邮箱 |
单击可设置为是否必填项,可以设置预置邮箱域名。 |
注册用户所属组 |
选择用户录入方式,可以指定注册用户所属用户组,也可以让注册的用户和认证策略用户在一个用户组,或让用户自己选择需要录入的用户组。 |
绑定方式 |
选择终端绑定的方式,IP或者Mac地址。 |
账号有效期 |
选择账号的有效时间,超过有效期后账号失效。 |
预览注册页面 |
查看注册提交的页面,预览页面布局。 |
选择“审批设置”,进入审批设置页面,如下图所示。
图2-109 审批设置页面
表2-52 审批设置页面说明
项目 |
说明 |
审批方式 |
选择是否需要审批,勾选需要审批后则需要选择审批人。 |
审批人设置 |
选择审批的管理员,其中设备审计员不能执行审批权限。 |
结果通知方式 |
是否需要邮箱通知,选择邮箱通知后需要配置邮箱服务器,自注册信息中邮箱默认变为必填项。 |
进入“用户管理>认证管理>认证策略”,单击<新建>,进入认证策略配置页面。选择是否启用自注册,选择新建的自注册对象,如下图所示。
图2-110 用户自注册认证策略配置页面
使用设置的审批管理员账号登录设备Web管理页面,进入“用户管理>认证管理>用户自注册>审批列表”,可以查看待审批的用户列表,如下图所示。
图2-111 审批列表
单击<详细>按钮可以查看申请审批的详细信息,如下图所示。
图2-112 审批列表详情页面
单击审批按钮通过审批,可以输入通过意见,单击<提交>完成审批,如下图所示。审批通过的用户才可以使用注册的账号密码登录上网。
图2-113 审批通过页面
单击审批按钮拒绝审批,可以输入拒绝意见,单击<提交>完成审批,如下图所示。审批未通过的用户不可以使用注册的账号密码登录上网。
图2-114 审批拒绝页面
在审批列表中选择多个审批记录,点击或,可以批量进行审批。
· 内网用户使用固定IP,通过设备绑定终端IP进行上网;
· 当临时用户需要使用网络时,可通过注册账户进行上网,自由度较高,无需管理员过多维护,账号过期后由管理员统一删除。
图2-115 用户自注册配置举例组网图
(1) 配置接口地址
配置设备的接口,进入“网络配置>接口配置”,配置接口ge0的IP地址为:192.168.2.173/24,ge1的IP地址为10.0.153.1。
图2-116 配置接口地址ge0
图2-117 配置接口地址ge1
(2) 配置静态路由
配置设备为路由模式,进入“网络配置>路由管理>静态路由”,点击新建配置静态路由。
图2-118 配置静态路由
(3) 配置NAT
进入“策略配置>NAT转换策略”,点击新建,配置NAT策略,如下图所示。
图2-119 配置NAT策略
(4) 配置用户自注册对象
进入“用户管理>认证管理>用户自注册”,选择“新建>账号注册”,创建自注册对象。输入名称,选择用户录入的组,账号有效期默认永久,如下图所示。
图2-120 创建自注册对象
单击“提交”后选择进入“审批设置”页面,设置审批员,如下图所示。
图2-121 审批设置页面
单击“提交”完成设置。
(5) 配置认证策略
进入“用户管理>认证管理>认证策略”单击<新建>进入用户认证策略配置页面。输入名称,选择自注册对象,并勾选启用,其他为默认配置即可,如下图所示。
(1) 提交自注册
内网用户通过设备访问外网弹出认证页面,登录按钮旁边会显示注册按钮,点击注册。如下图所示。
图2-122 用户认证注册页面
填写自注册信息,填写必填信息后点击<提交>。
图2-123 自注册页面
(2) 管理员审核
使用审批员账号登录设备Web页面,进入“用户管理>认证管理>用户自注册>审批列表”,可以查看已注册的用户对象,选择审批通过后提交。
图2-124 审批通过页面
(3) 认证登录
使用已注册的账号密码登录成功,如下图所示。
图2-125 认证登录成功页面
进入“用户管理>用户组织结构”,可以查看用户组中加入的注册用户。
认证成功
图2-126 用户组织结构页面
在导航栏中选择“用户管理 >认证管理>高级选项>全局配置”,进入全局配置页面,页面显示了当前的识别配置和认证配置,如图所示。
图2-127 全局配置页面
页面的详细说明如图所示。
表2-53 全局配置详细说明
项目 |
说明 |
识别范围 |
