- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-認證管理
本章節下載: 02-認證管理 (379.81 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ ISP域簡介
¡ RADIUS簡介
¡ LDAP簡介
· 配置指南
¡ 配置ISP域
¡ 配置RADIUS
¡ 配置LDAP
設備對用戶的管理是基於ISP(Internet Service Provider,互聯網服務提供者)域的,一個ISP域對應著一套實現AAA(Authentication、Authorization、Accounting,認證、授權、計費)的配置策略,它們是管理員針對該域用戶製定的一套認證、授權、計費方法,可根據用戶的接入特征以及不同的安全需求組合使用。
設備支持的認證方法包括:
· 不認證:對用戶非常信任,不對其進行合法性檢查,一般情況下不采用這種方法。
· 本地認證:認證過程在接入設備上完成,用戶信息(包括用戶名、密碼和各種屬性)配置在接入設備上。優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限製。
· 遠端認證(RADIUS):認證過程在接入設備和遠端的服務器之間完成,接入設備和遠端服務器之間通過RADIUS協議通信。優點是用戶信息集中在服務器上統一管理,可實現大容量、高可靠性、支持多設備的集中式統一認證。當遠端主服務器無效時,可配置備份服務器完成認證。
· 單點登錄:認證過程在接入設備和遠端的第三方服務器之間完成,認證通過後,第三方認證服務器將用戶的身份信息發送給需要進行身份識別的設備,這樣即可實現用戶在此設備上的認證。
設備支持的授權方法包括:
· 不授權:接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的login用戶隻有係統所給予的缺省用戶角色,其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄,但並無訪問權限;認證通過的非login用戶,可直接訪問網絡。
· 本地授權:授權過程在接入設備上進行,根據接入設備上為本地用戶配置的相關屬性進行授權。
· 遠端授權(RADIUS):授權過程在接入設備和遠端服務器之間完成。RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。RADIUS認證成功後,才能進行授權,RADIUS授權信息攜帶在認證回應報文中下發給用戶。當遠端服務器無效時,可配置備選授權方式完成授權。
設備支持的計費方法包括:
· 不計費:不對用戶計費。
· 本地計費:計費過程在接入設備上完成,實現了本地用戶連接數的統計和限製,並沒有實際的費用統計功能。
· 遠端計費(RADIUS):計費過程在接入設備和遠端的服務器之間完成。當遠端服務器無效時,可配置備選計費方式完成計費。
每個用戶都屬於一個ISP域。為便於對不同接入方式的用戶進行區分管理,提供更為精細且有差異化的認證、授權、計費服務,設備將用戶劃分為以下幾個類型:
· LAN接入用戶:例如802.1X認證用戶,此種接入方式防火牆產品不支持。
· 登錄用戶:例如Telnet、FTP、終端接入用戶(即從Console、AUX等接口登錄的用戶)。
· Portal用戶。
在多ISP的應用環境中,不同ISP域的用戶有可能接入同一台設備,因此係統中可以存在多個ISP域,其中包括一個缺省存在的名稱為system的ISP域。如果某個用戶在登錄時沒有提供ISP域名,係統將把它歸於缺省的ISP域。係統缺省的ISP域可以手工修改為一個指定的ISP域。
用戶認證時,設備將按照如下先後順序為其選擇認證域:接入模塊指定的認證域-->用戶名中指定的ISP域-->係統缺省的ISP域。
RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。
· RADIUS客戶端:一般位於接入設備上,可以遍布整個網絡,負責將用戶信息傳輸到指定的RADIUS服務器,然後根據服務器返回的信息進行相應處理(如接受/拒絕用戶接入)。
· RADIUS服務器:一般運行在中心計算機或工作站上,維護用戶的身份信息和與其相關的網絡服務信息,負責接收接入設備發送的認證、授權、計費請求並進行相應的處理,然後給接入設備返回處理結果(如接受/拒絕認證請求)。
RADIUS協議使用UDP作為封裝RADIUS報文的傳輸層協議,通過使用共享密鑰機製來保證客戶端和RADIUS服務器之間消息交互的安全性。
當接入設備對用戶提供AAA(Authentication、Authorization、Accounting,認證、授權、計費)服務時,若要對用戶采用RADIUS服務器進行認證、授權、計費,則作為RADIUS客戶端的接入設備上需要配置相應的RADIUS服務器參數。
· Accounting-on功能
