- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-用戶管理
本章節下載: 01-用戶管理 (378.60 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 本地用戶
¡ 身份識別用戶
¡ 在線用戶
¡ 用戶導入策略
· 配置指南
¡ 配置本地用戶
¡ 管理在線用戶
¡ 配置用戶導入策略
所謂本地用戶,是指在本地設備上設置的一組用戶屬性的集合。該集合以用戶名作為用戶的唯一標識。本地用戶供通過設備訪問網絡服務的用戶使用。
當選擇使用本地認證、本地授權、本地計費方法對用戶進行認證、授權或計費時,應在設備上創建本地用戶並配置相關屬性。
為了簡化本地用戶的配置,增強本地用戶的可管理性,引入了用戶組的概念。用戶組是一個本地用戶屬性的集合,某些需要集中管理的屬性可在用戶組中統一配置和管理,用戶組內的所有本地用戶都可以繼承這些屬性。目前,用戶組中可以管理的用戶屬性為授權屬性。
每個新增的本地用戶都默認屬於一個係統自動創建的用戶組system,且繼承該組的所有屬性。
通過用戶身份識別與管理功能,設備可以將網絡流量的IP地址識別為用戶,並基於用戶進行網絡訪問控製和網絡權限分配。該功能具有以下優點:
· 基於用戶進行其他業務策略的製定,可提高策略的易用性。
· 基於用戶進行網絡攻擊行為以及流量的統計和分析,可實現對用戶網絡訪問行為的追蹤審計。
· 解決了用戶IP地址動態變化帶來的策略控製問題,即以不變的用戶應對變化的IP地址。
身份識別用戶用於存儲和管理不同來源的網絡接入用戶的身份信息,包括用戶名、用戶組名以及所屬身份識別域名。設備上,不同來源的身份識別用戶被身份識別模塊統一管理。
目前,支持以下方式生成身份識別用戶:
· 從本地用戶數據庫學習:用戶身份識別模塊學習設備上的本地用戶信息,將其保存為身份識別用戶。
· 從CSV文件中導入:管理員將記錄了用戶信息的CSV文件導入到設備中,可批量創建身份識別用戶。
· 從第三方服務器導入:通過向第三方服務器發起用戶信息請求,將服務器上的網絡接入用戶賬戶信息直接導入本地,並生成對應的身份識別用戶。如果實際網絡環境中的用戶信息存放在第三方認證服務器上,則可采用此方式統一管理。支持的第三方服務器包括LDAP服務器和H3C iMC的RESTful服務器。
身份識別用戶賬戶將會由於以下原因被刪除:
· 管理員手工刪除身份識別用戶。
· 本地用戶數據庫中刪除某本地用戶之後,用戶身份識別模塊會同步刪除對應的身份識別用戶賬戶。
在用戶身份識別業務中,可以將用戶加入到組中進行批量配置和層級式管理,這樣的組稱為身份識別用戶組。設備上,不同來源的身份識別用戶組被用戶身份識別模塊統一管理。
目前,支持以下方式生成身份識別用戶組:
· 從本地用戶數據庫學習:當設備上創建本地用戶組時,會通知用戶身份識別模塊生成相應的身份識別用戶組。
· 從CSV文件中導入:設備在從CSV文件中導入身份識別用戶賬戶的同時,可以根據管理員的配置自動生成相應的身份識別用戶組。
· 從第三方服務器導入:設備在從第三方服務器上導入身份識別用戶賬戶的同時,會根據賬戶中的組信息自動生成相應的身份識別用戶組。
身份識別用戶組被應用模塊引用之後,該用戶組將處於激活狀態,所有基於該組的業務將會生效。當應用模塊取消對該身份識別用戶組的引用,該身份識別用戶組將處於非激活狀態。
身份識別用戶組將會由於以下原因被刪除:
· 管理員手工刪除身份識別用戶組。
· 本地用戶數據庫中刪除本地用戶組之後,用戶身份識別模塊會同步刪除對應的身份識別用戶組。
