- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
23-用戶和用戶認證
本章節下載: 23-用戶和用戶認證 (3.05 MB)
用戶作為係統的一個重要資源,在安全策略、認證等功能上都會相應使用。
根據用戶的認證狀態,可以將用戶分為三類:匿名用戶、靜態綁定用戶、認證用戶。
· 匿名用戶,是指係統未有效識別出來的用戶,匿名用戶不用配置,係統自動將未識別的用戶IP作為匿名用戶的用戶名。
· 靜態綁定用戶,是指係統根據靜態配置識別出的用戶;係統支持以CSV文件的方式,將靜態綁定用戶批量導入和導出。
· 認證用戶, 是指根據係統配置,需要進行認證的用戶。其中認證方式,支持本地用戶數據庫、短信認證、微信認證、訪客二維碼認證、RADIUS服務器/服務器組、LDAP服務器/服務器組的用戶認證,認證用戶所使用的IP地址可以是IPv4地址也可以是IPv6地址。。
根據不同的用戶分類,可以采取不同的用戶策略,對用戶的網絡訪問等進行權限限製和監控。
通過用戶組織結構可以清晰的將每個用戶按照組織架構進行分類處理,方便管理和維護。屬性組則是為每個用戶附加一個或者多個屬性,這樣可以通過屬性組的方式將某一類用戶進行管控。
· 組織結構組包含用戶和用戶組,用戶組可以包含用戶和用戶組,支持8級層級,每個層級支持1024個節點。
· 屬性組沒有層級結構,全部屬性組組使用並列的形式。
· 同一用戶在組織結構組中僅可出現一次。
· 屬性組中相同用戶可以同時存在於多個屬性組。
在導航欄中選擇“用戶管理 > 用戶組織結構”,選擇用戶顯示頁麵,如圖1-1所示。
頁麵的詳細說明如表1-1所示。
|
項目 |
說明 |
|
組織結構 |
以樹形結構的方式展示所有用戶的組織結構信息,最大支持8級的組織結構。 |
|
名稱 |
該用戶組下的用戶或者下一級用戶組的名稱,1-63字符。 |
|
描述 |
用戶組或者用戶的描述信息,沒有則為空。 |
|
類型 |
此行對應的是用戶組或用戶。 |
|
所屬用戶組 |
上一級用戶組的名稱,如果該用戶組的所屬用戶組為“/”,則表示該用戶的上一級用戶組為根組。 |
|
綁定範圍 |
顯示該用戶綁定的IP或者MAC地址。 |
|
狀態 |
該用戶是否生效。 |
|
引用 |
該用戶在係統中被策略引用的次數。 |
|
操作 |
可以修改或者刪除該用戶或者用戶組,被引用或者預定義的用戶和用戶組不能被刪除。 |
選擇“用戶管理 > 用戶組織結構”,將鼠標移至<新建>按鈕,在下拉框中選擇“組”,進入用戶組的新建頁麵,如圖1-2所示。
頁麵的詳細說明如表1-2所示。
|
項目 |
說明 |
|
名稱 |
用戶組的名稱。 |
|
描述 |
用戶組的描述。 |
|
路徑 |
用戶組所屬的路徑。 |
按照需求輸入對應的項目後,單擊<提交>,即可將該用戶組加入到選擇的路徑下。
選擇“用戶管理>用戶”,將鼠標移至<新建>按鈕,在下拉框中選擇“用戶”,進入用戶的新建頁麵,如圖1-3所示。
頁麵的詳細說明如表1-3所示。
|
項目 |
說明 |
|
啟用 |
用戶是否啟用。 |
|
登錄名 |
用戶的名稱。 |
|
描述 |
關於用戶的描述。 |
|
所屬組 |
用戶所屬於的用戶組。 |
|
本地密碼 |
勾選之後設置用戶的本地密碼,不勾選代表此用戶為無密碼或者為第三方服務器認證用戶,密碼記錄在地三方服務器。 |
|
確認密碼 |
重新確認一次密碼,防止誤操作。 |
|
允許修改密碼 |
允許本地認證用戶修改登錄密碼。 |
|
初次認證修改密碼 |
強製本地認證用戶在第一登錄時修改密碼。 |
|
綁定範圍 |
用戶登錄的地址範圍,支持IPv4/IPv6主機,IPv4/IPv6地址範圍,網絡和mac地址的綁定。 |
|
排除IP |
用戶登錄的地址範圍內排除IP,隻支持IPv4地址。 |
|
賬戶過期時間 |
賬號有效期,可選擇永不過期或者在某天後過期。 |
點擊“高級選項”頁簽,切換到用戶的高級選項配置頁麵,如下圖所示。
圖1-4 用戶高級配置頁麵
表1-4 用戶高級配置頁麵詳細說明
|
項目 |
說明 |
|
用戶登錄唯一性檢查 |
是否啟用用戶唯一性檢查的配置方式,勾選為啟用。 |
|
單一賬號登錄 |
同一時間隻允許同一賬號登錄一次。 啟用單一賬號登錄後,可針對已登錄用戶做如下2種處理方式: · 踢出已登錄用戶:如果新用戶登錄,老的用戶將會被踢下線; · 禁止同名用戶再次登錄:如果老用戶已經登錄,新用戶將不能以此用戶名登錄。 |
|
允許重複登錄 |
同一時間允許同一賬號登錄多次。 啟用允許重複登錄後,允許個數支持無限製和限製登錄個數。 |
|
賬戶過期時間 |
賬號有效期,可選擇永不過期或者在某天後過期。 |
按照需求輸入對應的項目後,單擊<提交>,即可將該用戶加入到選擇的用戶組下。
在組信息顯示頁麵,勾選中用戶或者用戶組後,單擊列表上方的<刪除>按鈕,或者單擊對應用戶或用戶組操作中的<刪除>按鈕,如圖1-5所示,可以刪除對應的用戶組或者用戶。
在用戶顯示頁麵,勾選需要導出的用戶和用戶組信息,再單擊頁麵上方的<導出>按鈕,可以將所選的本地用戶和用戶組導出成csv文件。
圖1-6 導出用戶組
導出的文件中隻包含勾選的用戶或者用戶組信息,用戶組內的用戶或者下一級用戶組信息不能導出。
在用戶顯示頁麵單擊<導入>按鈕,彈出導入用戶彈窗,在彈窗的左下角單擊“下載模板”,可以下載用戶導入模板,將用戶和用戶組信息錄入模板後,在彈窗的上傳文件名稱中選擇修改後的模板,並勾選需要的選項,單擊<提交>按鈕即可將用戶或者用戶組導入到係統中。
圖1-7 導入用戶組
導入用戶的詳細說明如所示。
表1-5 導入用戶詳細說明
|
項目 |
說明 |
|
上傳文件名稱 |
選擇本地已經錄入用戶的模板文件。 |
|
當用戶所屬組不存在時,自動創建 |
勾選後,如所填寫的所屬用戶組在本地不存在,則自動創建該用戶組。 |
|
對本地已經存在的用戶 |
可以選擇繼續覆蓋本地用戶或者跳過該用戶的導入。 |
|
對有本地密碼的用戶,要求初次登錄時修改初始密碼 |
勾選後,有本地密碼的用戶首次登錄時要求修改初始密碼。 |
通過用戶和用戶組移動功能,可以同時將多個用戶或者用戶組以及用戶組中的子用戶組和用戶移動到指定的用戶組中。
通過菜單“用戶管理 > 用戶組織結構”,選擇勾選需要移動的用戶或者用戶組(也可以通過選擇按鈕快捷選擇用戶和用戶組),單擊<移動>,在用戶組選擇彈窗中單擊目標用戶組,即可將選中的用戶和用戶組移動到目標用戶組中。如圖1-8所示。
使用用戶批量編輯功能,可以同時對多個用戶屬性進行編輯。
僅用戶支持批量編輯功能,用戶組不支持批量編輯。
選擇“用戶管理>用戶組織結構”,進入用戶列表,勾選需要批量修改的用戶,單擊列表上方的<批量編輯>按鈕,即可進入批量編輯用戶頁麵。如圖1-9所示。
批量編輯用戶頁麵的詳細說明如下表所示。
表1-6 批量編輯用戶頁麵說明
|
標題項 |
說明 |
|
用戶 |
進行批量編輯的用戶 |
|
用戶狀態 |
勾選則修改用戶狀態,不勾選則不修改用戶狀態 勾選後,選擇啟用則選擇的用戶狀態批量修改為啟用;選擇禁用則批量修改為禁用。 |
|
密碼設置 |
選擇用戶的密碼統一重置密碼。 勾選允許修改密碼則用戶允許自行修改密碼 勾選初次認證修改密碼則用戶初次登錄是強製修改密碼。 |
用戶認證配置的推薦步驟如表2-1所示。
|
配置任務 |
說明 |
詳細配置 |
|
配置用戶和用戶組 |
必選 |
|
|
配置認證服務器 |
可選(使用第三方認證服務器時選擇。) |
|
|
第三方用戶同步 |
可選(使用第三方認證服務器時選擇。) |
|
|
配置高級選項 |
必選 |
|
|
配置認證設置 |
必選 |
|
|
配置認證策略 |
可選 |
本小節中的認證服務器是指第三方的Radius或者LDAP認證服務器,主要用於第三方用戶同步和認證。
LDAP是輕量目錄訪問協議,英文全稱是lightweight Directory Access Protocol,一般都簡稱為LDAP。它是基於X.500標準的,與X.500不同,LDAP支持TCP/IP。
