- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-用戶管理
本章節下載: 02-用戶管理 (475.23 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 本地用戶
○ 密碼管理
○ 身份識別用戶
○ 在線用戶
○ 用戶導入策略
· 配置指南
○ 配置本地用戶
○ 管理在線用戶
○ 配置用戶導入策略
○ 配置郵件服務器
所謂本地用戶,是指在本地設備上設置的一組用戶屬性的集合。該集合以用戶名作為用戶的唯一標識。本地用戶供通過設備訪問網絡服務的用戶使用,即作為網絡接入類用戶。
當選擇使用本地認證、本地授權、本地計費方法對用戶進行認證、授權或計費時,應在設備上創建本地用戶並配置相關屬性。
為了簡化本地用戶的配置,增強本地用戶的可管理性,引入了用戶組的概念。用戶組是一個本地用戶屬性的集合,某些需要集中管理的屬性可在用戶組中統一配置和管理,用戶組內的所有本地用戶都可以繼承這些屬性。目前,用戶組中可以管理的用戶屬性為授權屬性。
每個新增的本地用戶都默認屬於一個係統自動創建的用戶組system,且繼承該組的所有屬性。
為了提高用戶登錄密碼的安全性,可通過配置密碼管理功能對用戶的登錄密碼進行管理。
用於限製用戶密碼的最小長度。當設置用戶密碼時,如果輸入的密碼長度小於設置的密碼最小長度,係統將不允許設置該密碼。缺省情況下,密碼的最小長度為10個字符。
用於設置用戶密碼的組成元素的組合類型,以及至少要包含每種元素的個數。密碼的組成元素包括以下4種類型:
· [A~Z]
· [a~z]
· [0~9]
· 32個特殊字符(空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./)
密碼元素的組合類型有4種,具體涵義如下:
· 組合類型為1表示密碼中至少包含1種元素;
· 組合類型為2表示密碼中至少包含2種元素;
· 組合類型為3表示密碼中至少包含3種元素;
· 組合類型為4表示密碼中包含4種元素。
當用戶設置密碼時,係統會檢查設定的密碼是否符合配置要求,隻有符合要求的密碼才能設置成功。缺省情況下,密碼元素的組合類型為1種,每種元素的個數為1個。
為確保用戶的登錄密碼具有較高的複雜度,設置的密碼必須符合一定的複雜度要求,隻有符合要求的密碼才能設置成功。目前,可配置的複雜度要求包括:
· 不允許密碼中包含用戶名或顛倒的用戶名。例如,用戶名為“abc”,那麼“abc982”或者“2cba”之類的密碼就不符合複雜度要求。
· 不允許密碼中包含連續三個或以上的相同字符。例如,密碼“a111”就不符合複雜度要求。
用於設置係統保存用戶密碼曆史記錄。當用戶修改密碼時,係統會要求用戶設置新的密碼,如果新設置的密碼以前使用過,且在當前用戶密碼曆史記錄中,係統將提示用戶密碼更改失敗。另外,用戶更改密碼時,係統會將新設置的密碼與所有曆史記錄密碼以及當前密碼逐一比較,要求新密碼至少與舊密碼有4字符不同。並且,這4個字符必須互不相同,否則密碼更改失敗。
可以配置每個用戶密碼曆史記錄的最大條數,當密碼曆史記錄的條數超過配置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄。
用於設置用戶登錄設備後修改自身密碼的最小間隔時間。在如下情況中,密碼更新並不受該功能的約束:
· 開啟密碼管理後,用戶首次登錄設備時係統要求用戶修改密碼。
· 密碼老化後係統要求用戶修改密碼。
通過用戶身份識別與管理功能,設備可以將網絡流量的IP地址識別為用戶,並基於用戶進行網絡訪問控製和網絡權限分配。該功能具有以下優點:
· 基於用戶進行其他業務策略的製定,可提高策略的易用性。
· 基於用戶進行網絡攻擊行為以及流量的統計和分析,可實現對用戶網絡訪問行為的追蹤審計。
· 解決了用戶IP地址動態變化帶來的策略控製問題,即以不變的用戶應對變化的IP地址。
身份識別用戶用於存儲和管理不同來源的網絡接入用戶的身份信息,包括用戶名、用戶組名以及所屬身份識別域名。設備上,不同來源的身份識別用戶被身份識別模塊統一管理。
目前,支持以下方式生成身份識別用戶:
· 從本地用戶數據庫學習:用戶身份識別模塊學習設備上的本地用戶信息,將其保存為身份識別用戶。
· 從CSV文件中導入:管理員將記錄了用戶信息的CSV文件導入到設備中,可批量創建身份識別用戶。
· 從第三方服務器導入:通過向第三方服務器發起用戶信息請求,將服務器上的網絡接入用戶賬戶信息直接導入本地,並生成對應的身份識別用戶。如果實際網絡環境中的用戶信息存放在第三方認證服務器上,則可采用此方式統一管理。支持的第三方服務器包括LDAP服務器和iMC的RESTful服務器。
身份識別用戶賬戶將會由於以下原因被刪除:
· 管理員手工刪除身份識別用戶。
· 本地用戶數據庫中刪除某本地用戶之後,用戶身份識別模塊會同步刪除對應的身份識別用戶賬戶。
在用戶身份識別業務中,可以將用戶加入到組中進行批量配置和層級式管理,這樣的組稱為身份識別用戶組。設備上,不同來源的身份識別用戶組被用戶身份識別模塊統一管理。
目前,支持以下方式生成身份識別用戶組:
· 從本地用戶數據庫學習:當設備上創建本地用戶組時,會通知用戶身份識別模塊生成相應的身份識別用戶組。
· 從CSV文件中導入:設備在從CSV文件中導入身份識別用戶賬戶的同時,可以根據管理員的配置自動生成相應的身份識別用戶組。
· 從第三方服務器導入:設備在從第三方服務器上導入身份識別用戶賬戶的同時,會根據賬戶中的組信息自動生成相應的身份識別用戶組。
身份識別用戶組被應用模塊引用之後,該用戶組將處於激活狀態,所有基於該組的業務將會生效。當應用模塊取消對該身份識別用戶組的引用,該身份識別用戶組將處於非激活狀態。
身份識別用戶組將會由於以下原因被刪除:
· 管理員手工刪除身份識別用戶組。
· 本地用戶數據庫中刪除本地用戶組之後,用戶身份識別模塊會同步刪除對應的身份識別用戶組。
設備上的所有身份識別用戶按樹形結構組織,每一個身份識別用戶隸屬於一個或多個身份識別用戶組,每個身份識別用戶組也可以隸屬於一個更高結構層次的身份識別用戶組。這種樹形組織結構易於管理員查詢、定位,是企業內常用的用戶組織方式。網絡管理員可以根據企業的組織結構在設備上創建身份識別用戶組和身份識別用戶,分別對應不同管理級別的部門和員工,如圖-1所示:
基於用戶身份的訪問控製流程主要包括如下步驟:
1. 用戶身份認證:網絡接入用戶通過一定的認證方式(本地認證、遠程服務器認證、單點登錄)提供用戶名和密碼信息,完成身份驗證,並成為在線用戶。
2. 用戶身份識別:設備記錄在線用戶的用戶名和IP地址信息,並與本地存儲的用戶和用戶組配置進行關聯,實現IP地址和用戶的映射。管理員也可以直接配置用戶和IP地址的映射關係,便於無需認證的網絡接入用戶使用。
3. 業務策略執行:在線用戶訪問網絡服務時,設備識別出用戶流量的源IP地址,並根據已建立IP地址和用戶的映射關係解析出對應的用戶名以及所屬的用戶組,然後按照業務對用戶/用戶組的策略配置,對該用戶的網絡訪問權限進行控製。
在線用戶是指用戶身份識別模塊管理的上線用戶(包括Portal、PPP、IPoE類型)。設備記錄的在線用戶信息可包括用戶名、身份識別域名、IP地址、MAC地址等。