設備上的所有身份識別用戶按樹形結構組織,每一個身份識別用戶隸屬於一個或多個身份識別用戶組,每個身份識別用戶組也可以隸屬於一個更高結構層次的身份識別用戶組。這種樹形組織結構易於管理員查詢、定位,是企業內常用的用戶組織方式。網絡管理員可以根據企業的組織結構在設備上創建身份識別用戶組和身份識別用戶,分別對應不同管理級別的部門和員工,如圖-1所示:
基於用戶身份的訪問控製流程主要包括如下步驟:
1. 用戶身份認證:網絡接入用戶通過一定的認證方式(本地認證、遠程服務器認證、單點登錄)提供用戶名和密碼信息,完成身份驗證,並成為在線用戶。
2. 用戶身份識別:設備記錄在線用戶的用戶名和IP地址信息,並與本地存儲的用戶和用戶組配置進行關聯,實現IP地址和用戶的映射。管理員也可以直接配置用戶和IP地址的映射關係,便於無需認證的網絡接入用戶使用。
3. 業務策略執行:在線用戶訪問網絡服務時,設備識別出用戶流量的源IP地址,並根據已建立IP地址和用戶的映射關係解析出對應的用戶名以及所屬的用戶組,然後按照業務對用戶/用戶組的策略配置,對該用戶的網絡訪問權限進行控製。
在線用戶是指用戶身份識別模塊管理的上線用戶(包括Portal、PPP、IPoE類型)。設備記錄的在線用戶信息可包括用戶名、身份識別域名、IP地址、MAC地址等。
在線用戶有以下兩種來源:
· 動態生成:
¡ 在本設備接入,且通過本地認證或遠程服務器認證的在線網絡接入用戶。用戶上線後,用戶身份識別模塊會在本地身份識別用戶數據庫中查詢該用戶名和域名對應的表項,如果查詢成功,則會生成一條在線用戶表項。
¡ 從第三方服務器上導入的在線網絡接入用戶。導入在線用戶信息時,用戶身份識別模塊會在本地身份識別用戶數據庫中查詢用戶名和域名對應的表項,如果查詢成功,則會生成對應的在線用戶表項。可采用此方式將第三方服務器上的所有在線用戶信息導入到本設備進行統一管理和監控。支持的第三方服務器為H3C iMC的RESTful服務器。
· 靜態配置:網絡管理員手工配置靜態類型的身份識別用戶表項,它記錄用戶名和IP地址的綁定關係。一個靜態類型的身份識別用戶表項創建後,用戶身份識別模塊會在本地身份識別用戶數據庫中查詢該用戶名和域名對應的表項,如果查詢成功,則會生成一條靜態類型的在線用戶表項。一些組網需求下,例如有少量指定人員臨時接入網絡時,網絡管理員希望這些用戶無需進行認證也能夠在安全特性的管理下訪問網絡,則可以通過配置靜態類型的在線用戶滿足該需求。
在線用戶可被應用模塊引用,進行相關業務策略的處理。在線用戶表項被刪除後,用戶身份識別模塊將通知應用模塊停止該用戶相關的業務處理。
在線用戶表項將會由於以下原因被刪除:
· 管理員手工刪除在線用戶表項。
· 本設備接入的用戶下線後,接入模塊通知用戶身份識別模塊刪除對應的在線用戶表項。
· 設備重啟後,所有動態類型的在線用戶表項均被刪除。
· 用戶身份識別功能關閉,所有在線用戶表項均被刪除。
· 第三方服務器上用戶下線時,服務器會主動通知設備刪除相應的在線用戶表項。
用戶導入策略用於配置用戶身份識別模塊從第三方服務器上導入身份識別用戶信息的策略,可導入的用戶信息包括身份識別用戶信息、身份識別用戶組信息和在線用戶信息。目前,係統支持的可導入的第三方服務器為H3C iMC的RESTful服務器和LDAP服務器。
目前,用戶導入策略支持如下幾種導入方式:
· 自動導入:采用自動導入方式後,設備首先會從導入策略中指定的服務器上導入服務器上的所有身份識別用戶賬戶信息和所有在線用戶信息,然後定期從該服務器上自動導入身份識別用戶賬戶。
· 手動導入:采用手動導入方式後,設備將向導入策略中指定的服務器發起一次連接請求,之後導入服務器上的所有身份識別用戶賬戶信息和在線用戶信息。
