- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-用戶身份識別與管理配置
本章節下載: 09-用戶身份識別與管理配置 (382.20 KB)
目 錄
通過用戶身份識別與管理功能,設備可以將網絡流量的IP地址或MAC地址識別為用戶,並與安全特性(用戶黑名單、對象組等)相配合基於用戶進行網絡訪問控製。此功能便於網絡管理員基於用戶進行安全管理功能策略的製定,以及基於用戶進行網絡攻擊行為以及流量的統計和分析,解決了用戶IP地址或MAC地址變化帶來的策略控製問題。
基於用戶身份的訪問控製流程主要包括如下步驟:
(1) 用戶身份認證:網絡接入用戶完成身份驗證,並成為在線用戶。
(2) 用戶身份識別:設備記錄在線用戶的用戶名和IP地址、MAC地址等信息,並與本地的身份識別用戶賬戶和身份識別用戶組進行關聯,實現IP地址或MAC地址和用戶的映射。管理員也可以直接配置用戶和IP地址或MAC地址的映射關係,便於無需認證的網絡接入用戶使用。
(3) 安全管理功能策略執行:在線用戶訪問網絡服務時,設備識別出用戶流量的源IP地址或源MAC地址,並根據已建立IP地址或MAC地址和用戶的映射關係解析出對應的用戶名以及所屬的用戶組,然後按照安全管理特性(用戶黑名單、對象組等)對用戶/用戶組的策略配置,對該用戶的網絡訪問權限進行控製。
圖1-1 基於用戶身份的訪問控製流程示意圖
設備上的所有身份識別用戶按樹形結構組織,按照身份識別用戶、身份識別用戶組以及身份識別域的遞進關係進行管理:
· 每個身份識別用戶可以隸屬於一個或多個身份識別用戶組;
· 每個身份識別用戶組可以隸屬於一個或多個更高結構層次的身份識別用戶組;
· 每個身份識別用戶以及身份識別用戶組可以隸屬於一個域或不屬於任何域,該域稱為身份識別域。身份識別域是整個用戶身份識別管理架構中最高級別的管理單元。設備通過域名和用戶名的組合,以及域名和用戶組名的組合唯一標識一個被管理對象。
這種樹形組織結構易於管理員查詢、定位,是企業內常用的用戶組織方式。網絡管理員可以根據企業的組織結構在設備上管理身份識別用戶組和身份識別用戶,分別對應不同管理級別的部門和員工,如圖1-2所示:
身份識別用戶賬戶用於存儲和管理不同來源的網絡接入用戶身份信息,包括用戶名、用戶組名以及所屬身份識別域名。設備上,不同來源的身份識別用戶賬戶被身份識別模塊統一管理。
目前,支持以下幾種方式生成身份識別用戶賬戶:
· 從本地用戶數據庫學習:用戶身份識別模塊學習設備上的網絡接入類本地用戶信息,將其保存為身份識別用戶賬戶。關於網絡接入類本地用戶的詳細介紹請參見“安全配置指導”中的“AAA”。
· 從CSV文件中導入:管理員將記錄了用戶信息的CSV文件導入到設備中,實現批量創建身份識別用戶賬戶。
· 從遠程服務器導入:通過向遠程服務器發起用戶信息請求,將服務器上的網絡接入用戶賬戶信息直接導入本地,並生成對應的身份識別用戶賬戶。如果實際網絡環境中的用戶信息存放在遠程服務器上,則可采用此方式統一管理。支持的服務器包括LDAP服務器和H3C iMC的RESTful服務器。
通過用戶身份識別模塊管理的網絡接入類(包括Portal、PPP、IPoE、SSL VPN、802.1X、MAC地址認證)在線用戶,被稱為在線身份識別用戶。設備記錄的在線身份識別用戶信息可包括用戶名、身份識別域名、IP地址、MAC地址等。在線身份識別用戶有動態和靜態兩種類型。
動態在線身份識別用戶包括以下兩種類型:
· 在本設備接入的在線網絡接入用戶。用戶通過本地或遠程服務器認證上線後,用戶身份識別模塊會在本地身份識別用戶賬戶中查詢該用戶名和域名對應的表項,如果查詢成功,則會生成一條在線身份識別用戶表項。
· 從遠程服務器上獲取的在線網絡接入用戶。設備獲得遠程服務器的在線用戶信息後,用戶身份識別模塊會在本地身份識別用戶賬戶中查詢用戶名和域名對應的表項,如果查詢成功,則會生成對應的在線身份識別用戶表項。可采用此方式將遠程服務器上的在線用戶信息(包括其它接入設備上的在線用戶信息)導入到本機進行統一管理和監控。
支持互通遠程服務器為H3C iMC的RESTful服務器和Security Manage服務器,具體交互情況如下:
¡ 設備主動從H3C iMC的RESTful服務器上導入在線網絡接入用戶信息。
¡ 設備接收由Security Manage服務器推送的在線網絡接入用戶信息,但不支持主動獲取。
對於Portal用戶,在線身份識別用戶表項的生成機製稍有不同。用戶身份識別模塊首先會檢查Portal用戶是否攜帶了用戶組信息。如果攜帶了用戶組信息,則會查詢本地是否存在對應的身份識別用戶組:
· 如果該身份識別用戶組存在,且本地已有同名的在線身份識別用戶表項,則將該用戶加入到該身份識別用戶組中;若本地沒有同名在線身份識別用戶表項,則為其生成一條在線身份用戶表項,並將該用戶加入到該身份識別用戶組中。
· 如果該身份識別用戶組不存在或用戶未攜帶用戶組信息,還需要在本地身份識別用戶賬戶中查詢該用戶名和域名對應的表項,如果查詢成功,則生成一條在線身份識別用戶表項。
網絡管理員可以手工配置靜態類型的身份識別用戶,每個用戶表項中記錄了用戶名和IP地址或MAC地址的綁定關係。一個靜態類型的身份識別用戶創建後,用戶身份識別模塊會在本地身份識別用戶賬戶中查詢該用戶名和域名對應的表項,如果查詢成功,則會生成一條靜態類型的在線身份識別用戶表項。一些組網需求下,例如有少量指定人員臨時接入網絡時,網絡管理員希望這些用戶無需進行認證也能夠在安全特性的管理下訪問網絡,則可以通過配置靜態類型的身份識別用戶滿足該需求。