設備重啟後,重啟前的原在線用戶可能會被RADIUS服務器認為仍然在線而短時間內無法再次登錄。為了解決這個問題,需要開啟Accounting-on功能。
開啟了Accounting-on功能後,設備會在重啟後主動向RADIUS服務器發送Accounting-on報文來告知自己已經重啟,並要求RADIUS服務器停止計費且強製通過本設備上線的用戶下線。若設備發送Accounting-on報文後RADIUS服務器無響應,則會在按照一定的時間間隔嚐試重發幾次。分布式設備單板重啟時,Accounting-on功能的實現需要和iMC網管係統配合使用。
· Session control功能
iMC RADIUS服務器使用session control報文向設備發送授權信息的動態修改請求以及斷開連接請求。設備上開啟接收session control報文的開關後,會打開知名UDP端口1812來監聽並接收RADIUS服務器發送的session control報文。
需要注意的是,該功能僅能和iMC RADIUS服務器配合使用。
· 在線修改用戶密碼
可以通過本功能控製設備是否使用RADIUS 17號標準屬性來支持用戶在線修改密碼。開啟本功能後,設備在收到用戶的密碼修改請求後,會向RADIUS服務器發送一個認證請求報文,在該報文中將用戶的舊密碼和新密碼分別攜帶在2號、17號標準屬性中。如果RADIUS服務器支持用戶在線修改密碼,則會響應此認證請求。
LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)是一種目錄訪問協議,基於Client/Server結構提供跨平台的、基於標準的目錄服務,所有的目錄信息數據存儲在LDAP服務器上。
LDAP協議的典型應用是用來保存係統中的用戶信息,如Microsoft的Windows操作係統就使用了Active Directory Server(一種LDAP服務器軟件)來保存操作係統的用戶、用戶組等信息,用於用戶登錄Windows時的認證和授權。
LDAP中使用目錄記錄並管理係統中的組織信息、人員信息以及資源信息。目錄按照樹型結構組織,由多個條目(Entry)組成的。條目是具有DN(Distinguished Name,識別名)的屬性(Attribute)集合。屬性用來承載各種類型的數據信息,例如用戶名、密碼、郵件、計算機名、聯係電話等。
在用戶的LDAP授權過程中,設備會通過查詢操作得到用戶的授權信息,該授權信息由LDAP服務器通過若幹LDAP屬性下發給設備。若設備從LDAP服務器查詢得到某LDAP屬性,則該屬性隻有在被設備的AAA模塊解析之後才能實際生效。如果某LDAP服務器下發給用戶的屬性不能被AAA模塊解析,則該屬性將被忽略。因此,需要通過配置LDAP屬性映射表來指定要獲取哪些LDAP屬性,以及LDAP服務器下發的這些屬性將被AAA模塊解析為什麼類型的AAA屬性,具體映射為哪種類型的AAA屬性由實際應用需求決定。
每一個LDAP屬性映射表項定義了一個LDAP屬性與一個AAA屬性的對應關係。將一個LDAP屬性表在指定的LDAP方案視圖中引用後,該映射關係將在LDAP授權過程中生效。
RESTful服務器中定義了RESTful服務器的相關參數,包括登錄賬戶和服務器URI。設備與RESTful服務器成功建立連接之後,可以從該服務器上手動或定期自動導入身份識別用戶信息和在線用戶信息。有關身份識別用戶的詳細介紹,請參見“用戶管理聯機幫助”。
Sec Manage服務器通過配置相關參數,用於接收華為公司的TSM(Terminal Security Management,終端安全管理)係統發送的用戶登錄/注銷信息,用於更新設備上的在線用戶信息。
對用戶的認證、授權和計費策略是通過在ISP域中為不同的接入方式配置相應的認證、授權、計費方案來實現的。在一個ISP域中,除了設置認證、授權、計費方案之外,還包括一些自身的屬性,例如域的狀態、用戶授權屬性,這些域屬性對於接入該域的所有用戶均生效。若對用戶采用本地認證方案,則需要完成本地認證的配置;若采用遠端認證、授權或計費方案,則需要完成RADIUS的配置。
ISP域的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 認證管理 > ISP域”。
2. 在“ISP域”頁麵單擊<新建>按鈕,進入“添加ISP域”頁麵。
3. 在“添加ISP域”頁麵的具體配置內容如下表所示:
表-1 配置IPS域參數表
|
參數 |
說明 |
|
域名 |
用於唯一標識一個ISP域 |
|
狀態 |
狀態包括如下兩種: · 活動狀態:係統允許該域下的用戶請求網絡服務 · 阻塞狀態:係統不允許該域下的用戶請求網絡服務 |
|
接入方式 |
可根據不同的接入認證需求,選擇不同的接入方式。例如,登錄用戶方式適用於需要認證登錄設備的管理用戶等 |
4. (可選)配置高級配置,具體內容如下表所示:
表-2 高級配置參數表
|
參數 |
說明 |
|
用戶閑置切斷時間 |
