• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

H3C SecPath ACG1000係列應用控製網關 Web配置指導(R6612 E6453)-6W106

24-用戶同步

本章節下載 24-用戶同步  (539.82 KB)

24-用戶同步


1 用戶同步

1.1  概述

為了實現用戶管理在其使用場景上的易用性,對用戶管理相關功能進行優化。用戶同步包括LDAP同步、SNMP同步和ARP掃描,其中LDAP同步需要先配置LDAP服務器後,在LDAP同步裏調用LDAP服務器進行同步,LDAP服務器的配置可參考“用戶和用戶認證”章節的相關內容。

同步成功錄入設備的用戶支持在線用戶識別、策略調用、QOS控製、策略路由等模塊的引用控製。

1.2  原理描述

1.2.1  基本原理

·     LDAP同步:通過LDAP協議報文將LDAP服務器上的用戶同步到本地,然後可以按照實際需求分別對同步下來的用戶組和用戶進行相關功能的引用控製,比如:審計策略、控製策略、流控策略、限額策略等,LDAP同步分為兩種同步類型,分別為按OU(組織單位)同步和按安全組同步,配置為按OU同步時即按照OU區分所屬用戶組,按照LDAP服務器上OU的配置來進行同步,即每個OU同步下來後為一個用戶組,此OU下包含的OU和用戶也分別對應到此用戶組下的用戶組和用戶,同理配置為按安全組同步時按照安全組區分所屬用戶組,即每個安全組同步下來後為一個用戶組,此安全組下包含的安全組和用戶也分別對應到此用戶組下的用戶組和用戶,配置按照OU同步時,安全組就不會同步下來作為用戶組了,同理如果配置為安全組,那此BASE DN下的OU也就不會被同步下來作為用戶組了;可以開啟自動同步,開啟自動同步後需配置起始時間和間隔時間,起始時間表示在每天的這個時間點進行同步,間隔時間表示本次執行同步後每經過配置的間隔時間後再執行同步。

·     SNMP同步:通過SNMP協議報文獲取三層交換機上的ARP表,從而得到了內網PC真實的IP和MAC地址對應關係,同步下來的IP地址和MAC地址的對應關係可以錄入到用戶組也可以進行IP-MAC綁定。錄入到用戶組支持手工錄入和自動錄入,錄入的用戶以IP地址作為用戶名,綁定其IP及MAC地址,即此IP或MAC其中任何一個匹配均認為是此用戶,此同步錄入的用戶屬於靜態綁定的用戶,不會再進行其它方式的認證同時用戶錄入到本地後,可以針對此錄入的用戶組或用戶進行相關功能的引用控製,比如:審計策略、控製策略、流控策略、限額策略等。SNMP同步支持任務周期配置,即每經過任務周期的時間進行一次同步,支持配置時間為2-36000秒。

·     ARP掃描:通過ARP請求報文來獲取內網PC的IP和MAC地址對應關係,同步下來的IP地址和MAC地址的對應關係可以錄入到用戶組也可以進行IP-MAC綁定。錄入到用戶組支持手工錄入和自動錄入,錄入的用戶以IP地址作為用戶名,綁定其IP地址,此同步錄入的用戶屬於靜態綁定的用戶,不會再進行其它方式的認證同時用戶錄入到本地後,可以針對此錄入的用戶組或用戶進行相關功能的引用控製,比如:審計策略、控製策略、流控策略、限額策略等。ARP掃描支持任務周期配置,即每經過任務周期的時間進行一次同步,支持配置時間為10-36000秒。由於ARP報文為二層報文,無法跨越三層網絡,因此要求ARP掃描的網段必須是設備接口的直連網段。

 

1.2.2  用戶同步流程

1. LDAP同步用戶流程

LDAP同步主要是通過LDAP協議報文來獲取配置的Base DN下的用戶組織關係,以用戶組(配置按OU同步時,即按照LDAP服務器上的OU來區分錄入用戶組配置,配置按安全組同步時,即LDAP服務器上的安全組來區分錄入用戶組配置 )單元為單位,循環讀取從LDAP服務器上發送回來的用戶組及其包含的用戶信息。