在線身份識別用戶可被應用模塊引用進行相關安全業務的處理。在線身份識別用戶被應用模塊引用之後,基於該用戶的安全業務將會生效。在線身份識別用戶表項被刪除後,用戶身份識別模塊將通知應用模塊停止該用戶相關的業務處理。
在用戶身份識別業務中,可以將用戶加入到組中進行批量配置和層級式管理,這樣的組稱為身份識別用戶組。設備上,不同來源的身份識別用戶組被用戶身份識別模塊統一管理。
目前,支持以下幾種方式生成身份識別用戶組:
· 從本地用戶數據庫學習:當設備上創建本地用戶組時,會通知用戶身份識別模塊生成相應的身份識別用戶組。關於本地用戶組的詳細介紹請參見“安全配置指導”中的“AAA”。
· 從CSV文件中導入:設備在從CSV文件中導入身份識別用戶賬戶的同時,可以根據管理員的配置自動生成相應的身份識別用戶組。
· 從遠程服務器導入:
¡ 設備在從H3C iMC的RESTful服務器或LDAP服務器上導入身份識別用戶賬戶的同時,會根據賬戶中的組信息自動生成相應的身份識別用戶組。
¡ 設備直接從LDAP服務器上獲取用戶組信息,並生成相應的身份識別用戶組。
身份識別用戶組可被應用模塊引用進行相關安全業務的處理。身份識別用戶組被應用模塊引用之後,該用戶組將處於激活狀態,所有基於該組的業務將會生效。當應用模塊取消對該身份識別用戶組的引用,該身份識別用戶組將處於非激活狀態。
身份識別角色是特定用戶或用戶組的身份特征。通過為身份識別用戶綁定角色,並為角色賦予權限,建立“用戶<->角色<->權限”的關聯關係,可協助應用模塊實現基於角色的在線用戶授權,典型應用場景為SSL VPN接入業務。身份識別角色的引入,采用了權限與用戶分離的思想,提高了用戶權限分配的靈活性。
在SSL VPN接入業務中,設備作為SSL VPN網關,基於策略組控製用戶訪問的網絡資源。SSL VPN用戶登錄SSL VPN網關時,SSL VPN網關根據用戶所屬的SSL VPN訪問實例對用戶進行認證和授權,授權結果為策略組名稱。用戶被授權訪問的策略組下定義了Web資源、TCP接入服務資源、IP接入服務資源等。
SSL VPN網關為用戶授權策略組有如下三種方式:
· 基於角色授權策略組:用戶認證通過後,SSL VPN網關通過用戶身份識別模塊查詢到用戶所屬身份識別角色(可多個),然後在用戶所屬的SSL VPN訪問實例下將這些身份識別角色關聯的策略組授權給用戶。
· AAA授權策略組:用戶認證通過後,由認證服務器直接為用戶授權策略組。
· 係統缺省的策略組:如果AAA沒有為用戶授權策略組,則SSL VPN網關為用戶下發缺省SSL VPN策略組。
以上三種授權策略組的方式中,基於角色授權策略組優先級最高,其次是AAA授權策略組,最後是係統缺省的策略組。
目前,本特性與遠程服務器的互通情況如下:
· 支持從H3C iMC RESTful服務器導入身份識別用戶賬戶、身份識別用戶組和在線身份識別用戶;
· 支持從LDAP服務器導入身份識別用戶賬戶和身份識別用戶組;
· 支持從Security Manage服務器上獲取到在線身份識別用戶。
本特性支持的H3C iMC的RESTful服務器必須為支持SSM E0503P04組件的iMC PLAT 7.3 (E0605P04)版本或者支持EIA E0512組件的iMC PLAT 7.3(E0605)。
本特性不支持對基於MAC地址的快速認證Portal用戶的身份識別與管理。關於基於MAC地址的快速認證的詳細介紹,請參見“安全配置指導”中的“Portal”。
用戶身份識別與管理配置任務如下:
(1) 開啟用戶身份識別功能
僅當設備需要從RESTful服務器和LDAP服務器導入用戶信息時,才需要進行此配置。
a. 配置遠程服務器參數
b. 配置身份識別用戶導入策略
僅當設備需要與Security Manage服務器互通來獲取在線用戶信息時,才需要進行此配置。
(4) (可選)管理身份識別用戶賬戶
(5) (可選)管理在線身份識別用戶
(6) (可選)配置身份識別角色
(7) (可選)刪除身份識別用戶組
開啟用戶身份識別功能後,用戶身份識別模塊才會與接入模塊(包括PPP、Portal、IPoE、SSL VPN、802.1X、MAC地址認證)以及應用模塊一起聯動實現基於用戶身份的訪問控製。
(1) 進入係統視圖。
system-view
(2) 開啟用戶身份識別功能。
user-identity enable
缺省情況下,用戶身份識別功能處於關閉狀態。
RESTful服務器視圖用於定義設備與RESTful服務器交互的相關參數,包括登錄賬戶和服務器URI等。設備與RESTful服務器成功建立連接之後,可以從該服務器上手工或定期導入身份識別用戶賬戶、身份識別用戶組和在線身份識別用戶。
係統中僅能存在一個RESTful服務器。
(1) 進入係統視圖。
system-view
(2) 創建RESTful服務器,並進入RESTful服務器視圖。
user-identity restful-server server-name
(3) 配置登錄到RESTful服務器所需的用戶名和密碼。
login-name user-name password { cipher | simple } string