用戶上線後,設備會周期性檢測用戶的流量,若ISP域內某用戶在指定的閑置檢測時間內產生的流量小於指定的數據流量,則會被強製下線 |
|
用戶在閑置切斷時間內產生的數據流量 |
用戶閑置切斷時用於設置檢測流量的閾值 |
|
為用戶分配IP地址的地址池 |
認證成功的PPP和Portal用戶可以從指定的地址池中分配得到一個IP地址 |
5. 單擊<確定>按鈕,新建ISP域成功,且會在“ISP域”頁麵中顯示。
RADIUS的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 認證管理 > RADIUS”。
2. 在“RADIUS”頁麵單擊<新建>按鈕,進入“新建RADIUS”頁麵。
3. 在“新建RADIUS”頁麵的具體配置內容如下表所示:
表-3 配置RADIUS參數表
|
參數 |
說明 |
|
認證服務器 |
指定認證服務器的IP地址、端口號和共享密鑰等信息 |
|
計費服務器 |
指定計費服務器的IP地址、端口號和共享密鑰等信息 |
|
高級功能 |
根據實際需求配置高級功能 |
4. 單擊<確定>按鈕,新建RADIUS方案成功,且會在“RADIUS”頁麵中顯示。
LDAP方案的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 認證管理 > LDAP”。
2. 在“LDAP方案”頁麵單擊<新建>按鈕,進入“新建LDAP方案”頁麵。
3. 在“新建LDAP方案”頁麵的具體配置內容如下表所示:
表-4 配置LDAP方案參數表
|
參數 |
說明 |
|
名稱 |
用於唯一標識一個LDAP方案 |
|
LDAP服務器名 |
表示LDAP服務器的名稱。在LDAP服務器中可配置相關參數,用於設備與遠程LDAP服務器建立連接 |
|
屬性映射表 |
引用LDAP屬性映射表後,可將LDAP授權服務器下發給用戶的LDAP屬性映射為AAA模塊可以解析的某類屬性 |
|
VRF |
表示遠程LDAP服務器所屬的VPN,若不配置該參數時,則表示LDAP服務器屬於公網 |
|
地址類型 |
遠程LDAP服務器的地址類型包括IPv4和IPv6兩種 |
|
服務器地址 |
遠程LDAP服務器的IP地址 |
|
端口 |
遠程LDAP服務器上使用的端口號 |
|
管理員DN |
表示具有管理員權限的用戶DN,必須與遠程LDAP服務器上管理員的DN一致 |
|
管理員密碼 |
LDAP服務器上管理員的DN的密碼 |
|
LDAP版本號 |
目前設備支持LDAPv2和LDAPv3兩個協議版本。設備上配置的LDAP版本號需要與遠程LDAP服務器支持的版本號保持一致 |
|
超時時間 |
設備向遠程LDAP服務器發送綁定請求、查詢請求,如果經過指定的時間後未收到LDAP服務器的回應,則認為本次認證、授權請求超時 |
|
用戶DN查詢的起始節點 |
遠程LDAP服務器上的目錄結構可能具有很深的層次,如果從根目錄進行用戶DN的查找,耗費的時間將會較長,因此必須配置用戶查找的起始點DN,以提高查找效率 |
|
用戶DN查詢的範圍 |
所有子目錄表示在起始DN的所有子目錄下進行查詢;下一級子目錄表示隻在起始DN的下一級子目錄下進行查詢 |
|
用戶名稱屬性 |
表示用戶名屬性的值,缺省為cn |
|
用戶名稱格式 |
攜帶ISP域名表示發送給服務器的用戶名帶ISP域名;不攜帶ISP域名表示表示發送給服務器的用戶名不帶ISP域名 |
|
用戶名稱類型 |
表示查詢用戶DN時使用的用戶對象類型 |
|
過濾條件 |
設備從LDAP服務器上導入身份識別用戶組信息時,LDAP服務器會根據設置的用戶組過濾條件篩選出符合條件的用戶組信息發送給設備 |
4. 單擊<確定>按鈕,新建LDAP方案成功,且會在“LDAP方案”頁麵中顯示。
RESTful服務器的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 認證管理 > RESTful服務器”。
2. 在“RESTful服務器”頁麵單擊<新建>按鈕,進入“新建RESTful服務器”頁麵。
3. 在“新建RESTful服務器”頁麵的具體配置內容如下表所示:
表-5 配置RESTful服務器參數表
|
參數 |
說明 |
|
名稱 |
用來唯一標識一個RESTful服務器 |
|
用戶名 |
表示與遠程RESTful服務器認證使用的管理員的名稱 |
|
密碼 |
表示與遠程RESTful服務器認證使用的管理員的密碼 |
|
獲取用戶賬戶的URI |
表示遠程RESTful服務器上提供用戶賬戶的URI |
|
獲取在線用戶的URI |
表示遠程RESTful服務器上提供在線用戶的URI |
|
獲取用戶組的URI |
表示遠程RESTful服務器上提供用戶組的URI |
|
上傳在線用戶的URI |
新增一個在線用戶時,若該用戶來源不是指定的RESTful服務器,則設備會將這些上線用戶信息上傳給RESTful服務器 |
|
上傳下線用戶的URI |