LDAP是一個用來發布目錄信息到許多不同資源的協議。通常它都作為一個集中的地址本使用,LDAP其實是一電話簿,類似於我們所使用諸如NIS(Network Information Service)、DNS (Domain Name Service)等網絡目錄,也類似於你在花園中所看到的樹木。
在一些存在眾多分支機構的大企業等網絡中,往往存在LDAP(輕量級目錄訪問協議)係統,用戶信息都由LDAP係統進行管理,如果分支機構間的人員出差頻繁而又不符合漫遊策略,為方便管理員開戶操作,可以從LDAP係統中同步用戶信息。
通過LDAP同步將AD服務器上的用戶及用戶組同步到設備上,對同步下來的用戶及用戶組可進行引用和策略管控,具體請參考“用戶同步”章節。
同步方式為周期同步和觸發同步兩種:
· 設備周期向AD服務器發送LDAP同步請求。
· 可通過界麵手動發起LDAP同步請求。
· 無論直接使用LDAP服務器進行第三方認證,還是通過LDAP同步將AD服務器上的用戶同步到本地做本地認證,用戶的賬號、密碼都是通過LDAP服務器進行校驗。
· LDAP同步成功後,可以將AD服務器上的用戶賬號及用戶所屬組織結構同步到本地設備,以實現對用戶的引用和策略管控。
· 如需對LDAP同步後的用戶進行策略管控,配置LDAP同步後,還需配置本地認證功能,同步後的用戶通過認證上線後,在相關策略被引用才會生效。
在導航欄中選擇“用戶管理>認證管理>認證服務器”,進入認證服務器配置頁麵,將鼠標移至<新建>按鈕,在下拉框中選擇“LDAP服務器”,進入LDAP服務器的配置界麵,如圖2-1所示。LDAP服務器詳細參數如表2-2所示。
圖2-1 LDAP服務器配置界麵
表2-2 LDAP服務器界麵的詳細說明
|
參數 |
說明 |
|
服務器名稱 |
LDAP服務器名稱。 |
|
服務器IP |
LDAP服務器地址。 |
|
端口 |
LDAP服務器端口,默認389明文,暫時不支持636加密同步。 |
|
通用標識 |
cn:全稱 common name,配置cn時,同步、認證都使用標識名。 sAMAccountName:同步和認證使用登錄名。 |
|
Base DN |
用於獲取同步信息的服務器域名路徑。 |
|
管理員 |
擁有管理權限的域服務器管理員。 |
|
管理員密碼 |
管理員對應密碼。 |
在導航欄中選擇“用戶管理>認證管理>認證服務器>服務器組”,將鼠標移至<新建>按鈕,在下拉框中選擇“LDAP組”,進入LDAP組配置界麵,如圖2-2所示。LDAP組詳細參數如表2-3所示。
圖2-2 LDAP組新建界麵
表2-3 LDAP組界麵的詳細說明
|
參數 |
說明 |
|
名稱 |
LDAP組名稱。 |
|
服務器列表 |
已配置的LDAP服務器名稱,最多可加入5個服務器。 |
在“用戶管理>認證管理>高級選項>全局配置>認證配置”處,選擇LDAP組統一認證。
LDAP用戶認證通用名標識有兩種類型分別是CN和sAMAccountName,如圖2-3所示。
圖2-3 LDAP用戶認證通用名標識類型
CN:使用的是標識名進行認證,標識名使用CN時服務器用戶配置如圖2-4所示。
圖2-4 標識名使用CN時服務器用戶配置
sAMAccountName:使用的是登錄名進行認證,標識名使用sAMAcountName時服務器用戶配置如圖2-5所示。
圖2-5 標識名使用sAMAcountName時服務器用戶配置
在導航欄中選擇“用戶管理>認證管理>認證服務器”,將鼠標移至<新建>按鈕,在下拉框中選擇“RADIUS服務器”,進入RADIUS服務器的配置界麵,如圖2-6所示。RADIUS服務器詳細參數如表2-4所示。
圖2-6 RADIUS服務器配置頁麵
表2-4 RADIUS服務器創建頁麵詳細說明
|
項目 |
說明 |
|
服務器名稱 |
RADIUS服務器名稱。 |
|
服務器地址 |
RADIUS服務器地址。 |
|
服務器密碼 |
RADIUS服務器密碼。 |
|
端口 |
RADIUS服務器端口,缺省為1812。 |
|
認證方式 |
可以選擇pap或chap兩種認證方式,chap比pap認證方式更安全,建議選擇chap。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
在認證服務器顯示頁麵,選中RADIUS服務器後,點擊頁麵上上方的<刪除>按鈕,或者點擊對應RADIUS服務器的<刪除>按鈕,如圖2-7所示,可以刪除對應的RADIUS服務器。
在導航欄中選擇“用戶管理>認證管理>認證服務器>服務器組”,將鼠標移至<新建>按鈕,在下拉框中選擇“RADIUS組”,進入RADIUS組配置界麵,如圖2-8所示。RADIUS組詳細參數如表2-5所示。
圖2-8 RADIUS服務器組配置頁麵
表2-5 RADIUS服務器組創建頁麵詳細說明
|
項目 |
說明 |
|
名稱 |
RADIUS服務器組名稱。 |
|
服務器列表 |
已經配置的RADIUS服務器列表。 |
選中左邊的服務器列表中的服務器,點擊<添加>按鈕,可以將選中服務器添加到服務器組中。
選中右邊的服務器列表中的服務器,點擊<刪除>按鈕,可以將選中服務器從服務器組中刪除。
輸入完畢後,點擊<提交>按鈕,應用配置。
在RADIUS服務器組顯示頁麵,點擊對應RADIUS服務器組的<刪除>按鈕,可以刪除對應的RADIUS服務器。
在導航欄中選擇“用戶管理 > 認證管理 > 認證服務器”,進入認證服務器界麵。將鼠標移至“新建”按鈕,在下拉框中選擇“POP3服務器”,進入POP3服務器的配置界麵,如下圖所示。
|
參數 |
說明 |
|
服務器名稱 |
設備上用來唯一標識POP3服務器的名稱,與POP3服務器本身的名稱無關,可以相同也可以不同。 |
|
服務器地址 |
POP3服務器地址。輸入提供認證服務的POP3服務器的IP地址。 |
|
服務器端口 |
POP3服務器端口,缺省為995。 |
|
SSL |
可以選擇勾選SSL加密和不勾選SSL加密。默認勾選SSL加密方式,勾選SSL加密方式提高安全性,防止用戶名和密碼在傳輸中泄漏。 |
在導航欄中選擇“用戶管理 > 認證管理 > 認證服務器 > 服務器組”,將鼠標移至“新建”按鈕,在下拉框中選擇“POP3組”,進入POP3組配置界麵,如下圖所示。
表2-7 POP3服務器組界麵的詳細說明
|
參數 |
說明 |
|
名稱 |
POP3服務器組名稱。 |
|
服務器列表 |
已經配置的POP3服務器列表。 |
選中左邊的服務器列表中的服務器,單擊“添加”按鈕,可以將選中服務器添加到服務器組中;選中右邊的服務器列表中的服務器,單擊“刪除”按鈕,可以將選中服務器從服務器組中刪除。
在導航欄中選擇“用戶管理>認證管理>認證方式>認證模板設置”,進入認證模板顯示頁麵,頁麵顯示了當前所有認證模板的類型,如圖2-11所示。
表2-8 認證模板設置頁麵詳細說明
|
項目 |
說明 |
|
名稱 |
認證模板名稱,不支持編輯。 |
|
描述 |
認證模板描述,不支持編輯。 |
|
預覽 |
模板設置完成後支持PC端和移動端效果預覽。 |
|
操作 |
對模板進行編輯、重置等操作。 |
在導航欄中選擇“用戶管理>認證管理>認證方式>認證模板設置>本地認證模板”,點擊操作中的<編輯>按鈕進入本地認證模板配置頁麵,頁麵顯示了當前的本地認證模板配置,如圖2-12所示。
頁麵的詳細說明如表2-9所示。
|
項目 |
說明 |
|
標簽頁名稱 |
本地認證Portal頁麵顯示的標簽名稱。 |
|
歡迎詞 |
本地認證模板歡迎詞。 |
|
免責聲明 |
本地認證模板免責聲明。 |
|
按鈕顏色 |
登錄按鈕顏色。 |
|
Logo圖片 |
Logo圖片設置 。 |
|
背景圖片 |
本地認證Portal頁麵背景圖片。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊預覽
圖標查看PC終端預覽效果,如圖2-13所示。