檢查獲取的用戶組及用戶數量是否到達或超過本地設備規格,若到達設備最大規格則將獲取的信息丟棄結束同步過程,否則檢查是否超過用戶組用戶最大規格,若超過則跳過此用戶組單元,繼續獲取下一個用戶組單元,直至獲取完成或者到達設備規格;如不超過則將獲取到的用戶組及用戶信息先保存到本地緩存中。

當一個用戶組單元的信息獲取完整後,將本地設備中同屬於一個LDAP服務器的用戶及用戶組置LDAP標記,然後將獲取的用戶組單元信息其下發給DPLAN用以用戶的認證以及設備本地用戶的添加保存。在DPLAN保存用戶及用戶組時將已存在的用戶及用戶組的LDAP標記取消。

同步完成初始化同步標識等變量,釋放已建立的會話,結束同步。

2. SNMP同步流程

SNMP同步主要是設備通過SNMP協議學習三層交換機上的ARP表,獲得內網PC的IP和MAC對應關係,設備會通過SNMP報文去請求交換機上記錄ARP表的mib節點來獲取到其上麵的IP與MAC的對應關係,然後根據配置選擇是否自動錄入到相應的用戶組或者通過同步結果手工執行錄入到用戶組或IP-MAC綁定.。

l     交換機上已開啟SNMP代理功能。

l     設備與交換機網絡可達。

l     設備上配置的團體字與交換機團體字一致。

3. ARP掃描流程

ARP掃描主要通過ARP協議探測同網段主機地址,從而獲取到內網PC的IP地址和MAC的對應關係。設備根據配置的掃描網段依次發送ARP請求報文,監聽ARP回複報文來獲取對應的MAC地址,然後根據配置選擇是否自動錄入到相應的用戶組或者通過同步結果手工執行錄入到用戶組或IP-MAC綁定.。

ARP掃描地址段必須是和設備同一網段.

1.3  配置用戶同步

1.3.1  用戶同步任務查看

在導航欄中選擇“用戶管理>用戶管理>用戶同步”,進入用戶同步任務頁麵,可查看已配置的用戶同步任務,如圖1-1所示。

圖1-1 用戶同步任務列表

 

用戶同步任務頁麵詳細信息如表1-1所示

表1-1 用戶同步任務列表詳細信息表

標題項

說明

新建

新建任務

刪除

批量刪除任務

名稱

任務名稱

描述

任務描述

狀態

任務狀態

·     啟用

·     禁用

同步類型

·     LDAP同步

·     SNMP同步

·     ARP掃描

同步周期

任務執行的周期

自動錄入

是或者否

同步狀態

任務執行狀態結果,同步成功或者同步失敗。

操作

立即同步,單擊即可執行同步任務;

同步結果,單擊顯示同步結果;

編輯,單擊進入任務編輯頁麵;

刪除,刪除同步任務。

 

1.3.2  配置LDAP同步

在導航欄中選擇“用戶管理>用戶管理>用戶同步”,單擊<新建>按鈕,選擇<LDAP同步>進入LDAP同步配置界麵,如圖1-2所示;LDAP同步詳細參數如表1-2所示。

圖1-2 LDAP同步配置界麵

 

表1-2 LDAP同步界麵參數說明

參數

說明

名稱

LDAP同步條目名稱。

描述

LDAP同步描述信息。

LDAP服務器

選擇引用的LDAP服務器。

同步類型

·     按OU同步:OU同步AD域下OU用戶;

·     按安全組同步:安全組同步AD域下組用戶。

自動同步

啟用或禁用自動同步功能。

起始時間

LDAP同步條目創建後開始同步的時間。

間隔時間

LDAP同步條目創建後按照時間間隔進行同步。

用戶組

LDAP用戶同步到某一用戶組

 

1.3.3  配置SNMP同步

1. 配置SNMP同步

在導航欄中選擇“用戶管理>用戶管理>用戶同步”,單擊<新建>按鈕,選擇<SNMP同步> 進入SNMP同步配置界麵,如圖1-3所示;SNMP同步詳細參數如表1-3所示。

圖1-3 SNMP同步配置界麵

 