配置本地用戶包括兩種方法:新建本地用戶和批量導入本地用戶。
新建本地用戶的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”。
2. 選擇“用戶”頁簽,在“用戶”頁麵單擊<新建>按鈕,進入“新建用戶”頁麵。
3. 在“新建用戶”頁麵的具體配置內容如下表所示:
表-1 配置用戶參數表
|
參數 |
說明 |
|
用戶名 |
網絡接入類用戶,用於通過設備接入網絡,訪問網絡資源的用戶。當需要進行本地認證時,需要在設備上配置本地用戶 |
|
密碼和確認密碼 |
用戶進行接入認證所使用的密碼 |
|
授權用戶組 |
每一個本地用戶都屬於一個本地用戶組,並繼承組中的所有屬性(密碼管理屬性和用戶授權屬性) |
|
身份識別用戶組 |
本地用戶加入身份識別用戶組後,將成為該組的成員,接受基於組的用戶身份識別業務處理 |
|
可用服務 |
可用服務是用戶可使用的網絡服務類型。該屬性是本地認證的檢測項,如果沒有用戶可以使用的服務類型,則該用戶無法通過認證 |
|
同時在線最大用戶數 |
使用當前用戶名接入設備的最大用戶數目。若當前該用戶名的接入用戶數已達最大值,則使用該用戶名的新用戶將被禁止接入 |
|
描述 |
配置有關此用戶的描述信息 |
4. (可選)配置授權屬性,具體包括如下表所示:
表-2 配置授權屬性參數表
|
參數 |
說明 |
|
授權ACL |
本地用戶認證成功後,將被授權僅可以訪問符合指定ACL規則的網絡資源 |
|
用戶閑置切斷時間 |
如果用戶在線後連續閑置的時長超過該值,設備會強製該用戶下線 |
|
SSL VPN策略組 |
本地用戶認證成功後,將被授權僅可以訪問指定SSL VPN策略組內的網絡資源。此屬性僅對SSL VPN用戶有效 |
5. (可選)配置綁定屬性,具體包括如下表所示:
表-3 配置綁定屬性參數表
|
參數 |
說明 |
|
用戶接入的接口 |
如果用戶接入的接口與此處綁定的接口不一致,則認證失敗 |
|
用戶的MAC地址 |
如果用戶的MAC地址與此處綁定的MAC地址不一致,則認證失敗 |
|
用戶所屬的VLAN |
如果用戶接入的VLAN與此處綁定的VLAN不一致,則認證失敗 |
6. 單擊<確定>按鈕,新建用戶成功,且會在“用戶”頁麵中顯示。
批量導入本地用戶的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”。
2. 選擇“用戶”頁簽,在“用戶”頁麵單擊<導入>按鈕,進入“導入用戶”頁麵。
3. 在“導入用戶”頁麵的具體配置內容如下表所示:
表-4 配置導入用戶參數表
|
參數 |
說明 |
|
導入文件 |
通過導入文件可批量創建本地用戶。按照CSV模板格式導入用戶時,不能隨意修改模板的注釋頭,否則會造成導入數據丟失 |
|
自動創建用戶組 |
表示當設備上不存在用戶所屬的用戶組時,係統會自動創建用戶組,並將用戶加入該用戶組。若不配置該參數,則表示當設備上不存在用戶所屬的用戶組時,係統不會創建對應的用戶組,而是將用戶其加入缺省用戶組system |
|
覆蓋同名用戶 |
表示當導入的用戶名已經存在於設備上時,係統使用導入的用戶信息覆蓋掉已有的同名用戶配置。若不配置該參數,則表示不導入文件中的同名用戶信息,即保留設備上已有的同名用戶配置 |
|
導入用戶信息的起始行 |
表示從文件的指定行開始導入用戶信息。若不配置該參數,則表示導入文件中的所有用戶信息 |
4. 單擊<確定>按鈕,批量導入用戶成功,且會在“用戶”頁麵中顯示處導入的用戶。