圖2-13 本地認證模板PC終端預覽效果
點擊預覽
圖標查看移動終端預覽效果,如圖2-14所示
在導航欄中選擇“用戶管理>認證管理>認證方式>認證模板設置>微信認證模板”,點擊操作中的<編輯>按鈕進入微信認證模板配置頁麵,頁麵顯示了當前的微信認證模板配置,如圖2-15所示。
頁麵的詳細說明如表2-10所示。
|
項目 |
說明 |
|
標簽頁名稱 |
微信認證Portal頁麵顯示的標簽名稱。 |
|
歡迎詞 |
微信認證模板歡迎詞。 |
|
免責聲明 |
微信認證模板免責聲明。 |
|
Logo圖片 |
Logo圖片設置 。 |
|
背景圖片 |
微信認證Portal頁麵背景圖片。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊操作中的<成功頁麵編輯>按鈕進入微信認證商家頁麵模板配置,頁麵顯示了當前的微信認證商家頁麵模板配置,如圖2-16所示。
頁麵詳細說明如表1-4所示。
表2-11 微信認證商家頁麵模板配置詳細說明
|
項目 |
說明 |
|
標簽頁名稱 |
微信認證Portal頁麵顯示的標簽名稱。 |
|
歡迎詞 |
認證後的歡迎詞。 |
|
背景圖片 |
微信認證顯示成功後頁麵的背景圖片。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊預覽
圖標查看PC終端預覽效果,如圖2-17所示。
圖2-17 微信認證模板PC終端預覽效果
目前微信公眾平台僅支持移動端微信認證,不支持PC端微信認證。
點擊預覽
圖標查看移動終端預覽效果,如圖2-18所示
在導航欄中選擇“用戶管理>認證管理>認證方式>認證模板設置>短信認證模板”,點擊操作中的<編輯>按鈕進入短信認證模板配置頁麵,頁麵顯示了當前的短信認證模板配置,如圖2-19所示。
頁麵的詳細說明如表2-12所示。
|
項目 |
說明 |
|
標簽頁名稱 |
短信認證Portal頁麵顯示的標簽名稱。 |
|
歡迎詞 |
短信認證模板歡迎詞。 |
|
免責聲明 |
短信認證模板免責聲明。 |
|
發送按鈕顏色 |
發送短信驗證碼按鈕顏色。 |
|
登錄按鈕顏色 |
點擊認證登錄按鈕顏色。 |
|
Logo圖片 |
Logo圖片設置 。 |
|
背景圖片 |
短信認證Portal頁麵背景圖片。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊預覽
圖標查看PC終端預覽效果,如圖2-20所示。
圖2-20 短信認證模板PC終端預覽效果
點擊預覽
圖標查看移動終端預覽效果,如圖2-21所示
在導航欄中選擇“用戶管理>認證管理>認證方式>認證模板設置>免認證模板”,點擊操作中的<編輯>按鈕進入免認證模板配置頁麵,頁麵顯示了當前的免認證模板配置,如圖2-22所示。
頁麵的詳細說明如表2-13所示。
|
項目 |
說明 |
|
標簽頁名稱 |
免認證Portal頁麵顯示的標簽名稱。 |
|
歡迎詞 |
免認證模板歡迎詞。 |
|
免責聲明 |
免認證模板免責聲明。 |
|
免認證描述 |
免認證portal頁麵顯示的描述信息。 |
|
按鈕顏色 |
免認證登錄按鈕顏色。 |
|
Logo圖片 |
免認證模板Logo圖片 。 |
|
背景圖片 |
免認證Portal頁麵背景圖片。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊預覽
圖標查看PC終端預覽效果,如圖2-23所示。
圖2-23 免認證模板PC終端預覽效果
點擊預覽
圖標查看移動終端預覽效果,如圖2-24所示
在導航欄中選擇“用戶管理>認證管理>認證方式>認證模板設置>二維碼認證模板”,點擊操作中的<編輯>按鈕進入二維碼認證模板配置頁麵,頁麵顯示了當前的二維碼認證模板配置,如圖2-25所示。
頁麵的詳細說明如表2-14所示。
|
項目 |
說明 |
|
標簽頁名稱 |
二維碼認證Portal頁麵顯示的標簽名稱。 |
|
歡迎詞 |
二維碼認證模板歡迎詞。 |
|
免責聲明 |
二維碼認證免責聲明。 |
|
按鈕顏色 |
登錄按鈕顏色。 |
|
Logo圖片 |
Logo圖片設置 。 |
|
背景圖片 |
二維碼認證Portal頁麵背景圖片。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊預覽
圖標查看PC終端預覽效果,如圖2-26所示。
圖2-26 二維碼認證模板PC終端預覽效果
點擊預覽
圖標查看移動終端預覽效果,如圖2-27所示。
在導航欄中選擇“用戶管理>認證管理>認證方式>認證模板設置>釘釘認證模板”,點擊操作中的<編輯>按鈕進入釘釘認證模板配置頁麵,頁麵顯示了當前的釘釘認證模板配置,如下圖所示。
圖2-28 釘釘認證模板配置頁麵
頁麵的詳細說明如表2-17所示。
表2-15 釘釘認證模板配置詳細說明
|
項目 |
說明 |
|
標簽頁名稱 |
釘釘認證Portal頁麵顯示的標簽名稱。 |
|
歡迎詞 |
釘釘認證模板歡迎詞。 |
|
免責聲明 |
釘釘認證模板免責聲明。 |
|
Logo圖片 |
Logo圖片設置 。 |
|
背景圖片 |
釘釘認證Portal頁麵背景圖片。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊預覽
圖標查看PC終端預覽效果,如下圖所示。
圖2-29 釘釘認證模板PC終端預覽效果
點擊預覽
圖標查看移動終端預覽效果,如下圖所示。
圖2-30 釘釘認證模板移動終端預覽效果
在導航欄中選擇“用戶管理>認證管理>認證方式>認證模板設置>混合認證模板”,點擊操作中的<編輯>按鈕進入混合認證模板配置頁麵,頁麵顯示了當前的混合認證模板配置,如圖2-31所示。
頁麵的詳細說明如表2-16所示。
|
項目 |
說明 |
|
標簽頁名稱 |
混合認證模板Portal頁麵顯示的標簽名稱。 |
|
歡迎詞 |
混合認證模板歡迎詞。 |
|
免責聲明 |
混合認證模板免責聲明。 |
|
登錄按鈕顏色 |
混合認證模板登錄按鈕顏色。 |
|
Logo圖片 |
Logo圖片設置 。 |
|
背景圖片 |
混合認證模板Portal頁麵背景圖片,同時支持3張背景圖片混合認證顯示。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊操作中的<高級配置>按鈕進入混合認證模板高級配置,頁麵顯示了當前的混合認證模板高級配置,如圖2-32所示。
頁麵詳細說明如表2-17所示。
|
項目 |
說明 |
|
發送按鈕顏色 |
短信認證發送短信驗證碼的按鈕顏色。 |
|
免認證描述 |
免認證描述信息。 |
輸入完畢後,點擊<提交>按鈕,應用配置,點擊<取消>按鈕,取消配置修改。
點擊預覽
圖標查看PC終端預覽效果,如圖2-33所示。
圖2-33 混合認證模板PC終端預覽效果
點擊預覽
圖標查看移動終端預覽效果,如圖2-34所示
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > 本地WEB認證”,進入本地WEB認證配置頁麵,頁麵顯示了當前的本地WEB認證配置,如圖2-35所示。
圖2-35 本地WEB認證配置頁麵(允許重複登錄)
係統默認選擇允許重複登錄,如果選擇單一賬號登錄點選框,頁麵如圖2-36所示。
圖2-36 本地WEB認證配置頁麵(單一賬號登錄)
頁麵的詳細說明如表2-18所示。
表2-18 本地WEB認證配置詳細說明
|
項目 |
說明 |
|
用戶唯一性檢查 |
用戶唯一性檢查的配置方式。 |
|
單一賬戶登錄 |
同一時間隻允許同一賬號登錄一次。 |
|
踢出已登錄用戶 |
如果新用戶登錄,老的用戶將會被踢下線。 |
|
禁止同名用戶再次登錄 |
如果老用戶已經登錄,新用戶將不能以此用戶名登錄。 |
|
允許重複登錄 |
同一時間允許同一賬號登錄多次。 |
|
允許個數 |
允許同一賬號登錄的次數,可以選擇無限製,也可以設定2到1000的數值。 |