标示用户识别范围的地址对象或者地址对象组。 用户只有同时在用户识别范围内和相应的认证网段中,使用流量的时候才会触发认证过程。如该用户不在用户识别范围内,则不会触发认证过程,也不会识别为匿名用户;如该用户在用户识别范围内,但不在任何一个认证网段中,则该用户被识别为匿名用户。 |
识别模式 |
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。 “启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。 “启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。 “强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。 “强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。 |
启用第三方认证 |
是否启用第三方认证。 |
认证方式 |
第三方认证服务器是Radius服务器或者Ldap服务器。 |
RADIUS |
选择已配置的Radius服务器或服务器组。 |
Ldap |
选择已配置的Ldap服务器或服务器组。 |
HTTPs弹portal |
勾选后,用户在访问HTTPS网站时也可以弹出认证页面。 |
HTTPs弹portal告警消除 |
当用户访问HTTPs时,弹出portal前会有告警。勾选后则不弹出告警。 |
加密认证告警消除 |
本地web认证、短信认证有加密功能,当开启加密时,访问的所有HTTP和HTTPs都被加密为HTTPs,该功能用于消除加密后的HTTPs站点的告警。 |
用户MAC感知 |
开启用户MAC感知后,如检测到用户的MAC地址发生变化,则强制用户重新认证。(开启跨三层MAC地址学习功能时会发生用户MAC地址变更的情况。) |
伪Portal抑制 |
对于Portal重定向支持HTTP302方式和Html-refresh方式,选择HTTP302方式时对所有请求都响应,伪Portal抑制不生效;选择Html-refresh方式时,只响应浏览器的请求,伪Portal抑制生效。 |
用户认证验证码 |
只对本地认证、免认证、pop3认证、混合认证(本地认证、免认证)生效。 |
绑定范围与密码同时校验 |
开启后会同时校验用户绑定的IP/MAC和用户名密码。 |
输入完毕后,点击<提交>按钮,应用配置。
(1) 简介
设备可以读取认证服务器的认证数据库,获取用户上线信息,并将用户信息同步到设备本地完成策略管理。
· 应用场景
当用户有自己的认证系统进行认证,后台数据库为Postgresql数据库,且数据库中存在在线用户信息列表时,可以使用设备结合数据库进行单点登录完成自动认证。
· 原理描述
客户已有一套存储用户认证信息和组织结构信息的数据库系统,可以通过使用设备的数据库用户同步功能在Web界面上配置SQL查询语句,去主动查询数据库系统中的已认证用户列表,并同步到设备的在线用户列表中,从而实现用户通过数据库认证时,即通过设备的用户认证,同样的,用户从数据库认证系统中注销,也自动完成了在设备上的注销(即数据库方式的单点登录/注销)。
(2) 数据库用户同步配置
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>数据库用户同步”,进入数据库用户同步配置页面,如图2-129所示。
图2-128 数据库用户同步配置页面
页面的详细说明如表2-55所示。
表2-54 数据库用户同步配置详细说明
项目 |
说明 |
数据库用户同步 |
|
启用 |
是否启用数据库用户同步功能。开启数据库用户同步功能后,设备会根据同步间隔定期通过数据库select语句去目标服务器上获取表中的用户信息(用户名+IP),动态缓存到设备本地特定目录下,后续对应的IP产生流量过设备时,则会直接加入在线用户,显示为对应的用户名。 |
用户同步IP范围 |
同步数据库用户的过滤条件,在IP范围内的用户信息才会同步到本地。 |
数据库服务器 |
显示已配置的数据库服务器,根据需要选择正确的服务器即可。 |
获取已认证用户列表的SQL语句 |