刪除一個在線用戶時,若該用戶來源不是指定的RESTful服務器,則設備會將這些下線用戶信息上傳給RESTful服務器 |
|
VRF |
表示遠程RESTful服務器所屬的VPN,若不配置該參數時,則表示RESTful服務器屬於公網 |
|
開啟探測功能 |
開啟此功能後,設備將與該RESTful服務器進行交互,並返回設備與RESTful服務器的連接狀態值,根據返回的連接狀態值確定是否要進入逃生機製 |
4. 單擊<確定>按鈕,新建RESTful服務器成功,且會在“RESTful服務器”頁麵中顯示。
Sec Manage服務器的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 認證管理 > Sec Manage服務器”。
2. 在“Sec Manage服務器”頁麵單擊<新建>按鈕,進入“新建Sec Manage服務器”頁麵。
3. 在“新建Sec Manage服務器”頁麵的具體配置內容如下表說是:
表-6 配置RADIUS參數表
|
參數 |
說明 |
|
名稱 |
用於唯一標識一個Sec Manage服務器 |
|
服務器地址 |
表示遠程TSM服務器的IP地址 |
|
服務器端口 |
表示遠程TSM服務器發送消息的源端口號 |
|
監聽端口 |
表示遠程TSM服務器發送消息的目的端口號 |
|
加密算法 |
表示解密遠程TSM服務器發送消息時,使用的加密算法 |
|
共享密鑰 |
表示解密遠程TSM服務器發送消息時,使用的密鑰 |
4. 單擊<確定>按鈕,新建Sec Manage服務器成功,且會在“Sec Manage服務器”頁麵中顯示。
· 不支持對FTP類型的登錄用戶進行計費。
· 在一個ISP域中,隻有在認證和授權方法中指定了相同的RADIUS方案時,RADIUS授權過程才能生效。
· 如果當前ISP域的用戶認證成功,但認證服務器(包括本地認證下的接入設備)未對該ISP域下發授權屬性,則係統使用當前ISP下指定的授權屬性為用戶授權。
· 名稱為system的ISP域不允許刪除。
· 當指定某個ISP域處於阻塞狀態時,不允許該域下的用戶請求網絡服務,但是不影響已經在線的用戶。
· 必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。
· 如果在線用戶正在使用的計費服務器被刪除,則設備將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地。
· 為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
· 設備上設置的發送給RADIUS服務器的數據流或者數據包的單位應與RADUIS服務器上的流量統計單位保持一致。
· 如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個或兩個以上的ISP域中同時設置使用該RADIUS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但RADIUS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
· 當主服務器狀態為“活動”時,設備首先嚐試與主服務器通信,若主服務器不可達,設備更改主服務器的狀態為“阻塞”,並啟動該服務器恢複活動狀態的定時器,然後按照備用服務器的配置先後順序依次查找狀態為“活動”的備用服務器進行認證或者計費。如果狀態為“活動”的備用服務器也不可達,則將該備用服務器的狀態置為“阻塞”,同時啟動該服務器恢複活動狀態的定時器,並繼續查找狀態為“活動”的備用服務器。當服務器恢複活動狀態的定時器超時,或者手動將服務器狀態置為“活動”時,該服務器將恢複為“活動”狀態。在一次認證或計費過程中,如果設備在嚐試與備份服務器通信時,之前已經查找過的服務器狀態由“阻塞”恢複為“活動”,則設備並不會立即恢複與該服務器的通信,而是繼續查找備份服務器。如果所有已配置的服務器都不可達,則認為本次認證或計費失敗。
· 要根據配置的備用服務器數量合理設置發送RADIUS報文的最大嚐試次數和RADIUS服務器響應超時時間,避免因為超時重傳時間過長,在主服務器不可達時,出現設備在嚐試與備用服務器通信的過程中接入模塊(例如Telnet模塊)的客戶端連接已超時的現象。
· 要根據配置的備用服務器數量合理設置服務器恢複激活狀態的時間。如果服務器恢複激活狀態時間設置得過短,就會出現設備反複嚐試與狀態為活動但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題;如果服務器恢複激活狀態設置的過長,則會導致已經恢複激活狀態的服務器暫時不能為用戶提供認證或計費服務。
· 當設備需要與LDAP授權服務器配合使用時,需要使用CLI方式在設備上進行LDAP的相關配置。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