|
加密認證 |
勾選後,認證過程中對終端與設備之間的認證報文進行加密處理。 如密碼存儲在LDAP、RADIUS等第三方服務器上,終端與設備之間的認證報文進行加密處理,但設備與服務器之間的交互報文不加密。 |
|
客戶端超時 |
配置客戶端超時方式和超時時間,超時方式包含:心跳超時、流量超時。 心跳超時:用戶認證上線後的頁麵會定期發心跳報文,如果頁麵關閉心跳報文會停止發送,如果超過超時時間設備未收到心跳報文會將用戶踢下線發送; 流量超時:設備檢測用戶產生流量,如果超過超時時間都未檢測到用戶流量會將用戶踢下線 ; 不勾選超時時間默認不超時 |
|
強製重登錄間隔 |
WEB強製重新認證時間。如果開啟無感知,用戶被強製重登錄踢下線後,會重新匹配無感知上線。 |
|
無感知 |
配置用戶無感知認證功能及超時時間,默認值10080分鍾。 無感知功能適用於用戶下線後再次上線時,MAC地址不變的場景,實現已認證過的終端無感知上線,實現原理如下: 當認證用戶上線後會將用戶MAC加入無感知列表,如果用戶因超時下線,在無感知周期內,用戶使用同一終端(MAC地址不變)再次上網產生流量時,會直接匹配無感知列表上線,無需再次認證;若大於超時時間,設備會將該用戶MAC從無感知列表中刪除,此後用戶下次上線時需要重新輸入賬號密碼進行認證。 |
|
頁麵跳轉設置 |
之前訪問的頁麵:WEB認證成功後跳轉到用戶認證之前訪問的頁麵。 重定向URL:WEB認證成功後將重定向到指定的URL資源頁麵。 認證結果頁麵:WEB認證後跳轉到認證登錄結果頁麵。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
無感知認證支持跨三層組網,但需要在設備上開啟SNMP跨三層MAC學習功能,以獲取用戶的真實MAC。如果未開啟SNMP跨三層MAC學習功能,會把報文中的三層設備的MAC加入到無感知列表,從而導致三層設備下的用戶都可以無感知上線了。
微信認證支持兩種認證方式:
· 通過認證URL認證。用戶單擊公眾號指定的超鏈接(認證URL),該報文被設備截獲,並與設備配置的認證URL進行對比,如果匹配則認證成功,並以終端IP為用戶名上線。
· 通過小程序認證。用戶授權小程序完成認證,小程序將獲取的OpenID和手機號發給設備,設備以此將終端上線。
· 通過認證URL認證的流程如下:
(1) 用戶訪問外網觸發彈出認證頁麵,認證頁麵說明認證的步驟以及商家公眾號信息。
(2) 用戶單擊認證頁麵上的認證按鈕,設備臨時放通終端的流量,喚醒微信。
(3) 用戶根據認證頁麵的提示,手動搜索公眾號並關注(也可以通過掃碼)。然後在公眾號中輸入關鍵字(比如:我要上網)或單擊菜單。
(4) 公眾平台根據之前的配置,對關鍵字或菜單請求返回認證URL,並向用戶呈現為帶超鏈接的文本信息(比如:點我上網)。
(5) 用戶單擊該文本信息,微信對認證URL發起訪問。
(6) 設備劫持該請求,判斷是否是微信流量、並與設備配置的認證URL進行匹配,並以終端的IP為用戶名將用戶上線,完成微信認證。
· 通過小程序認證的流程如下:
(1) 用戶訪問外網觸發彈出認證頁麵,認證頁麵說明認證的步驟以及商家公眾號信息。
(2) 用戶單擊認證頁麵上的認證按鈕,設備臨時放通終端的流量,喚醒微信。
(3) 用戶根據認證頁麵的提示,手動搜索公眾號並關注(也可以通過掃碼)。然後在公眾號中輸入關鍵字(比如:我要上網)或單擊菜單。
(4) 公眾平台根據之前的配置,對關鍵字或菜單請求推送小程序。
(5) 用戶打開小程序,單擊授權申請進行OpenID和手機號的授權。
(6) 設備創建微信用戶對象並上線,完成微信認證。
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > 微信認證”,進入微信認證配置頁麵,如下圖所示。
圖2-37 微信認證配置頁麵
頁麵的詳細說明如下表所示。
表2-19 微信認證配置頁麵詳細說明
|
項目 |
說明 |
|
超時時間 |
微信認證用戶超時時間,默認值為15分鍾,在時間段內沒有流量設備會強製用戶下線。 |
|
無感知 |
用戶無感知認證功能及超時時間,默認值10080分鍾,當認證用戶首次認證下線後,在超時時間內再次上網無需認證,可以無感知上線。 |
|
用戶名 |
用戶名支持IP地址、OpenID、手機號,默認值為IP地址。 使用IP地址,微信公眾平台可以配置為關鍵字回複或者自定義菜單兩種方式;使用OpenID、手機號時,微信公眾平台需要配置為自定義菜單並關聯小程序。 |
|
公眾號名稱 |
微信公眾平台申請的公眾號名稱,該名稱會在認證頁麵上顯示。 |
|
應用ID |
微信公眾平台,開發者中心的開發者ID中的AppId項。 |
|
應用密鑰 |
微信公眾平台,開發者中心的開發者ID中的AppSecret項。 |
|
認證步驟說明 |
認證步驟說明會在認證頁麵顯示,用以提示用戶按步驟完成微信認證。默認認證步驟說明是“請點擊認證菜單進行微信認證”,用戶可以根據自己公眾號的配置進行自定義配置。 |
|
認證URL |
用戶名為ip時為必填項,不可以配置網絡中已經存在的url,需要與微信公眾平台配置的鏈接一致;用戶名為openid或手機號時為非必填項。 |
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > 短信認證”,進入短信認證配置頁麵,如圖2-38所示。
頁麵的詳細說明如表2-20所示。
|
項目 |
說明 |
|
啟用 |
啟用開關,開啟後可配置頁麵其它參數。 |
|
超時時間 |
短信認證用戶超時時間,默認值為15分鍾。 |
|
無感知 |
用戶無感知認證功能及超時時間,默認值10080分鍾,當認證用戶首次認證下線後,在超時時間內再次上網無需認證,可以無感知上線。 |
|
加密認證 |
勾選為使用加密方式進行認證,防止用戶名和密碼在傳輸過程中泄露,如果關閉加密認證會存在安全風險,默認為勾選。 |
|
頁麵跳轉設置 |
之前訪問的頁麵:WEB認證成功後跳轉到用戶認證之前訪問的頁麵。 重定向URL:WEB認證成功後將重定向到指定的URL資源頁麵。 認證結果頁麵:WEB認證後跳轉到認證登錄結果頁麵。 |
|
廠商 |
短信網關廠商設置,目前支持淩凱、億美軟通、一信通、佳諾、阿裏雲、夢網科技、移動雲MAS。 |
|
短信內容前綴 |
短信網關發送短信驗證碼時的短信內容前綴,一般為使用設備的企業或單位名稱。 |
|
網關地址 |
網關URL地址,由短信服務商提供。 |
|
序列號 |
短信網關的授權接入序列號,由短信服務商提供。 |
|
密碼 |
短信網關的授權接入密碼,由短信服務商提供。 |
|
短信key |
短信服務商提供的短信key,由短信服務商提供,如未設置係統將自動創建。 |
|
擴展號段 |
一個序列號的不同擴展號段,類似“電話分機號”概念,各設備分別設置不同的“擴展號段”,億美平台根據每一個設備的“拓展號段”通道進行短信驗證碼發送。此項特性可以避免多個設備使用一個億美賬號發送短信驗證碼時產生擁堵的情況。 |
|
短信內容 |
定製短信顯示內容。長度為1-256個字符,必須包含標簽 <identifying-code>,表示驗證碼。 |
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > Portal Server”,進入Portal Server服務器配置頁麵,如圖2-39所示。
圖2-39 Portal Server服務器配置頁麵
頁麵的詳細說明如表2-21所示。
表2-21 Port Server服務器創建頁麵詳細說明
|
項目 |
說明 |
|
認證服務器 |
Portal認證使用的radius服務器或radius服務器組名稱。 |
|
Portal服務器 |
Portal服務器的IP地址。 |
|
快速無感知 |
用戶快速無感知認證功能及超時時間,當認證用戶上線後會將用戶MAC加入到IMC無感知列表,如果用戶因超時下線,在無感知周期內,用戶再次上網產生流量時,會根據用戶MAC去匹配IMC服務器無感知列表,如果匹配上,則無需再次認證。 |