在線用戶有以下兩種來源:
· 動態生成:
○ 在本設備接入,且通過本地認證或遠程服務器認證的在線網絡接入用戶。用戶上線後,用戶身份識別模塊會在本地身份識別用戶數據庫中查詢該用戶名和域名對應的表項,如果查詢成功,則會生成一條在線用戶表項。
○ 從第三方服務器上導入的在線網絡接入用戶。導入在線用戶信息時,用戶身份識別模塊會在本地身份識別用戶數據庫中查詢用戶名和域名對應的表項,如果查詢成功,則會生成對應的在線用戶表項。可采用此方式將第三方服務器上的所有在線用戶信息導入到本設備進行統一管理和監控。支持的第三方服務器為iMC的RESTful服務器。
· 靜態配置:網絡管理員手工配置靜態類型的身份識別用戶表項,它記錄用戶名和IP地址的綁定關係。一個靜態類型的身份識別用戶表項創建後,用戶身份識別模塊會在本地身份識別用戶數據庫中查詢該用戶名和域名對應的表項,如果查詢成功,則會生成一條靜態類型的在線用戶表項。一些組網需求下,例如有少量指定人員臨時接入網絡時,網絡管理員希望這些用戶無需進行認證也能夠在安全特性的管理下訪問網絡,則可以通過配置靜態類型的在線用戶滿足該需求。
在線用戶可被應用模塊引用,進行相關業務策略的處理。在線用戶表項被刪除後,用戶身份識別模塊將通知應用模塊停止該用戶相關的業務處理。
在線用戶表項將會由於以下原因被刪除:
· 管理員手工刪除在線用戶表項。
· 本設備接入的用戶下線後,接入模塊通知用戶身份識別模塊刪除對應的在線用戶表項。
· 設備重啟後,所有動態類型的在線用戶表項均被刪除。
· 用戶身份識別功能關閉,所有在線用戶表項均被刪除。
· 第三方服務器上用戶下線時,服務器會主動通知設備刪除相應的在線用戶表項。
用戶導入策略用於配置用戶身份識別模塊從第三方服務器上導入身份識別用戶信息的策略,可導入的用戶信息包括身份識別用戶信息、身份識別用戶組信息和在線用戶信息。目前,係統支持的可導入的第三方服務器為iMC的RESTful服務器和LDAP服務器。
目前,用戶導入策略支持如下幾種導入方式:
· 自動導入:采用自動導入方式後,設備首先會從導入策略中指定的服務器上導入服務器上的所有身份識別用戶賬戶信息和所有在線用戶信息,然後定期從該服務器上自動導入身份識別用戶賬戶。
· 手動導入:采用手動導入方式後,設備將向導入策略中指定的服務器發起一次連接請求,之後導入服務器上的所有身份識別用戶賬戶信息和在線用戶信息。
· 若不設置本地用戶密碼,則本地用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性認證通過即可認證成功。因此為提高用戶賬戶的安全性,建議設置本地用戶密碼。
· 對於Portal類型的用戶,僅授權ACL和授權用戶閑置切斷時間。
· 對於SSL VPN接入類型的用戶,僅授權SSL VPN策略組有效。
· 在“用戶“頁麵,使用CSV模板批量導入用戶時,需要按照模板格式導入且不能隨意修改模板的注釋頭,否則會造成導入數據丟失。
· 本特性支持的iMC的RESTful服務器必須為支持SSM組件的iMC PLAT 7.0 (E0201)及其補丁版本。
· 當設備上的RESTful服務器配置完成,且與遠程RESTful服務器建立連接後,iMC的RESTful服務器會實時向設備同步用戶上線和下線的信息,刷新設備上的在線用戶表項。
· 配置收件人郵箱地址前,需要先對郵件服務器進行相關配置。
· 在“對象 > 用戶 > 用戶管理 > 身份識別用戶”頁麵,刪除身份識別用戶時,僅刪除導入的用戶,本地用戶不會被刪除。