表1-3 SNMP同步界麵參數說明

參數

說明

啟用

SNMP同步功能啟用、禁用。

名稱

SNMP同步條目名稱。

描述

SNMP同步描述信息。

IP地址

交換機ip地址,需要與設備互通。

MAC地址

與設備相連的交換機接口的IP/MAC地址。

團體名

交換機啟用SNMP功能所配置的團體字。

版本號

交換機SNMP版本號,支持V1、V2和V3。

任務周期

啟用後按照所配置的時間進行SNMP用戶同步。

自動錄入

啟用後同步用戶錄入設備可選指定用戶組錄入用戶,不啟用隻同步不錄入。

錄入方式

默認錄入:以IP地址作為錄入名,綁定IP地址及MAC地址;

IP錄入:以IP地址作為錄入名,隻綁定IP地址;

MAC錄入:以MAC地址作為錄入名,隻綁定MAC地址。

IPMAC自動綁定

啟用後,設備自動把第一次學到的IP/MAC進行唯一性綁定,無需手工綁定。

 

2. 配置用戶MAC敏感

SNMP同步場景下需要配合用戶MAC敏感功能一起使用.

user mac-sensitive  命令用來配置用戶識別是否對MAC變化保持敏感。

【命令】

user mac-sensitiveenabledisable

【視圖】

(config)#視圖

【參數】

enable:開啟用戶MAC敏感,用戶MAC發生變化後會被踢下線重新識別。

disable:關閉用戶MAC敏感。

【使用指導】

用戶MAC敏感命令是配合SNMP跨三層學習MAC功能一起使用的,默認情況下為disable狀態,即用戶MAC發生變化後用戶不會被踢下線;在跨三層環境下由於通過SNMP獲取到真實MAC後在線用戶的MAC會發生變化,開啟MAC敏感以將用戶踢下線,重新進行識別,以便重新關聯用戶。

說明:跨三層環境下,用戶上線時MAC識別為匿名用戶,MAC 地址為下聯三層設備的接口MAC1,用戶靜態綁定條目為(user2 MAC2),當開啟跨三層學習後,正常獲取到用戶的真實MAC2,如果用戶MAC敏感為關閉狀態,用戶不會重新識別會導致無法關聯上靜態綁定用戶,在線用戶仍然會顯示匿名用戶,就會導致所有引用了賬號user2的策略均不生效。

【舉例】

# 配置用戶MAC敏感

Host(config)# user mac-sensitive enable  開啟用戶MAC敏感

Host (config)# user mac-sensitive disable  關閉用戶MAC敏感

1.3.4  配置ARP掃描

在導航欄中選擇“用戶管理>用戶管理>用戶同步”,單擊<新建>按鈕,選擇<ARP掃描> 進入ARP掃描配置界麵,如圖1-4所示;ARP掃描詳細參數如表1-4所示。

圖1-4 ARP掃描配置界麵

 

表1-4 ARP掃描界麵參數說明

參數

說明

啟用

ARP掃描功能啟用、禁用。

名稱

ARP掃描條目名稱。

描述

ARP掃描描述信息。

掃描網段

需要和設備是同一網段,例如接口192.168.1.1/24,掃描需要配置成192.168.1.0/24。

任務周期

啟用後按照所配置的時間進行ARP掃描同步。

自動錄入

啟用後同步用戶錄入設備可選指定用戶組錄入用戶,不啟用隻同步不錄入。

IPMAC自動綁定

啟用後,設備自動把第一次學到的IP/MAC進行唯一性綁定,無需手工綁定。

 

1.4  用戶同步配置舉例

1.4.1  組網需求

圖1-5所示,某公司的財務部、工程部員工通過固定設備使用靜態綁定IP/MAC的方式上網,生產部員工使用LDAP服務器配置的用戶賬號認證上網,其網段分別是172.16.1.0/24、172.16.2.0/24和172.