|
超時時間 |
用戶認證的超時時間,在時間段內沒有流量設備會強製用戶下線。 |
|
認證URL |
Portal認證時重定向的URL。 |
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > 免認證”,進入免認證配置頁麵,如圖2-40所示。
頁麵的詳細說明如表2-22所示。
|
項目 |
說明 |
|
超時時間 |
免認證用戶超時時間,默認值為15分鍾。 |
|
頁麵跳轉設置 |
之前訪問的頁麵:WEB認證成功後跳轉到用戶認證之前訪問的頁麵。 重定向URL:WEB認證成功後將重定向到指定的URL資源頁麵。 認證結果頁麵:WEB認證成功後跳轉到認證登錄結果頁麵。 |
訪客二維碼認證主要針對下列兩種場景:
· 對於企業訪客,聯網時,終端彈出認證二維碼,由公司內部審核人員(比如前台),掃描二維碼,備注訪客信息,然後實現訪客上網;
· 對於酒店客戶,手機可以通過微信認證上網,而筆記本無法進行微信認證,可以選擇二維碼認證,客戶通過已經認證的手機,掃描筆記本二維碼完成認證,最終實現筆記本上網。這種方式下,不需要彈出審核頁麵,直接以審核人身份上網。
在導航欄中選擇“用戶管理>認證管理>認證方式 > 訪客二維碼認證”,進入訪客二維碼認證頁麵,頁麵顯示了當前的訪客二維碼認證配置,如圖2-41所示。
頁麵的詳細說明如表2-23所示。
|
項目 |
說明 |
|
超時時間 |
二維碼認證成功用戶無流量的情況下超時時間。 |
|
二維碼超時 |
二維碼認證時二維碼超時時間。 |
|
無感知 |
二維碼認證成功用戶無流量超時下線後,在無感知配置時間內,可以無需認證直接上線。 |
|
頁麵跳轉 |
認證成功後,跳轉頁麵,支持三種: l 之前訪問的頁麵 l 重定向URL l 認證結果頁麵 |
|
審核人 |
審核人用戶配置。 |
|
審核方式 |
支持兩種審核方式: l 彈出審核頁麵,審核備注並授權。 l 不彈審核頁麵,以審核人身份登錄。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
IC卡認證是在一些上網管控要求嚴格的場景,用戶在使用網絡服務時需要使用自己的IC卡進行認證等操作後,才允許用戶訪問網絡。
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > IC卡認證”,進入IC卡認證配置界麵,如圖2-42所示。
表2-24 IC認證配置界麵詳細說明
|
參數 |
說明 |
|
超時時間 |
IC認證用戶超時時間,默認值為15分鍾。在時間段內沒有流量設備會強製用戶下線。 |
隨著手機的普及,手機的使用已是人們生活中不可分割的一部分。手機APP已成為時下的主流,不僅為我們的生活帶來了極大的便利,還使移動辦公成為了可能。因此,在客戶場景中使用用戶認證功能與APP進行聯動,從而使認證用戶才能使用網絡服務。
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > APP認證”,進入APP認證配置界麵,如圖2-43所示。
界麵詳細說明如表2-25所示。
|
參數 |
說明 |
取值建議 |
|
超時時間 |
APP認證用戶超時時間,在時間段內沒有流量設備會強製用戶下線。 |
默認值為15分鍾,可輸入的範圍為10-144000分鍾。 |
|
無感知 |
用戶無感知認證功能及超時時間,當認證用戶首次認證下線後,在超時時間內再次上網無需認證,可以無感知上線。 |
默認值為10分鍾,可輸入的範圍為10-144000分鍾。 |
|
服務器白名單 |
添加APP軟件下載的服務器地址。 |
可以輸入IP格式或域名格式的地址,單擊“添加到列表”。 |
|
規則一 |
添加在app登錄url請求中用戶名稱位置,在規則中填寫用戶名起始符和用戶名終止符,規則一為必填項。 |
APP賬號登錄支持GET和POST兩種方式。首先使用抓包軟件抓整個APP應用登錄過程的報文,然後過濾找到包含登錄賬號的GET報文或POST表單報文,根據報文內容用戶名提取規則配置用戶名起始符。 |
|
規則二 |
添加在app登錄url請求中用戶名稱位置,在規則中填寫用戶名起始符和用戶名終止符,規則二為非必填項。 |
- |
|
PC下載地址 |
填寫PC端下載APP應用的連接地址。 |
長度為1-512字符,前綴必須為http或https,且僅可設置一條URL。 |
|
IOS下載地址 |
填寫IOS端下載APP應用的連接地址。 |
長度為1-512字符,前綴必須為http或https,且僅可設置一條URL。 |
|
Android下載地址 |
填寫Android端下載APP應用的連接地址。 |
長度為1-512字符,前綴必須為http或https,且僅可設置一條URL。 |
POP3認證是指用戶在使網絡服務時,可以在認證頁麵中輸入內網或外網郵箱服務器中的郵箱賬號和密碼進行認證,從而使認證用戶接入使用網絡。
在導航欄中選擇“用戶管理 > 認證管理 > 認證服務器 > 認證服務器”,進入認證服務器界麵。將鼠標移至“新建”按鈕,在下拉框中選擇“POP3服務器”,進入POP3服務器的配置界麵,如圖2-9所示。
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > POP3認證”,進入POP3認證配置界麵,如圖2-44所示。
表2-26 POP3認證配置界麵詳細說明
|
參數 |
說明 |
|
認證服務器 |
用戶唯一性檢查的配置方式。 |
|
超時時間 |
用戶認證的超時時間,在時間段內沒有流量設備會強製用戶下線。 |
|
無感知 |
用戶無感知認證功能及超時時間,默認值10080分鍾,當認證用戶上線後會將用戶MAC加入無感知列表,如果用戶因超時下線,在無感知周期內,用戶再次上網產生流量時,會直接匹配無感知列表上線,無需再次認證。 |
|
頁麵跳轉設置 |
之前訪問的頁麵:認證成功後跳轉到認證前訪問的頁麵。 重定向URL:認證成功後將重定向到指定的URL資源頁麵。 認證結果頁麵:認證成功後停留在認證結果頁麵。 |
POP3服務器的配置請參見 2.2.3 配置POP3服務器。
用戶通過釘釘認證授權的方式進行驗證身份後上網。主要應用於企業網絡場景,便於企業網絡人員通過釘釘應用進行上網行為的管理。
釘釘認證的認證流程如下:
(1) 在設備上配置認證策略。
(2) 對用戶PC訪問外網的流量進行劫持並觸發用戶認證彈portal。
(3) 用戶獲取釘釘授權登錄的二維碼。
(4) 用戶使用手機掃描獲取到的二維碼,並向釘釘服務器發送確認信息。
(5) 服務器會將確認後的相關信息返回給用戶PC,此時PC再通過回調地址將數據發送給設備。
(6) 設備使用用戶通過回調地址提供的信息向釘釘服務器獲取用戶的認證信息。
(7) 用戶認證信息獲取成功,使用獲取到的信息將用戶上線。
(8) 用戶上線成功後放通後續用戶的所有流量。
在導航欄中選擇“用戶管理>認證管理>認證方式>釘釘認證”,進入釘釘認證配置頁麵,如下圖所示。
圖2-45 釘釘認證配置頁麵
頁麵的詳細說明如表2-20所示。
表2-27 釘釘認證配置頁麵詳細說明
|
項目 |
說明 |
|
啟用 |
是否啟用釘釘認證。 |
|
超時時間 |
釘釘認證的超時時間,默認值為15分鍾,在時間段內沒有流量設備會強製用戶下線。 |
|
頁麵跳轉設置 |
設置認證成功之後頁麵跳轉情況。 |
|
回調地址 |
在釘釘服務器用來指定跳轉回設備的URL地址,輸入格式為:設備管理地址IP+指定端口,目前隻支持http。 例如:http://192.168.1.1:8000/ 配置必須和釘釘服務器配置保持一致。 即在釘釘服務器用來指定跳轉回設備的URL地址。 |
|
AppID |
釘釘服務器配置的AppID。在釘釘開放平台https://open-dev.dingtalk.com設置掃碼登錄應用授權,釘釘服務器自動生成的個人釘釘的唯一標識 |