缺省情況下,未配置登錄到RESTful服務器所需的用戶名和密碼。
指定的用戶名和密碼必須是RESTful服務器上已存在的,否則無法與RESTful服務器建立連接。
(4) 指定RESTful服務器的URI。
uri { get-online-user | get-user-database | get-user-group-database | put-offline-user | put-online-user } uri-string
缺省情況下,未指定RESTful服務器的URI。
指定的URI必須與RESTful服務器上提供各類用戶資源服務的URI保持一致,否則將會導致用戶信息交互失敗。
可以通過多次執行本命令指定多個不同類型的URI。
(5) 配置RESTful服務器所屬的VPN。
vpn-instance vpn-instance-name
缺省情況下,未配置RESTful服務器的VPN,表示RESTful服務器位於公網。
(6) (可選)配置對RESTful服務器的探測功能。
a. 開啟對RESTful服務器的探測功能。
connection-detect enable
缺省情況下,對RESTful服務器的探測功能處於關閉狀態。
b. 配置對RESTful服務器的探測參數。
connection-detect { interval interval | maximum max-times }
缺省情況下,對RESTful服務器的探測周期為5分鍾,每周期內的最大探測次數為3。
LDAP方案用於指定與設備通信的LDAP服務器以及相關參數。設備與LDAP服務器成功建立連接之後,管理員可以從該服務器上導入身份識別用戶賬戶和身份識別用戶組。
關於LDAP方案及其相關配置的詳細介紹請參見“安全配置指導”中的“AAA”。
目前,係統不支持從LDAP服務器上導入在線身份識別用戶。
缺省情況下,係統從LDAP服務器上導入身份識別用戶賬戶或身份識別用戶組時,並不會攜帶其父組信息。如果希望導入的身份識別用戶和身份識別用戶組信息中攜帶其父組信息,則需要配置用戶組類型的LDAP屬性映射表,並在LDAP方案中引用該映射表。
(1) 進入係統視圖。
system-view
(2) 配置LDAP服務器。
LDAP服務器的配置包括服務器IP地址、與LDAP服務器建立連接所使用的管理員DN和密碼、DN查詢策略以及用戶組的過濾條件等。具體配置請參見“安全配置指導”中的“AAA”。
(3) 創建LDAP的屬性映射表,並進入屬性映射表視圖。
ldap attribute-map map-name
(4) 配置用戶組類型的LDAP屬性映射表。
map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute user-group
(5) 退回係統視圖。
quit
(6) 創建LDAP方案,並進入LDAP方案視圖。
ldap scheme ldap-scheme-name
(7) 指定LDAP認證服務器。
authentication-server server-name
缺省情況下,未指定LDAP認證服務器。
(8) 引用LDAP屬性映射表。
attribute-map map-name
缺省情況下,未引用LDAP屬性映射表。
引用了LDAP屬性映射表的情況下,導入的身份識別用戶和身份識別用戶組信息中會攜帶其父組信息,但設備不會根據它自動生成相應的身份識別用戶組。
若要從服務器導入身份識別用戶賬戶、在線身份識別用戶或身份識別用戶組,則需要配置服務器身份識別用戶導入策略,該策略主要用於設置連接RESTful服務器和LDAP服務器的相關參數。
係統中僅能存在一個身份識別用戶導入策略。配置新策略之前,必須首先刪除當前策略。
(1) 進入係統視圖。
system-view
(2) 創建身份識別用戶導入策略,並進入身份識別用戶導入策略視圖。
user-identity user-import-policy policy-name
(3) 指定RESTful服務器。
restful-server server-name
缺省情況下,未指定RESTful服務器。
最多隻能指定一個RESTful服務器。如需指定其它的RESTful服務器,必須首先刪除已指定的RESTful服務器。
(4) 指定LDAP方案。
ldap-scheme ldap-scheme-name
缺省情況下,未指定LDAP方案。
最多可指定16個LDAP方案。
(5) (可選)配置自動導入身份識別用戶賬戶的周期。
account-update-interval interval
缺省情況下,自動導入身份識別用戶賬戶的周期為24小時。
(6) 配置從LDAP服務器上導入的用戶信息類型。
import-type { all | group | user }
缺省情況下,未配置從LDAP服務器上導入的用戶信息類型,允許導入用戶和用戶組信息。
Security Manage服務器集視圖中定義了Security Manage服務器的相關參數,包括服務器的IP地址、設備和服務器通信報文的加密算法、監聽服務器報文的端口號。
設備與Security Manage服務器成功建立連接之後,可以接收該服務器推送給設備的用戶上線報文和用戶下線報文。設備通過解析用戶上線報文來獲取在線用戶信息,並在完成身份識別用戶賬戶匹配後添加在線身份識別用戶表項;設備通過解析下線報文來刪除對應的在線身份識別用戶表項。