16.3.0/24,LDAP服務器的地址為172.16.0.20/24。工程部SNMP交換機地址為172.16.0.10/24。使用設備的ge0和ge1接口,以透明模式部署在網絡中,在設備上配置用戶同步。

 

圖1-5 用戶同步配置舉例組網圖

 

1.4.2  配置步驟

1. 添加LDAP服務器

通過菜單“用戶管理>認證管理>認證服務器”,單擊選擇“新建>LDAP服務器”,進入如圖1-6所示的頁麵。

圖1-6 LDAP服務器配置

 

 

2. 配置用戶組

通過菜單“用戶管理>用戶組織結構”,單擊選擇“新建>用戶組”,配置財務部和工程部用戶組,如圖1-7圖1-8所示。

圖1-7 財務部用戶組配置

 

圖1-8 工程部用戶組配置

 

3. 配置用戶同步認證

(1)     配置LDAP同步

通過菜單“用戶管理>用戶管理>用戶同步”,單擊選擇“新建>LDAP同步”,進入LDAP同步配置頁麵。配置LDAP同步任務名稱,選擇LDAP服務器,選擇開啟同步周期並配置同步周期(每天的某個整點),或者選擇關閉周期同步,如圖1-9所示。

圖1-9 配置生產部LDAP同步

 

(2)     配置SNMP同步

通過菜單“用戶管理>用戶管理>用戶同步”,單擊選擇“新建>SNMP同步”,進入SNMP配置頁麵。配置SNMP同步任務名稱,IP地址和MAC地址配置為SNMP server的IP地址和MAC地址,配置團體名和SNMP的版本號,選擇開啟周期同步並配置同步周期或者關閉周期同步(隻在配置成功後同步一次),選擇開啟自動錄入並配置同步結果的錄入用戶組,或者關閉自動錄入由後期用戶手動添加。如圖1-10所示。

圖1-10 配置工程部SNMP同步

 

(3)     配置ARP掃描

通過菜單“用戶管理>用戶管理>用戶同步”,單擊選擇“新建>ARP掃描”,進入ARP掃描配置頁麵。配置“掃描網段”為財務部網段,選擇配置是否開啟周期同步,是否開啟自動錄入並選擇錄入用戶的組織結構的用戶組。如圖1-11所示。

圖1-11 配置財務部ARP掃描

 

4. 配置用戶認證地址對象

通過菜單“策略配置>對象管理 > 地址對象 > IPv4地址對象”,單擊<新建>按鈕,配置生產部地址對象,如圖1-12所示。

圖1-12 地址對象配置

 

5. 配置Web認證參數

通過菜單“用戶管理 > 認證管理 > 認證方式 > 本地WEB認證”,勾選“允許重複登錄”,配置“允許登錄數”為無限製,單擊<提交>。如圖1-13所示。

圖1-13 配置Web認證

 

6. 配置安全策略

通過菜單“策略配置>控製策略”,單擊<新建>按鈕進入控製策略配置界麵。如圖1-14所示。

圖1-14 控製策略配置

 

7. 全局配置啟用第三方認證選擇LDAP服務器

在導航欄中選擇“用戶管理>認證管理>高級選項”,進入全局配置頁麵,啟用第三方認證,選擇LDAP服務器,如圖1-15所示。

圖1-15 全局模式啟用第三方Ldap配置

 

8. 配置用戶策略

通過菜單進入“用戶管理>認證管理>認證策略”,單擊<新建>,源地址配置為“生產部地址對象”,認證方式配置為“Web認證”,其它選項保持默認,單擊<提交>。如圖1-16所示。

圖1-16 用戶策略配置

 

1.4.3  驗證配置

(1)     進入“用戶管理>用戶組織結構”,查看“財務部”用戶組。財務部ARP同步成功後,財務部固定設備的用戶全部自動錄入,用戶靜態綁定對應的IP,固定設備直接可以上網。如圖1-17所示。

圖1-17 財務部ARP同步用戶

 

(2)     進入“用戶管理>用戶組織結構”,查看“工程部”用戶組。工程部SNMP同步成功後,生產部固定設備的用戶全部自動錄入,用戶靜態綁定對應的IP/MAC,固定設備直接可以上網。如圖1-18所示。

圖1-18 工程部SNMP同步用戶

 

(3)     進入“用戶管理>用戶組織結構”,查看“生產部”用戶組。從LDAP成功同步了生產部的用戶,同步了用戶組“生產部”以及用戶組的直屬用戶user1,user2,user3。如圖1-19所示。

圖1-19 生產部LDAP同步用戶

 

(4)     在生產部網段(172.16.3.0/24)使用PC終端進行HTTP訪問,彈出本地Web認證頁麵,使用LDAP聯動用戶user3認證成功。如圖1-20所示。

圖1-20 生產部LDAP用戶認證頁麵

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們