|
AppSecret |
釘釘服務器配置的AppSecret,釘釘服務器自動生成的應用秘鑰。 |
|
企業ID |
釘釘服務器配置的企業ID,從釘釘認證服務器獲取的enterpriseid(企業id)唯一標識。 |
|
Appkey |
釘釘服務器配置的Appkey,自動獲取用戶組時,需要和釘釘服務器端建立連接,由釘釘服務器端生成的公鑰。 |
|
自動獲取所屬組 |
選擇是否自動獲取所屬組。 |
|
路徑 |
開啟自動獲取所屬組時,會將認證用戶自動獲取並在“數據中心>係統監控>在線用戶>屬性組>認證用戶”中顯示;同時可以手動配置認證用戶所屬路徑。 |
混合認證是指認證策略中認證方式為混合認證,混合方式可以選擇一種或者多種認證,在用戶彈出的認證頁麵中可以選擇其中一種進行認證即可。
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > 混合認證”,進入混合認證配置界麵。
圖2-46 混合認證配置頁麵
表2-28 混合認證配置界麵詳細說明
|
參數 |
說明 |
|
頁麵跳轉設置 |
之前訪問的頁麵:認證成功後跳轉到認證前訪問的頁麵; 重定向URL:認證成功後將重定向到指定的URL資源頁麵; 認證結果頁麵:認證成功後停留在認證結果頁麵。 |
在導航欄中選擇“用戶管理 > 認證管理 > 認證策略”,進入認證策略配置界麵,勾選啟用,認證方式選擇“混合認證”,並勾選一個或多個認證方式。認證方式支持微信認證、本地WEB認證、短信認證、訪客二維碼認證等。
圖2-47 混合認證配置頁麵
認證方式的配置請參考相關認證方式的配置章節。
在導航欄中選擇“用戶管理>認證管理>高級選項>第三方用戶同步>第三方用戶同步接口”,進入第三方用戶同步配置頁麵,如圖2-48所示。
頁麵的詳細說明如表2-29所示。
|
項目 |
說明 |
|
第三方用戶同步接口 |
|
|
服務器1/服務器2 |
是否啟用第三方用戶同步接口功能。開啟第三方用戶同步接口功能後,第三方認證服務器將用戶上線下報文發送到設備的UDP9999端口,設備通過上下線報文來識別用戶。支持同時配置兩個對接服務器。 |
|
服務器名稱 |
第三方認證服務器的名稱。 |
|
服務器地址 |
第三方認證服務器的IP地址。 |
|
密鑰 |
與第三方認證服務器之間對接的密鑰,需要與對端保持一致。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
在導航欄中選擇“用戶管理>認證管理>高級選項>第三方用戶同步>Radius用戶同步”,進入Radius用戶同步配置頁麵,如圖2-49所示。
圖2-49 Radius用戶同步配置頁麵
頁麵的詳細說明如表2-30所示。
表2-30 Radius用戶同步配置詳細說明
|
項目 |
說明 |
|
RRadius用戶同步 |
|
|
啟用 |
是否啟用Radius用戶同步,啟用該功能後,用戶的Radius報文經過設備,即可通過Radius報文來識別用戶。 |
|
Radius認證端口 |
Radius服務器上認證報文的接收端口,默認為1812。支持修改成其它使用的端口. |
|
Radius計費端口 |
Radius服務器上計費報文的接收端口,默認為1813。支持修改成其它使用的端口. |
|
用戶組 |
用戶同步的目的用戶組。通過Radius報文識別的用戶加入到配置的用戶中。 |
配置完畢後,點擊<提交>按鈕,應用配置。
在導航欄中選擇“用戶管理>認證管理>高級選項>第三方用戶同步>web用戶同步”,進入web用戶同步配置頁麵,如圖2-50所示。
圖2-50 web用戶同步(http流量經過設備)配置頁麵
頁麵的詳細說明如表2-31所示。
表2-31 web用戶同步(http流量經過設備)配置詳細說明
|
項目 |
說明 |
|
web用戶同步(http流量經過設備) |
|
|
啟用 |
是否啟用web用戶同步,啟用該功能後,用戶的http認證報文經過設備,即可通過http認證報文來識別用戶。 |
|
web服務器 |
配置web服務器,支持域名、IP地址、IP地址加端口。 |
|
類型 |
支持從URL請求參數、Cookie值、post表單中獲取認證用戶名。 |
|
url請求參數 |
對應的報文字段中查詢配置的用戶名關鍵字,配置用戶名獲取類型為url請求參數時配置對應url參數名;配置用戶名獲取類型為Cookie值時配置對應Cookie名;配置用戶名獲取類型為POST表單時配置對應用戶表單名稱。 |
|
用戶組 |
用戶默認屬於web用戶組,可以修改所屬用戶組。 |
|
啟用認證關鍵字 |
是否啟用認證關鍵字,啟用該功能後,支持校驗服務器響應。 |
|
認證成功關鍵字 |
啟用認證成功關鍵字後,響應報文匹配到配置的認證成功關鍵字後用戶才可上線,否則用戶上線失敗。 |
|
認證失敗關鍵字 |
啟用認證失敗關鍵字後,響應報文匹配到配置的認證失敗關鍵字後用戶上線失敗,否則用戶上線。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
在導航欄中選擇“用戶管理>認證管理>高級選項>第三方用戶同步>web用戶同步”,進入web用戶同步配置頁麵,如下圖所示。
圖2-51 web用戶同步(http流量到達設備)配置頁麵
頁麵的詳細說明如表2-31所示。
表2-32 web用戶同步(http流量到達設備)配置詳細說明
|
項目 |
說明 |
|
web用戶同步(http流量到達設備) |
|
|
啟用 |
是否啟用web用戶同步,啟用該功能後,用戶的http認證報文達到設備,即可通過http認證報文來識別用戶。 |
|
URL |
配置url,http請求的資源路徑。 |
|
服務器端口 |
配置用於接收第三方認證報文的設備服務端口。 |
|
用戶組 |
用戶默認屬於web用戶同步,可以修改所屬用戶組。 |
|
啟用上線信息同步 |
是否啟用上線信息同步,啟用該功能後,支持匹配到配置上線信息後用戶上線。 |
|
上線標記 |
認證上線請求報文匹配到上線標記後用戶才可上線,否則用戶上線失敗。 |
|
上線用戶名 |
認證上線請求報文匹配到上線用戶名起始及終止符後用戶才可上線,否則用戶上線失敗。 |
|
上線用戶IP |
認證上線請求報文匹配到上線用戶ip的起始及終止符後用戶才可上線,否則用戶上線失敗。 |
|
上線用戶MAC |
認證上線請求報文匹配到上線用戶mac起始及終止符後用戶才可上線,否則用戶上線失敗。 |
|
啟用下線信息同步 |
是否啟用下線信息同步,啟用該功能後,支持匹配到配置下線信息後用戶下線。 |
|
下線標記 |
認證下線請求報文匹配到上線標記後用戶才可下線,否則用戶下線失敗。 |
|
下線用戶名 |
認證下線請求報文匹配到下線用戶名起始及終止符後用戶才可下線,否則用戶下線失敗。 |
|
下線用戶IP |
認證下線請求報文匹配到下線用戶ip的起始及終止符後用戶才可下線,否則用戶下線失敗。 |
|
下線用戶MAC |
認證下線請求報文匹配到下線用戶mac起始及終止符後用戶才可下線,否則用戶下線失敗。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
在導航欄中選擇“用戶管理>認證管理>高級選項>第三方用戶同步>其它用戶同步”,進入其它用戶同步配置頁麵,如圖2-52所示。
頁麵的詳細說明如表2-33所示。
|
項目 |
說明 |
|
其它用戶同步 |
|
|
深瀾 |
勾選表示與深瀾認證服務器對接。開啟此功能後,配置深瀾服務器發送相應的報文到設備,即可識別用戶。 |
|
城市熱點 |
勾選表示與城市熱點認證服務器對接。開啟此功能後,配置城市熱點服務器發送相應的報文到設備,即可識別用戶。 |
|
PPPOE |
勾選表示與PPPOE服務器用戶同步。通過PPPoE報文識別用戶並在本地用戶界麵創建相應的用戶PPPOE賬號。 |
|
安美 |
勾選表示與安美認證服務器對接。開啟此功能後,配置安美服務器發送相應的報文到設備,即可識別用戶。 |