係統中僅能存在一個Security Manage服務器集。
確保設置的廠商與設備實際對接的服務器廠商完全一致,否則會出現報文解析失敗或者錯誤的情況。
(1) 進入係統視圖。
system-view
(2) 創建Security Manage服務器集,並進入Security Manage服務器集視圖。
user-identity security-manage-server server-set-name
(3) 配置Security Manage服務器的IP地址。
ip ip-address&<1-10>
缺省情況下,未配置Security Manage服務器的IP地址。
(4) 配置與Security Manage服務器交互使用的加密算法與共享密鑰。
encryption algorithm { 3des | aes128 } key { simple | cipher } string
缺省情況下,未配置與Security Manage服務器交互時使用的加密算法與共享密鑰。
(5) 配置設備監聽Security Manage服務器的端口號。
listen-port port-num
缺省情況下,設備監聽Security Manage服務器的端口號為8001。
(6) (可選)指定Security Manage服務器的廠商。
vendor { drcom | h3c | hw | srun }
缺省情況下,未指定Security Manage服務器的廠商。
開啟指定策略的身份識別用戶賬戶自動導入功能後,設備首先會從該策略指定的服務器上導入所有身份識別用戶賬戶和所有在線身份識別用戶信息,然後定期從該服務器上自動導入身份識別用戶賬戶(導入周期由身份識別用戶導入策略中的account-update-interval命令配置)。
如果開啟此功能時,用戶身份識別功能處於關閉狀態,則僅能從服務器上導入身份識別用戶賬戶。
如果開啟了指定策略的身份識別用戶賬戶自動導入功能,且同時開啟了對該策略中指定的RESTful服務器的探測功能,則當該RESTful服務器狀態由不可達變為可達時,設備會主動同步一次該服務器上的在線身份識別用戶信息。
(1) 進入係統視圖。
system-view
(2) 開啟身份識別用戶賬戶自動導入功能。
user-identity user-account auto-import policy policy-name
缺省情況下,身份識別用戶自動賬戶導入功能處於關閉狀態。
可以通過執行本命令向遠程服務器發起用戶信息請求,將服務器上的網絡接入用戶賬戶信息直接導入本地,並生成對應的身份識別用戶賬戶。在導入過程中,若某個賬戶導入失敗,則跳過該賬戶,繼續導入。
本命令中指定的身份識別用戶導入策略必須已經存在,且該策略中必須指定了有效的RESTful服務器的URI或LDAP服務器IP地址。
(1) 進入係統視圖。
system-view
(2) 導入服務器上的身份識別用戶賬戶。
user-identity user-account import policy policy-name
可以通過執行本命令從CSV文件中導入身份識別用戶賬戶。在導入過程中,若某個賬戶導入失敗,則立即停止導入。
查看由user-identity user-account export url命令導出的標準模板,確保使用的CSV文件格式合法。
(1) 進入係統視圖。
system-view
(2) 從CSV文件中導入身份識別用戶賬戶。
user-identity user-account import url url-string [ vpn-instance vpn-instance-name ] [ auto-create-group | override | start-line line-number ] *
可以通過執行本命令將設備上的身份識別用戶賬戶導出到一個CSV文件中保存。導出的CSV文件可直接或在編輯之後用於導入到本設備或其它接入設備上使用。
若執行本命令時指定了template參數,則導出一個標準的CSV文件模板,此模板可用於指導管理員編輯符合設備要求的CSV文件。
(1) 進入係統視圖。
system-view
(2) 將身份識別用戶賬戶導出到CSV文件。
user-identity user-account export url url-string [ { domain domain-name | null-domain } [ user user-name ] | template ] [ vpn-instance vpn-instance-name ]
可以通過以下方式刪除身份識別用戶賬戶:
· 手工刪除:管理員通過命令行刪除從服務器或者從CSV文件導入的身份識別用戶賬戶。
· 動態刪除:本地用戶數據庫中刪除某網絡接入類本地用戶之後,用戶身份識別模塊會同步刪除對應的身份識別用戶賬戶。
請在用戶視圖下執行本命令,刪除身份識別用戶賬戶。
reset user-identity user-account { all | { domain domain-name | null-domain } [ name user-name ] }
一個用戶名可以綁定多個IP地址、多個MAC地址或者多個IP地址和MAC地址的組合,但同一個IP地址、多個MAC地址或者IP地址和MAC地址的組合不能被多個用戶名綁定。
(1) 進入係統視圖。