· 用戶頁麵菜單欄的<密碼管理>中配置的內容對所有本地用戶生效。對於密碼最小長度、密碼複雜度檢查和密碼組合檢查這幾種功能,也可在新建用戶頁麵的“密碼設置控製參數”中配置,其生效優先級從高到低依次為:新建用戶頁麵的配置->密碼管理中的配置。
· 管理員頁麵和本地用戶頁麵中的密碼管理功能相互關聯,相同配置項的參數共用,一個頁麵中修改參數後,另一頁麵自動同步修改。
· 開啟密碼管理之後,設置的登錄用戶密碼必須至少由四個不同的字符組成。
· 若要使得具體的密碼管理功能生效,需在本地用戶頁麵菜單欄的<密碼管理>中開啟密碼管理功能。
配置本地用戶包括兩種方法:新建本地用戶和批量導入本地用戶。
新建本地用戶的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”。
2. 選擇“用戶”頁簽,在“用戶”頁麵單擊<新建>按鈕,進入“新建用戶”頁麵。
3. 在“新建用戶”頁麵的具體配置內容如下表所示:
表-1 配置用戶參數表
|
參數 |
說明 |
|
用戶名 |
網絡接入類用戶,用於通過設備接入網絡,訪問網絡資源的用戶。當需要進行本地認證時,需要在設備上配置本地用戶 |
|
設置隨機密碼 |
為用戶分配隨機密碼 |
|
收件人郵箱地址 |
在創建隨機密碼後,設備需要向用戶發送郵件告知隨機密碼 配置收件人郵箱地址前,需要先對郵件服務器進行相關配置 |
|
密碼和確認密碼 |
用戶進行接入認證所使用的密碼 |
|
有效期 |
為用戶設置有效期,用戶僅在有效期內才能認證成功 · 若同時指定了有效期的開始時間和結束時間,則有效期的結束時間必須晚於起始時間 · 如果僅指定了有效期的開始時間,則表示該時間到達後,用戶一直有效 · 如果僅指定了有效期的結束時間,則表示該時間到達前,用戶一直有效 |
|
授權用戶組 |
每一個本地用戶都屬於一個本地用戶組,並繼承組中的所有屬性(密碼管理屬性和用戶授權屬性) |
|
身份識別用戶組 |
本地用戶加入身份識別用戶組後,將成為該組的成員,接受基於組的用戶身份識別業務處理 |
|
可用服務 |
可用服務是用戶可使用的網絡服務類型。該屬性是本地認證的檢測項,如果沒有用戶可以使用的服務類型,則該用戶無法通過認證 |
|
同時在線最大用戶數 |
使用當前用戶名接入設備的最大用戶數目。若當前該用戶名的接入用戶數已達最大值,則使用該用戶名的新用戶將被禁止接入 |
|
描述 |
配置有關此用戶的描述信息 |
4. (可選)配置授權屬性,具體包括如下表所示:
表-2 配置授權屬性參數表
|
參數 |
說明 |
|
授權ACL |
本地用戶認證成功後,將被授權僅可以訪問符合指定ACL規則的網絡資源 |
|
用戶閑置切斷時間 |
如果用戶在線後連續閑置的時長超過該值,設備會強製該用戶下線 |
|
授權VLAN |
本地用戶認證成功後,將被授權僅可以訪問指定VLAN內的網絡資源 |
|
SSL VPN策略組 |
本地用戶認證成功後,將被授權僅可以訪問指定SSL VPN策略組內的網絡資源。此屬性僅對SSL VPN用戶有效 |
5. (可選)配置綁定屬性,具體包括如下表所示:
表-3 配置綁定屬性參數表
|
參數 |
說明 |
|
用戶接入的接口 |
如果用戶接入的接口與此處綁定的接口不一致,則認證失敗 |
|
用戶的IPv4地址 |
如果用戶的IPv4地址與此處綁定的IPv4地址不一致,則認證失敗 |
|
用戶的MAC地址 |
如果用戶的MAC地址與此處綁定的MAC地址不一致,則認證失敗 |
|
用戶所屬的VLAN |
如果用戶接入的VLAN與此處綁定的VLAN不一致,則認證失敗 |