|
ddi終端用戶 |
勾選表示與ddi設備對接。開啟此功能後,配置ddi設備發送相應的報文到設備,即可關聯終端用戶使用的終端型號。 |
輸入完畢後,點擊<提交>按鈕,應用配置。
在導航欄中選擇“用戶管理>認證管理>高級選項>全局配置”,進入全局配置頁麵,頁麵顯示了當前的識別配置和認證配置,如圖2-53所示。
頁麵的詳細說明如表2-34所示。
|
項目 |
說明 |
|
識別範圍 |
標示用戶識別範圍的地址對象或者地址對象組。 用戶隻有同時在用戶識別範圍內和相應的認證網段中,使用流量的時候才會觸發認證過程。如該用戶不在用戶識別範圍內,則不會觸發認證過程,也不會識別為匿名用戶;如該用戶在用戶識別範圍內,但不在任何一個認證網段中,則該用戶被識別為匿名用戶。 |
|
識別模式 |
識別模式分為“啟發模式”和“強製模式”兩種,默認配置為強製模式,識別範圍默認配置均為private私網地址段。 “啟發模式”指的是,優先將屬於識別範圍的IP地址識別為在線用戶,並且根據流量發起方先識別源IP,再識別目的IP,如果源IP和目的IP都不在識別範圍中時則將源IP識別為在線用戶。 “啟發模式”使用場景:對用戶識別要求不嚴格的情況下使用啟發模式,在線用戶中會出現非識別範圍內的用戶(如:同時出現私網IP和公網IP的用戶),所以統計到的在線用戶數量會比較多,在此模式下需要將識別範圍修改成內網實際使用的地址網段,否則會導致用戶識別不精確。 “強製模式”指的是,隻將屬於識別範圍的IP地址識別為在線用戶,並且根據流量發起方先識別源IP,再識別目的IP,隻有源IP或目的IP地址中的一個屬於識別範圍時,才會被識別為在線用戶;否則此IP地址流量不受係統轉發流程中用戶識別後的所有功能模塊限製,如:用戶策略、安全策略、應用識別和審計、入侵檢測、病毒防護、QOS。 “強製模式”使用場景:對用戶識別要求嚴格的情況下使用強製模式,在線用戶中隻會存在識別範圍內的用戶,過濾掉了不屬於內網地址段的用戶,精簡了在線用戶列表,隻顯示用戶真正關心的數據,同時提升了設備性能,不在識別範圍內的IP流量不走用戶認證流程,避免了對用戶不關心數據的處理,在此模式下務必將識別範圍修改成內網實際使用的地址網段,避免因識別範圍配置錯誤導致的用戶關心的IP地址流量不受用戶策略控製的情況出現。 |
|
啟用第三方認證 |
是否啟用第三方認證。 |
|
認證方式 |
第三方認證服務器是Radius服務器或者Ldap服務器。 |
|
RADIUS |
選擇已配置的Radius服務器或服務器組。 |
|
Ldap |
選擇已配置的Ldap服務器或服務器組。 |
|
https彈portal |
勾選後,用戶在訪問HTTPS網站時也可以彈出認證頁麵。 |
|
用戶MAC感知 |
開啟用戶MAC感知後,如檢測到用戶的MAC地址發生變化,則強製用戶重新認證。(開啟跨三層MAC地址學習功能時會發生用戶MAC地址變更的情況。) |
|
偽Portal抑製 |
對於Portal重定向支持HTTP302方式和Html-refresh方式,選擇HTTP302方式時對所有請求都響應,偽Portal抑製不生效;選擇Html-refresh方式時,隻響應瀏覽器的請求,偽Portal抑製生效。 |
|
用戶認證驗證碼 |
隻對本地認證、免認證、pop3認證、混合認證(本地認證、免認證)生效。 |
|
綁定範圍與密碼同時校驗 |
開啟後會同時校驗用戶綁定的IP/MAC和用戶名密碼 |
輸入完畢後,點擊<提交>按鈕,應用配置。
認證策略錄入配置主要針對第三方用戶,目的是將存在於第三方的用戶加入設備,便於做策略限製等。
圖2-54 用戶認證策略流程圖
在導航欄中選擇“用戶管理 > 認證管理 > 認證策略”,單擊<新建>按鈕,進入認證策略的配置界麵,如圖2-55所示。
認證策略參數詳細說明,如表2-35所示
|
標題 |
說明 |
|
啟用 |
認證策略啟用或禁用,認證策略隻有啟用才能生效。 |
|
名稱 |
認證策略的名稱。 |
|
描述 |
認證策略描述信息填寫。 |
|
源接口 |
認證策略源接口。 |
|
源地址 |
認證策略源地址對象或地址組,可直接新建地址對象。 |
|
目的接口 |
認證策略目的接口。 |
|
目的地址 |
認證策略目的地址對象或地址組,可直接新建地址對象。 |
|
認證方式 |
認證策略認證方式可選WEB認證、Portal Server認證、短信認證、免認證、微信認證、混合認證、單點登錄、二維碼認證、IC卡認證、APP認證、POP3認證、釘釘認證。 |
|
時間 |
認證策略時間對象,時間對象有效期內策略生效,時間對象無效的時候認證策略為禁用狀態。 |
|
用戶組 |
默認不選擇用戶組,第三方用戶認證成功後不錄入用戶;選擇用戶組後,第三方用戶認證成功後錄入指定的用戶組。 該功能主要針對於第三方認證的用戶,目的將存儲在第三方服務器的用戶導入設備。如果需要對第三方認證的用戶進行策略限製等,建議選擇錄入指定的用戶組。 |
|
用戶有效時間 |
用戶有效期指的是第三方用戶錄入方式: · 永久錄入:第三方用戶認證成功後錄入指定組,永久有效。 · 有效期至:第三方用戶認證成功後錄入指定組,設備運行時間到配置的時間當天23:59後,錄入的用戶狀態變為不啟用,認證策略也變為不啟用。 · 臨時錄入:第三方用戶認證成功後錄入指定組,用戶注銷下線後,錄入的用戶組裏用戶自動刪除。 |
如圖2-56所示,某公司內網搭建有第三方Radius服務器,用戶名全部存放在radius服務器上,要求內網用戶使用radius服務器上的用戶進行認證,認證成功後用戶錄入設備進行其它策略控製。具體要求如下:
· 內網用戶進行Web認證上網,用戶名和密碼存儲在Radius服務器上,認證成功後用戶永久錄入設備。
· 其它移動終端連接wifi後使用微信認證上網,認證策略用戶錄入為臨時錄入,用戶下線後刪除錄入用戶。
(1) 添加Radius服務器
通過菜單“用戶管理>認證管理>認證服務器>認證服務器”,選擇“新建>Radius服務器”,配置“服務器地址”為10.0.53.85,“服務器密碼”和“端口”需要和Radius服務器保持一致,點擊<提交>,如圖2-57所示。
通過菜單進入“用戶管理>認證管理>認證方式>微信認證”,配置微信認證相關參數後,點擊<提交>,如圖2-58所示。
(3) 配置地址對象
通過菜單“策略配置>對象管理 > 地址對象”,點擊<新建>地址對象,配置內網用戶和無線wifi地址對象。如圖2-59、圖2-60所示。
(4) 配置用戶組對象
通過菜單“用戶管理>用戶組織結構”,單擊<新建>用戶組,配置radius用戶組和無線wifi用戶組,如圖2-61、圖2-62所示。
通過菜單“策略配置>IPv4控製策略”,點擊<新建>IPv4控製策略,使用默認配置,如圖2-63所示。
圖2-63 IPV4控製策略配置
(6) 全局配置啟用第三方認證選擇radius服務器
在導航欄中選擇“用戶管理>認證管理>高級選項”,進入全局配置頁麵,啟用第三方認證選擇radius服務器,如圖2-64所示。
(7) 配置用戶策略
a. 配置內網用戶認證策略,用戶永久錄入。
通過菜單進入“用戶管理>認證管理>認證策略”,點擊<新建>,源地址配置為“內網用戶地址對象”,相關行為配置為“本地Web認證”,用戶錄入選擇創建的“Radius-group”,有效期為永久錄入,點擊<提交>。如圖2-65所示。
(8) 配置無線wifi用戶認證策略,用戶臨時錄入。
通過菜單進入“用戶管理>認證管理>認證策略”,點擊<新建>,源地址配置為“無線wifi地址對象”,相關行為配置為“微信認證”,用戶錄入選擇創建的“無線wifi”,用戶有效期為臨時錄入,點擊<提交>。如圖2-66所示。
圖2-66 配置無線wifi用戶認證後臨時錄入用戶策略
(1) 內網用戶用戶錄入驗證
如圖2-67所示,內網終端進行HTTP訪問,彈出如下本地Web認證頁麵,使用radius服務器上用戶名、密碼進行認證。
圖2-67 內網用戶使用第三方radius用戶認證成功