system-view
(2) 配置靜態類型的身份識別用戶。
user-identity static-user user-name [ domain domain-name ] bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ]
設備創建一條在線身份識別用戶表項之前,首先檢查該用戶是否能夠匹配上本地的身份識別用戶賬戶,如果能夠匹配上,才會生成對應的在線身份識別用戶表項。本功能來用來配置設備采用哪種用戶名格式去匹配身份識別用戶賬戶。
本功能僅對本設備接入的動態在線身份識別用戶生效。
(1) 進入係統視圖。
system-view
(2) 配置在線用戶身份識別的用戶名匹配模式。
user-identity online-user-name-match { keep-original | with-domain | without-domain }
缺省情況下,在線用戶身份識別的用戶名匹配模式為keep-original。
可以通過執行本命令向指定的遠程服務器實時發起在線用戶請求,實現導入服務器上當前所有在線用戶信息的目的。
目前,僅支持從H3C iMC的RESTful服務器上導入在線身份識別用戶。
若未開啟用戶身份識別功能,則本命令執行失敗。
本命令中指定的身份識別用戶導入策略必須已經存在,且該策略中必須指定了有效的RESTful服務器的URI。
(1) 進入係統視圖。
system-view
(2) 導入服務器上的在線身份識別用戶。
user-identity online-user import policy policy-name
可以通過以下方式刪除在線身份識別用戶:
· 手工刪除:管理員通過命令行刪除從服務器導入的動態在線身份識別用戶,以及通過匹配靜態身份識別用戶表項生成的靜態在線身份識別用戶。
· 動態刪除:
¡ 本設備接入的用戶下線後,接入模塊通知用戶身份識別模塊刪除對應的在線身份識別用戶。
¡ 設備重啟後,所有動態類型的在線身份識別用戶均被刪除。
¡ 用戶身份識別功能關閉,所有在線身份識別用戶均被刪除。
¡ 遠程服務器上用戶下線時,服務器會主動通知設備刪除相應的在線身份識別用戶。
在用戶視圖下執行本命令,刪除動態在線身份識別用戶。
reset user-identity dynamic-online-user { all | { domain domain-name | null-domain } [ name user-name ] | { ip ipv4-address | ipv6 ipv6-address }[ mac mac-address ] }
(1) 進入係統視圖。
system-view
(2) 刪除靜態在線身份識別用戶。
undo user-identity static-user user-name [ domain domain-name ] [ bind { ipv4 ipv4-address | ipv6 ipv6-address } [ mac mac-address ] ]
一個身份識別角色視圖下,可以引用多個身份識別用戶和身份識別用戶組,它們可以是從本地用戶數據庫學習的、從CSV文件導入的或者從遠程服務器導入的任何一種身份識別用戶以及身份識別用戶組。
為了簡化配置,可以直接將一個身份識別用戶組與身份識別角色進行關聯。該組內的用戶將自動屬於組所關聯的身份識別角色。
對於未屬於任何身份識別角色的身份識別用戶,係統默認為其關聯一個名稱為default的缺省身份識別角色。該default角色由係統預定義,不能被配置、修改和刪除。一旦一個用戶被成功關聯一個非默認的身份識別角色,則會自動脫離所屬的default角色。
係統中,最多可以支持配置63個身份識別角色。
修改身份識別角色配置或者刪除身份識別角色後,用戶身份識別模塊會主動通知業務模塊,更改在線用戶的授權信息。
一個身份識別角色下,最多可以同時引用的身份識別用戶和身份識別用戶組數目之和為256。
(1) 進入係統視圖。
system-view
(2) 創建一個身份識別角色,並進入身份識別角色視圖。
user-identity role name role-name
缺省情況下,存在一個缺省身份識別角色,名稱為default。
(3) 引用身份識別用戶。
user name user-name [ domain domain-name ]
缺省情況下,身份識別角色未引用身份識別用戶。
(4) 引用身份識別用戶組。
user-group name group-name [ domain domain-name ]
缺省情況下,身份識別角色未引用身份識別用戶組。
可以通過以下方式刪除身份識別用戶組:
· 手工刪除:管理員通過命令行刪除從服務器或者從CSV文件導入的身份識別用戶組。
· 動態刪除:本地用戶數據庫中刪除本地用戶組之後,用戶身份識別模塊會同步刪除對應的身份識別用戶組。
在用戶視圖下執行本命令,刪除身份識別用戶組。
reset user-identity user-group { all | { domain domain-name | null-domain } [ name group-name ] }
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後用戶身份識別與管理的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 用戶身份識別與管理顯示和維護