6. (可選)配置用戶密碼設置控製參數,具體包括如下表所示:
表-4 配置用戶密碼設置控製參數表
|
參數 |
說明 |
|
密碼最小長度 |
如果輸入的密碼長度小於設置的密碼最小長度,係統將不允許設置該密碼 |
|
密碼組成元素的最少類型 |
如果輸入的密碼組成元素類型少於設置的密碼最少類型,係統將不允許設置該密碼 |
|
每種類型至少包含個數 |
如果輸入的密碼每種類型包含的元素數量少於設置的最少個數,係統將不允許設置該密碼 |
|
不允許密碼中包含用戶名或顛倒的用戶名 |
開啟本功能後,輸入的密碼不允許包含用戶名或顛倒的用戶名 |
|
不允許密碼中包含連續三個或以上相同字符 |
開啟本功能後,輸入的密碼中不允許包含連續三個或以上相同字符 |
7. 單擊<確定>按鈕,新建用戶成功,且會在“用戶”頁麵中顯示。
批量導入本地用戶的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”。
2. 選擇“用戶”頁簽,在“用戶”頁麵單擊<導入>按鈕,進入“導入用戶”頁麵。
3. 在“導入用戶”頁麵的具體配置內容如下表所示:
表-5 配置導入用戶參數表
|
參數 |
說明 |
|
導入文件 |
通過導入文件可批量創建本地用戶。按照CSV模板格式導入用戶時,不能隨意修改模板的注釋頭,否則會造成導入數據丟失 |
|
自動創建用戶組 |
表示當設備上不存在用戶所屬的用戶組時,係統會自動創建用戶組,並將用戶加入該用戶組。若不配置該參數,則表示當設備上不存在用戶所屬的用戶組時,係統不會創建對應的用戶組,而是將用戶其加入缺省用戶組system |
|
覆蓋同名用戶 |
表示當導入的用戶名已經存在於設備上時,係統使用導入的用戶信息覆蓋掉已有的同名用戶配置。若不配置該參數,則表示不導入文件中的同名用戶信息,即保留設備上已有的同名用戶配置 |
|
導入用戶信息的起始行 |
表示從文件的指定行開始導入用戶信息。若不配置該參數,則表示導入文件中的所有用戶信息 |
4. 單擊<確定>按鈕,批量導入用戶成功,且會在“用戶”頁麵中顯示處導入的用戶。
密碼管理功能具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 本地用戶”。
2. 選擇“用戶”頁簽,在“用戶”頁麵單擊<密碼管理>按鈕,進入“用戶密碼管理”頁麵。
3. 在“用戶密碼管理”頁麵的具體配置內容如下表所示:
表-6 配置用戶密碼管理功能參數表
|
參數 |
說明 |
|
開啟密碼管理 |
開啟本功能後,設備將對用戶設置的密碼進行限製 |
|
開啟密碼長度檢查 |
開啟本功能後,設備將對用戶設置的密碼長度進行檢查 |
|
用戶密碼的最小長度 |
如果輸入的密碼長度小於設置的密碼最小長度,係統將不允許設置該密碼 |
|
開啟密碼組合檢查 |
開啟本功能後,設備將對用戶設置的密碼元素類型數量以及每種類型中包含的元素數量進行限製 |
|
密碼組成元素的類型至少包含 |
如果輸入的密碼組成元素類型少於設置的密碼最少類型,係統將不允許設置該密碼 |
|
每種類型包含的元素個數至少為 |
如果輸入的密碼每種類型包含的元素數量少於設置的最少個數,係統將不允許設置該密碼 |
|
密碼中不能包含連續三個或以上的相同字符 |
開啟本功能後,輸入的密碼中不允許包含連續三個或以上相同字符 |
|
密碼中不能包含用戶名或者字符順序顛倒的用戶名 |
開啟本功能後,輸入的密碼不允許包含用戶名或顛倒的用戶名 |
|
開啟密碼曆史記錄 |
開啟本功能後,設備將保存用戶設置過的密碼 |
|
密碼曆史記錄最大條數 |