如圖2-68所示,設備在線用戶顯示第三方radius用戶認證。
圖2-68 Radius聯動用戶Web認證成功
通過菜單“用戶管理>用戶組織結構”,查看Radius-group用戶組下,winradiusuer17用戶已錄入,如圖2-69所示。
圖2-69 Radius用戶組下錄入用戶
如圖2-70所示,編輯用戶查看用戶永不過期。
圖2-70 radius錄入用戶顯示為永不過期
如圖2-71所示,移動終端連接wifi後瀏覽器彈出微信認證頁麵,點擊一鍵打開微信連接進行認證。
圖2-71 移動終端連接wifi後彈出微信認證頁麵
如圖2-72所示,設備在線用戶顯示微信認證。
通過菜單“用戶管理>用戶組織結構”,查看無線wifi用戶組下,微信用戶已錄入,如圖2-73所示。
圖2-73 無線wifi用戶組下錄入微信用戶
如圖2-74所示,在線用戶處踢出微信認證用戶。
通過菜單“用戶管理>用戶組織結構”,查看無線wifi用戶組下,微信用戶已刪除,如圖2-75所示。
圖2-75 無線wifi用戶組下錄入的微信用戶已刪除
如圖2-76所示,在公司你搭建有LDAP服務器,LDAP服務器上用戶是以標識名的方式進行創建的,要求內網用戶使用AD-ldap服務器同步下來的用戶進行認證後上網。
圖2-76 LDAP認證拓撲圖
(1) 新建LDAP服務器,通用名稱標識為cn,並同步。
在導航欄中選擇“用戶管理>認證管理>認證服務器”,進入認證服務器的配置界麵,選擇“新建>LDAP服務器”,配置LDAP服務器,如圖2-77所示。
圖2-77 標識為CN的LDAP服務器配置
配置完成後如圖2-78所示。
圖2-78 LDAP服務器配置效果圖
(2) 新建LDAP同步
在導航欄中選擇“用戶管理>用戶同步”,選擇“新建>LDAP同步”,配置LDAP同步,如圖2-79所示。
(3) 全局模式啟用第三方ldap配置
在導航欄中選擇“用戶管理>認證管理>高級選項”,進入全局配置頁麵,啟用第三方認證選擇Ldap服務器,如圖2-80所示。
圖2-80 啟用第三方ldap配置界麵
(4) 新建用戶認證策略
在導航欄中選擇“用戶管理>認證管理>認證策略”,進入用戶認證策略的配置頁麵,單擊<新建>按鈕,配置認證策略,如圖2-81所示。
圖2-82 PC訪問網頁彈出本地認證界麵後,使用同步下來的LDAP用戶進行認證
圖2-83 認證成功效果圖
如圖2-84所示,在公司內網搭建有LDAP服務器上用戶是以用戶登錄名的方式進行創建的,要求內網用戶使用AD—ldap服務器同步下來的用戶進行認證上網。
圖2-84 LDAP認證拓撲圖
(1) 新建LDAP服務器,通用名稱標識為sAMAccountName,並同步。
在導航欄中選擇“用戶管理>認證管理>認證服務器”,選擇“新建LDAP服務器”,如圖2-85所示。
圖2-85 標識名為sAMAccountName的LDAP服務器配置
配置完成後如圖2-86所示。
圖2-86 LDAP服務器配置效果圖
(2) 新建LDAP同步
在導航欄中選擇“用戶管理>用戶同步”,選擇“新建> LDAP同步”,配置LDAP同步,如圖2-87所示。
(3) 全局模式啟用第三方ldap配置
在導航欄中選擇“用戶管理>認證管理>高級選項”,進入全局配置頁麵,啟用第三方認證選擇Ldap服務器,如圖2-88所示。
圖2-88 啟用第三方ldap配置界麵
(4) 新建用戶認證策略
在導航欄中選擇“用戶管理>認證管理>認證策略”,進入用戶認證策略的配置頁麵,單擊<新建>按鈕,配置認證策略,如圖2-89所示。
圖2-90 PC訪問網頁彈出本地認證界麵後,使用同步下來的LDAP用戶進行認證
圖2-91 認證成功效果圖
如圖2-92所示,在公司內網搭建有LDAP服務器上用戶是以用戶登錄名的方式進行創建的,要求內網用戶使用AD—ldap服務器同步下來的用戶進行認證上網。
圖2-92 LDAP認證拓撲圖
(1) 新建LDAP服務器,通用名稱標識為sAMAccountName,並同步。
在導航欄中選擇“用戶管理>認證管理>認證服務器”,單擊<新建>按鈕,配置LDAP服務器,如圖2-93所示。
圖2-93 標識名為sAMAccountName的LDAP服務器配置
配置完成後如圖2-94所示。
圖2-94 LDAP服務器配置效果圖
(2) 新建LDAP同步
在導航欄中選擇“用戶管理>用戶同步”,選擇“新建> LDAP同步”,配置LDAP同步,如圖2-95所示。
(3) 查看LDAP同步用戶
在導航欄中選擇“用戶管理>用戶組織結構”,查看LDAP同步用戶,如圖2-96所示。
圖2-96 LDAP同步的用戶
(4) 全局模式啟用第三方ldap配置
在導航欄中選擇“用戶管理>認證管理>高級選項”,進入全局配置頁麵,啟用第三方認證選擇Ldap服務器,,如圖2-97所示。
圖2-97 啟用第三方ldap配置界麵
(5) 新建用戶認證策略
在導航欄中選擇“用戶管理>認證管理>認證策略”,進入用戶認證策略的配置頁麵,單擊<新建>按鈕,配置認證策略,如圖2-98所示。
(6) 啟用LDAP認證用戶名不區分大小寫,如圖2-99所示。
圖2-99 LDAP認證用戶名不區分大小寫配置圖
默認情況下設備認證過程中用戶名稱不區分大小寫,而LDAP服務器在檢驗用戶名時不區分大小寫,如在LDAP服務器上配置用戶名為aaa,用戶在認證時輸入AAA,也可以認證通過,但在設備側上線時記錄的用戶名是AAA,由於設備從LDAP服務器同步下來的用戶名是aaa,其它策略在調用aaa做控製後,由於上線時的用戶為AAA,導致策略無法匹配上,為了解決這一問題,設備側開啟認證用戶名稱區分大小寫,即使用戶輸入了AAA,上線時也會顯示為aaa,與本地存的用戶名一模一樣,保證了後續用戶對象正常匹配。
PC訪問網頁彈出本地認證頁麵,後使用同步下來的LDAP 用戶進行認證。(原同步下來的用戶為upntest1,啟用ldap認證用戶名區分大小寫後,認證用戶名輸入UPNtest1進行認證)
(1) 關閉LDAP認證用戶區分大小寫
關閉ldap認證用戶名區分大小寫,認證頁麵顯示如圖2-100所示。
關閉ldap認證用戶名區分大小寫,設備在線用戶顯示如圖2-101所示。
(2) 開啟LDAP認證用戶區分大小寫
開啟ldap認證用戶名區分大小寫,認證頁麵顯示如圖2-102所示。
開啟ldap認證用戶名區分大小,設備在線用戶顯示如圖2-103所示。
如圖2-104所示,在公司內網搭建有LDAP服務器上用戶是以用戶登錄名的方式進行創建的,要求內網用戶使用AD—ldap服務器同步下來的用戶進行認證上網。
圖2-104 LDAP認證拓撲圖
(1) 新建LDAP服務器,通用名稱標識為cn。
在導航欄中選擇“用戶管理>認證管理>認證服務器”,選擇“新建>LDAP服務器”,配置LDAP服務器,如圖2-105所示。
圖2-105 標識名為cn的LDAP服務器配置
(2) 新建LDAP同步,同步類型為按安全組同步。
在導航欄中選擇“用戶管理>用戶同步”,選擇“新建> LDAP同步”,配置LDAP同步,如圖2-106所示。
(3) 查看LDAP同步用戶
在導航欄中選擇“用戶管理>用戶組織結構”,查看LDAP同步用戶,如圖2-107所示。
圖2-107 LDAP同步的用戶
(4) 全局模式啟用第三方ldap配置
在導航欄中選擇“用戶管理>認證管理>高級選項”,進入全局配置頁麵,啟用第三方認證選擇Ldap服務器,如圖2-108所示。
(5) 新建用戶認證策略
在導航欄中選擇“用戶管理>認證管理>認證策略”,進入用戶認證策略的配置頁麵,單擊<新建>按鈕,配置認證策略,如圖2-109所示。
如圖2-110所示,PC訪問www.qq.com,彈出本地認證界麵。輸入LDAP同步下來的安全組用戶的用戶名和密碼進行認證。
圖2-110 PC訪問網頁彈出本地認證頁麵,後使用同步下來的LDAP 安全組用戶進行認證。
如圖2-111所示,安全組用戶的LDAP認證效果圖。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