|
操作 |
命令 |
|
顯示指定的身份識別用戶或身份識別用戶組 |
display user-identity { domain domain-name | null-domain } { user [ user-name [ group | role ] ] | user-group [ group-name [ member { group | user } | role ] ] } |
|
顯示激活的身份識別用戶組 |
display user-identity active-user-group { all | domain domain-name | null-domain } |
|
顯示所有身份識別用戶或身份識別用戶組 |
display user-identity all { user | user-group } |
|
顯示在線身份識別用戶 |
display user-identity online-user { all | { domain domain-name | null-domain } name user-name } |
|
顯示RESTful服務器配置 |
display user-identity restful-server [ server-name ] |
|
顯示Security Manage服務器集的配置信息 |
display user-identity security-manage-server [ server-set-name ] |
|
顯示身份識別用戶導入策略 |
display user-identity user-import-policy [ policy-name ] |
|
顯示身份識別角色 |
display user-identity role [ name role-name ] |
管理員要求用戶不需要經過身份認證即可通過設備訪問網絡,但其網絡訪問權限需要接受安全策略的控製。具體要求為:IP地址為1.2.3.4、MAC地址為0001-0001-0001、用戶名為usera的用戶隻有在工作日才可以訪問外部網絡。
圖1-3 靜態類型用戶的身份識別與管理配置組網圖
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 1.2.3.5 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置安全域
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 請根據組網圖中規劃的信息,配置靜態路由。本舉例假設用戶Host到達外網服務器3.1.1.2/24的下一跳為2.2.2.2,實際使用中請以具體組網情況為準,具體配置步驟如下。
[Device] ip route-static 3.1.1.2 24 2.2.2.2
(4) 配置用戶身份識別
# 創建網絡接入類本地用戶usera,配置一個靜態類型的身份識別用戶usera,並開啟用戶身份識別功能。
[Device] local-user usera class network
[Device-luser-network-usera] quit
[Device] user-identity static-user usera bind ipv4 1.2.3.4 mac 0001-0001-0001
[Device] user-identity enable
(5) 配置時間段及安全策略
# 創建名為work的時間段,製訂隻允許用戶在工作時間訪問外部網絡的安全策略。
[Device] time-range work 08:00 to 18:00 working-day
[Device] security-policy ip
[Device-security-policy-ip] rule name ippolicy1
[Device-security-policy-ip-1-ippolicy1] source-zone trust
[Device-security-policy-ip-1-ippolicy1] destination-zone untrust
[Device-security-policy-ip-1-ippolicy1] action pass
[Device-security-policy-ip-1-ippolicy1] user usera
[Device-security-policy-ip-1-ippolicy1] time-range work
[Device-security-policy-ip-1-ippolicy1] quit
[Device-security-policy-ip] quit
# 以上配置完成後,可通過如下顯示命令查看靜態類型的在線身份識別用戶信息。該用戶隻有在工作日才可以訪問外部網絡。
[Device] display user-identity online-user null-domain name usera
User name: usera
IP : 1.2.3.4
MAC : 0001-0001-0001
Type: Static
Total 1 records matched.