通过配置正确的SQL语句从数据库中的特定表中获取特定的字段内容(用户名+IP)。 如:select username,ip from usertable; |
同步间隔 |
设备周期性跟数据库服务器同步用户信息的时间间隔 |
测试有效性 |
测试设备是否能从数据库服务器获取到用户信息 |
输入完毕后,点击<提交>按钮,应用配置。
配置数据库同步的前提需要已具备Postgresql数据库,且用户认证信息会存储在数据库中。设备端数据库服务器的配置请参考2.4.4 章节。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>第三方用户同步接口”,进入第三方用户同步配置页面,如图2-129所示。
页面的详细说明如表2-55所示。
项目 |
说明 |
第三方用户同步接口 |
|
服务器1/服务器2 |
是否启用第三方用户同步接口功能。开启第三方用户同步接口功能后,第三方认证服务器将用户上线下报文发送到设备的UDP9999端口,设备通过上下线报文来识别用户。支持同时配置两个对接服务器。 |
服务器名称 |
第三方认证服务器的名称。 |
服务器地址 |
第三方认证服务器的IP地址。 |
密钥 |
与第三方认证服务器之间对接的密钥,需要与对端保持一致。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>Radius用户同步”,进入Radius用户同步配置页面,如图2-130所示。
图2-130 Radius用户同步配置页面
页面的详细说明如表2-56所示。
表2-56 Radius用户同步配置详细说明
项目 |
说明 |
RRadius用户同步 |
|
启用 |
是否启用Radius用户同步,启用该功能后,用户的Radius报文经过设备,即可通过Radius报文来识别用户。 |
Radius认证端口 |
Radius服务器上认证报文的接收端口,默认为1812。支持修改成其它使用的端口. |
Radius计费端口 |
Radius服务器上计费报文的接收端口,默认为1813。支持修改成其它使用的端口. |
用户组 |
用户同步的目的用户组。通过Radius报文识别的用户加入到配置的用户中。 |
配置完毕后,点击<提交>按钮,应用配置。
(1) HTTP流量经过设备
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>web用户同步”,进入web用户同步配置页面,如图2-131所示。
图2-131 web用户同步(HTTP流量经过设备)配置页面
页面的详细说明如表2-57所示。
表2-57 web用户同步(HTTP流量经过设备)配置详细说明
项目 |
说明 |
web用户同步(HTTP流量经过设备) |
|
启用 |
是否启用web用户同步,启用该功能后,用户的HTTP认证报文经过设备,即可通过HTTP认证报文来识别用户。 |
web服务器 |
配置web服务器,支持域名、IP地址、IP地址加端口。 |
类型 |
支持从URL请求参数、Cookie值、post表单中获取认证用户名。 |
url请求参数 |
对应的报文字段中查询配置的用户名关键字,配置用户名获取类型为url请求参数时配置对应url参数名;配置用户名获取类型为Cookie值时配置对应Cookie名;配置用户名获取类型为POST表单时配置对应用户表单名称。 |
用户组 |
用户默认属于web用户组,可以修改所属用户组。 |
启用认证关键字 |
是否启用认证关键字,启用该功能后,支持校验服务器响应。 |
认证成功关键字 |
启用认证成功关键字后,响应报文匹配到配置的认证成功关键字后用户才可上线,否则用户上线失败。 |
认证失败关键字 |
启用认证失败关键字后,响应报文匹配到配置的认证失败关键字后用户上线失败,否则用户上线。 |
输入完毕后,点击<提交>按钮,应用配置。
(2) HTTP流量到达设备
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>web用户同步”,进入web用户同步配置页面,如下图所示。
图2-132 web用户同步(HTTP流量到达设备)配置页面
页面的详细说明如表2-57所示。