當密碼曆史記錄的條數超過設置的最大曆史記錄條數時,新的密碼曆史記錄將覆蓋該用戶最老的一條密碼曆史記錄 |
|
密碼更新最小間隔時間 |
當用戶修改密碼的間隔時間小於設置的最小間隔時間時,設備不允許用戶修改密碼 |
4. 單擊<確定>按鈕,密碼管理功能將對所有本地用戶生效。
在線用戶的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 在線用戶”。
2. 在“在線用戶”頁麵的具體配置內容如下表所示:
表-7 配置導入用戶參數表
|
參數 |
說明 |
|
單擊<開啟身份識別功能> |
開啟設備的身份識別功能 |
|
選擇在線用戶匹配模式 |
其包括如下三種模式: · 保持原有:表示僅使用用戶輸入的用戶名進行身份識別用戶匹配 · 帶域匹配:表示使用用戶的認證域進行身份識別用戶匹配 · 不帶域匹配:表示不對用戶賬戶的域名進行匹配,即使用用戶輸入的純用戶名與設備上未加入任何身份識別域的身份識別用戶進行匹配 |
用戶導入策略的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 用戶導入策略”。
2. 在“用戶導入策略”頁麵單擊<新建>按鈕,進入“新建用戶導入策略”頁麵。
3. 在“新建用戶導入策略”頁麵的具體配置內容如下表所示:
表-8 配置用戶導入策略參數表
|
參數 |
說明 |
|
名稱 |
用於唯一標識一個用戶導入策略 |
|
RESTful服務器 |
指定RESTful服務器,用於從此RESTful服務器上導入身份識別用戶信息和在線用戶信息 |
|
LDAP方案 |
指定LDAP方案,用於從此LDAP方案中的LDAP服務器上導入身份識別用戶信息 |
|
導入類型 |
此配置項的內容僅對LDAP方案有效 |
|
開啟自動導入功能 |
開啟此功能後,設備首先會從導入策略中指定的服務器上導入服務器上的所有用戶賬戶信息和所有在線用戶信息,然後定期從該服務器上自動導入身份識別用戶賬戶 |
|
導入周期 |
自動導入身份識別用戶賬戶的周期 |
4. 單擊<確定>按鈕,新建用戶導入策略成功,且會在“用戶導入”頁麵中顯示。
配置完用戶導入策略後,若需要手動導入身份識別用戶和在線用戶,則管理員可在“用戶導入策略”頁麵,選擇如下功能:
· 手動導入身份識別用戶:設備向第三方服務器發起用戶信息請求,將服務器上的用戶賬戶信息直接導入本地,並生成對應的身份識別用戶。在導入過程中,若某個賬戶導入失敗,則跳過該賬戶,繼續導入。
· 手動導入在線用戶:單擊此按鈕後,設備向指定的第三方服務器發起在線用戶請求,實現導入服務器上當前所有在線用戶信息的目的。目前,僅支持從iMC的RESTful服務器上導入在線身份識別用戶。
設備為用戶創建隨機密碼後,需要向用戶發送郵件告知隨機密碼。配置郵箱地址前,需要先對郵件服務器進行相關配置。
郵件服務器的具體配置步驟如下:
1. 選擇“對象 > 用戶 > 用戶管理 > 郵件服務器”。
2. 在“郵件服務器”頁麵的具體配置內容如下表所示:
表-9 配置郵件服務器參數表
|
參數 |
說明 |
|
郵件標題 |
用於配置通知郵件的標題 |
|
郵件內容 |
用於配置通知郵件的內容 |
|
發件人地址 |
用來配置通知郵件的發件人地址 |
|
服務器地址 |
用於配置郵件服務器的URL,必須以smtp://開頭 |
|
用戶名 |
用於配置登錄郵件服務器的用戶名 |
|
密碼 |
用於配置登錄郵件服務器的密碼 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