Device為SSL VPN網關設備,連接公網用戶和企業私有網絡。其中,企業私有網絡內部提供了Web服務器資源供遠程用戶訪問(通過HTTP協議和80端口號)。配置Device對用戶進行本地認證和本地授權,具體要求如下:
· Device從本地用戶數據庫學習身份識別賬戶。
· Device基於角色為SSL VPN用戶授權策略組,使得用戶可以通過Device安全地訪問位於私有網絡內部的Web server。
圖1-4 SSL VPN用戶的身份識別與管理配置組網圖
Device已獲取到CA證書ca.cer和服務器證書server.pfx,若SSL VPN網關不引用SSL服務端策略,則使用設備缺省證書。
根據組網圖中規劃的信息,確保用戶主機、Device與Web server之間路由可達。
(1) 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] ip http enable
[Device] ip https enable
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 2.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
(2) 配置安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/1
[Device-security-zone-Untrust] quit
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
(3) 配置安全策略放行Untrust與Local安全域之間的流量,用於用戶訪問SSL VPN網關設備。
# 配置名稱為sslvpnlocalout1的安全策規則,使Device可以向用戶發送報文,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name sslvpnlocalout1
[Device-security-policy-ip-1-sslvpnlocalout1] source-zone local
[Device-security-policy-ip-1-sslvpnlocalout1] destination-zone untrust
[Device-security-policy-ip-1-sslvpnlocalout1] source-ip-host 2.1.1.1
[Device-security-policy-ip-1-sslvpnlocalout1] destination-ip-host 4.4.4.1
[Device-security-policy-ip-1-sslvpnlocalout1] destination-ip-host 4.4.4.2
[Device-security-policy-ip-1-sslvpnlocalout1] destination-ip-host 4.4.4.3
[Device-security-policy-ip-1-sslvpnlocalout1] action pass
[Device-security-policy-ip-1-sslvpnlocalout1] quit
# 配置名稱為sslvpnlocalin1的安全策略規則,使用戶可以向Device發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sslvpnlocalin1
[Device-security-policy-ip-2-sslvpnlocalin1] source-zone untrust
[Device-security-policy-ip-2-sslvpnlocalin1] destination-zone local
[Device-security-policy-ip-2-sslvpnlocalin1] source-ip-host 4.4.4.1
[Device-security-policy-ip-2-sslvpnlocalin1] source-ip-host 4.4.4.2
[Device-security-policy-ip-2-sslvpnlocalin1] source-ip-host 4.4.4.3
[Device-security-policy-ip-2-sslvpnlocalin1] destination-ip-host 2.1.1.1
[Device-security-policy-ip-2-sslvpnlocalin1] action pass
[Device-security-policy-ip-2-sslvpnlocalin1] quit
# 配置名稱為sslvpnlocalout2的安全策規則,使Device可以向Web server發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sslvpnlocalout2
[Device-security-policy-ip-3-sslvpnlocalout2] source-zone local
[Device-security-policy-ip-3-sslvpnlocalout2] destination-zone trust
[Device-security-policy-ip-3-sslvpnlocalout2] source-ip-host 3.3.3.3
[Device-security-policy-ip-3-sslvpnlocalout2] destination-ip-host 20.2.2.2
[Device-security-policy-ip-3-sslvpnlocalout2] action pass
[Device-security-policy-ip-3-sslvpnlocalout2] quit
# 配置名稱為sslvpnlocalin2的安全策略規則,使Web server可以向Device發送報文,具體配置步驟如下。
[Device-security-policy-ip] rule name sslvpnlocalin2
[Device-security-policy-ip-4-sslvpnlocalin2] source-zone trust
[Device-security-policy-ip-4-sslvpnlocalin2] destination-zone local
[Device-security-policy-ip-4-sslvpnlocalin2] source-ip-host 20.2.2.2
[Device-security-policy-ip-4-sslvpnlocalin2] destination-ip-host 3.3.3.3
[Device-security-policy-ip-4-sslvpnlocalin2] action pass
[Device-security-policy-ip-4-sslvpnlocalin2] quit
[Device-security-policy-ip] quit
(4) 配置PKI域,設置證書申請所需的相關參數
[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] public-key rsa general name sslvpn