在線用戶的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 在線用戶”。
2. 在“在線用戶”頁麵的具體配置內容如下表所示:
表-5 配置導入用戶參數表
|
參數 |
說明 |
|
單擊<開啟身份識別功能> |
開啟設備的身份識別功能 |
|
選擇在線用戶匹配模式 |
其包括如下三種模式: · 保持原有:表示僅使用用戶輸入的用戶名進行身份識別用戶匹配 · 攜帶域匹配:表示使用用戶的認證域進行身份識別用戶匹配 · 不攜帶域匹配:表示不對用戶賬戶的域名進行匹配,即使用用戶輸入的純用戶名與設備上未加入任何身份識別域的身份識別用戶進行匹配 |
用戶導入策略的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 用戶導入策略”。
2. 在“用戶導入策略”頁麵單擊<新建>按鈕,進入“新建用戶導入策略”頁麵。
3. 在“新建用戶導入策略”頁麵的具體配置內容如下表所示:
表-6 配置用戶導入策略參數表
|
參數 |
說明 |
|
名稱 |
用於唯一標識一個用戶導入策略 |
|
RESTful服務器 |
指定RESTful服務器,用於從此RESTful服務器上導入身份識別用戶信息和在線用戶信息 |
|
LDAP方案 |
指定LDAP方案,用於從此LDAP方案中的LDAP服務器上導入身份識別用戶信息 |
|
導入類型 |
此配置項的內容僅對LDAP方案有效 |
|
開啟自動導入功能 |
開啟此功能後,設備首先會從導入策略中指定的服務器上導入服務器上的所有用戶賬戶信息和所有在線用戶信息,然後定期從該服務器上自動導入身份識別用戶賬戶 |
|
導入周期 |
自動導入身份識別用戶賬戶的周期 |
4. 單擊<確定>按鈕,新建用戶導入策略成功,且會在“用戶導入”頁麵中顯示。
配置完用戶導入策略後,若需要手動導入身份識別用戶和在線用戶,則管理員可在“用戶導入策略”頁麵,選擇如下功能:
· 手動導入身份識別用戶:設備向第三方服務器發起用戶信息請求,將服務器上的用戶賬戶信息直接導入本地,並生成對應的身份識別用戶。在導入過程中,若某個賬戶導入失敗,則跳過該賬戶,繼續導入。
· 手動導入在線用戶:單擊此按鈕後,設備向指定的第三方服務器發起在線用戶請求,實現導入服務器上當前所有在線用戶信息的目的。目前,僅支持從H3C iMC的RESTful服務器上導入在線身份識別用戶。
· 若不設置本地用戶密碼,則本地用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性認證通過即可認證成功。因此為提高用戶帳戶的安全性,建議設置本地用戶密碼。
· 對於Portal類型的用戶,僅授權ACL和授權用戶閑置切斷時間。
· 對於SSL VPN接入類型的用戶,僅授權SSL VPN策略組有效。
· 在“用戶“頁麵,使用CSV模板批量導入用戶時,需要按照模板格式導入且不能隨意修改模板的注釋頭,否則會造成導入數據丟失。
· 本特性支持的H3C iMC的RESTful服務器必須為支持SSM組件的iMC PLAT 7.0 (E0201)及其補丁版本。
· 當設備上的RESTful服務器配置完成,且與遠程RESTful服務器建立連接後,H3C iMC的RESTful服務器會實時向設備同步用戶上線和下線的信息,刷新設備上的在線用戶表項。
· 在“對象 > 用戶 > 用戶管理 > 身份識別用戶”頁麵,刪除身份識別用戶時,僅刪除導入的用戶,本地用戶不會被刪除。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