表2-58 web用户同步(HTTP流量到达设备)配置详细说明
项目 |
说明 |
web用户同步(HTTP流量到达设备) |
|
启用 |
是否启用web用户同步,启用该功能后,用户的HTTP认证报文达到设备,即可通过HTTP认证报文来识别用户。 |
URL |
配置url,HTTP请求的资源路径。 |
服务器端口 |
配置用于接收第三方认证报文的设备服务端口。 |
用户组 |
用户默认属于web用户同步,可以修改所属用户组。 |
启用上线信息同步 |
是否启用上线信息同步,启用该功能后,支持匹配到配置上线信息后用户上线。 |
上线标记 |
认证上线请求报文匹配到上线标记后用户才可上线,否则用户上线失败。 |
上线用户名 |
认证上线请求报文匹配到上线用户名起始及终止符后用户才可上线,否则用户上线失败。 |
上线用户IP |
认证上线请求报文匹配到上线用户ip的起始及终止符后用户才可上线,否则用户上线失败。 |
上线用户MAC |
认证上线请求报文匹配到上线用户mac起始及终止符后用户才可上线,否则用户上线失败。 |
启用下线信息同步 |
是否启用下线信息同步,启用该功能后,支持匹配到配置下线信息后用户下线。 |
下线标记 |
认证下线请求报文匹配到上线标记后用户才可下线,否则用户下线失败。 |
下线用户名 |
认证下线请求报文匹配到下线用户名起始及终止符后用户才可下线,否则用户下线失败。 |
下线用户IP |
认证下线请求报文匹配到下线用户ip的起始及终止符后用户才可下线,否则用户下线失败。 |
下线用户MAC |
认证下线请求报文匹配到下线用户mac起始及终止符后用户才可下线,否则用户下线失败。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>其它用户同步”,进入其它用户同步配置页面,如图2-133所示。
页面的详细说明如表2-59所示。
项目 |
说明 |
其它用户同步 |
|
深澜 |
勾选表示与深澜认证服务器对接。开启此功能后,配置深澜服务器发送相应的报文到设备,即可识别用户。 |
城市热点 |
勾选表示与城市热点认证服务器对接。开启此功能后,配置城市热点服务器发送相应的报文到设备,即可识别用户。 |
PPPOE |
勾选表示与PPPOE服务器用户同步。通过PPPoE报文识别用户并在本地用户界面创建相应的用户PPPOE账号。 |
安美 |
勾选表示与安美认证服务器对接。开启此功能后,配置安美服务器发送相应的报文到设备,即可识别用户。 |
ddi终端用户 |
勾选表示与ddi服务器对接。开启此功能后,配置ddi服务器发送相应的报文到设备,即可识别用户终端类型。 |
输入完毕后,点击<提交>按钮,应用配置。
选择“用户管理>认证管理>高级选项”,选择第三方用户同步页签。选择未同步用户Portal推送进入未同步用户Portal推送配置页面,编辑相关信息,点击<提交>。可以针对未认证的用户指定地址范围,进行Portal推送。
配置项 |
说明 |
启用 |
勾选为启用,不勾选为禁用。 |
用户同步IP范围 |
配置推送地址范围。 |
重定向URL |
配置认证的Portal页面。可输入3-127个字符。 |
设备支持认证策略白名单功能,配置认证策略后,可以对需要访问的地址加入认证策略白名单,终端用户访问加入认证策略白名单的网站时,将会跳过用户认证,不弹出认证页面。
选择“用户管理>认证管理>高级选项”,选择认证策略白名单页签,查看设备上已配置的认证策略白名单。
点击<新建>,编辑相关信息,点击<提交>可新建认证策略白名单。
详细配置请参见下表。
标题 |
说明 |
主机名 |
认证策略白名单地址为目的地址,支持IPv4和IPv6和域名方式。 |
排除 |
主机名配置为排除时,配置认证策略,访问该主机会弹出认证页面;主机名不配置排除时,配置认证策略,访问该主机不会弹认证页面。 例如: 配置一条baidu.com认证策略白名单,再配置一条排除的认证策略白名单map.baidu.com,此时访问www.baidu.com不会弹出认证页面,访问map.baidu.com会弹出认证页面。 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!