[Device-pki-domain-sslvpn] undo crl check enable
[Device-pki-domain-sslvpn] quit
[Device] pki import domain sslvpn der ca filename ca.cer
[Device] pki import domain sslvpn p12 local filename server.pfx
(5) 配置SSL服務器端策略,引用PKI域
[Device] ssl server-policy ssl
[Device-ssl-server-policy-ssl] pki-domain sslvpn
[Device-ssl-server-policy-ssl] quit
(6) 配置用戶身份識別角色
# 創建網絡接入類本地SSL VPN用戶usera、userb、userc。
[Device] local-user usera class network
[Device-luser-network-usera] password simple a123456
[Device-luser-network-usera] service-type sslvpn
[Device-luser-network-usera] quit
[Device] local-user userb class network
[Device-luser-network-userb] password simple b123456
[Device-luser-network-userb] service-type sslvpn
[Device-luser-network-userb] quit
[Device] local-user userc class network
[Device-luser-network-userc] password simple c123456
[Device-luser-network-userc] service-type sslvpn
[Device-luser-network-userc] quit
# 創建本地用戶組group1,將本地用戶usera、userb、userc加入用戶組group1。
[Device] user-group group1
[Device-ugroup-group1] identity-member user usera
[Device-ugroup-group1] identity-member user userb
[Device-ugroup-group1] identity-member user userc
[Device-ugroup-group1] quit
# 創建身份識別角色r1。
[Device] user-identity role name r1
# 引用身份識別用戶組group1。
[Device-identity-role-r1] user-group name group1
[Device-identity-role-r1] quit
# 開啟用戶身份識別功能。
[Device] user-identity enable
(7) 配置SSL VPN網關,為用戶提供登錄SSL VPN網關的入口
# 配置SSL VPN網關gw的IP地址為2.1.1.1,端口號為2000。
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] ip address 2.1.1.1 port 2000
[Device-sslvpn-gateway-gw] service enable
[Device-sslvpn-gateway-gw] quit
(8) 配置SSL VPN訪問實例,為用戶提供SSL VPN Web接入服務
# 配置SSL VPN訪問實例ctx1引用SSL VPN網關gw。
[Device] sslvpn context ctx1
[Device-sslvpn-context-ctx1] url-item urlitem
[Device-sslvpn-context-ctx1-url-item-urlitem] url http://20.2.2.2
[Device-sslvpn-context-ctx1-url-item-urlitem] quit
[Device-sslvpn-context-ctx1] url-list urllist
[Device-sslvpn-context-ctx1-url-list-urllist] heading web
[Device-sslvpn-context-ctx1-url-list-urllist] resources url-item urlitem
[Device-sslvpn-context-ctx1-url-list-urllist] quit
[Device-sslvpn-context-ctx1] policy-group p1
[Device-sslvpn-context-ctx1-policy-group-p1] resources url-list urllist
[Device-sslvpn-context-ctx1-policy-group-p1] quit
# 配置SSL VPN基於角色r1授權策略組p1。
[Device-sslvpn-context-ctx1] role r1
[Device-sslvpn-context-ctx1-role-r1] resources policy-group p1
[Device-sslvpn-context-ctx1-role-r1] web-access enable
[Device-sslvpn-context-ctx1-role-r1] quit
[Device-sslvpn-context-ctx1] service enable
[Device-sslvpn-context-ctx1] quit
# 以上配置完成後,可通過如下顯示命令查看身份識別角色引用信息。
[Device] display user-identity role
--------------------------------------------------------------------------
Role name: default
This role is assigned to all identity users that do not obtain an administer-defined role.
--------------------------------------------------------------------------
Role name: r1
User group name Domain name
group1 N/A
Total 2 records matched.
SSL VPN用戶在瀏覽器上輸入https://2.1.1.1:2000/後,輸入對應的本地用戶名及密碼即可成功登錄網關。之後,該用戶就能夠通過瀏覽器訪問網關為其所屬角色授權的遠端Web服務器資源。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
