- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
21-用户同步
本章节下载: 21-用户同步 (682.89 KB)
目 录
1.5.11 新增的IP/MAC条目设备不能及时学习到该IP的数据如何处理?
1.5.12 如果交换机的MAC不在扫描列表中用户数据处理流程?
1.5.14 R6610学习不到插卡R6202的MAC地址?
1.5.18 在认证页面用户主动注销之后,在原来认证界面重新使用别的用户认证登录出现不录入?
1.5.19 RADIUS和LDAP认证服务器,点击测试有效性是如何进行测试的?
为了实现用户管理在其使用场景上的易用性,对用户管理相关功能进行优化。用户同步包括LDAP同步、SNMP同步和ARP扫描,其中LDAP同步需要先配置LDAP服务器后,在LDAP同步里调用LDAP服务器进行同步,LDAP服务器的配置可参考“用户和用户认证”章节的相关内容。
同步成功录入设备的用户支持在线用户识别、策略调用、QOS控制、策略路由等模块的引用控制。
LDAP同步:通过LDAP协议报文将LDAP服务器上的用户同步到本地,然后可以按照实际需求分别对同步下来的用户组和用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等,LDAP同步分为两种同步类型,分别为按OU(组织单位)同步和按安全组同步,配置为按OU同步时即按照OU区分所属用户组,按照LDAP服务器上OU的配置来进行同步,即每个OU同步下来后为一个用户组,此OU下包含的OU和用户也分别对应到此用户组下的用户组和用户,同理配置为按安全组同步时按照安全组区分所属用户组,即每个安全组同步下来后为一个用户组,此安全组下包含的安全组和用户也分别对应到此用户组下的用户组和用户,配置按照OU同步时,安全组就不会同步下来作为用户组了,同理如果配置为安全组,那此BASE DN下的OU也就不会被同步下来作为用户组了;可以开启自动同步,开启自动同步后需配置起始时间和间隔时间,起始时间表示在每天的这个时间点进行同步,间隔时间表示本次执行同步后每经过配置的间隔时间后再执行同步。
SNMP同步:通过SNMP协议报文获取三层交换机上的ARP表,从而得到了内网PC真实的IP和MAC地址对应关系,同步下来的IP地址和MAC地址的对应关系可以录入到用户组也可以进行IP-MAC绑定。录入到用户组支持手工录入和自动录入,录入的用户以IP地址作为用户名,绑定其IP及MAC地址,即此IP或MAC其中任何一个匹配均认为是此用户,此同步录入的用户属于静态绑定的用户,不会再进行其它方式的认证同时用户录入到本地后,可以针对此录入的用户组或用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等。SNMP同步支持任务周期配置,即每经过任务周期的时间进行一次同步,支持配置时间为2-36000秒。
ARP扫描:通过ARP请求报文来获取内网PC的IP和MAC地址对应关系,同步下来的IP地址和MAC地址的对应关系可以录入到用户组也可以进行IP-MAC绑定。录入到用户组支持手工录入和自动录入,录入的用户以IP地址作为用户名,绑定其IP地址,此同步录入的用户属于静态绑定的用户,不会再进行其它方式的认证同时用户录入到本地后,可以针对此录入的用户组或用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等。ARP扫描支持任务周期配置,即每经过任务周期的时间进行一次同步,支持配置时间为10-36000秒。由于ARP报文为二层报文,无法跨越三层网络,因此要求ARP扫描的网段必须是设备接口的直连网段。
LDAP同步主要是通过LDAP协议报文来获取配置的Base DN下的用户组织关系,以用户组(配置按OU同步时,即按照LDAP服务器上的OU来区分录入用户组配置,配置按安全组同步时,即LDAP服务器上的安全组来区分录入用户组配置 )单元为单位,循环读取从LDAP服务器上发送回来的用户组及其包含的用户信息。
检查获取的用户组及用户数量是否到达或超过本地设备规格,若到达设备最大规格则将获取的信息丢弃结束同步过程,否则检查是否超过用户组用户最大规格,若超过则跳过此用户组单元,继续获取下一个用户组单元,直至获取完成或者到达设备规格;如不超过则将获取到的用户组及用户信息先保存到本地缓存中。
当一个用户组单元的信息获取完整后,将本地设备中同属于一个LDAP服务器的用户及用户组置LDAP标记,然后将获取的用户组单元信息其下发给DPLAN用以用户的认证以及设备本地用户的添加保存。在DPLAN保存用户及用户组时将已存在的用户及用户组的LDAP标记取消。
同步完成初始化同步标识等变量,释放已建立的会话,结束同步。
SNMP同步主要是设备通过SNMP协议学习三层交换机上的ARP表,获得内网PC的IP和MAC对应关系,设备会通过SNMP报文去请求交换机上记录ARP表的mib节点来获取到其上面的IP与MAC的对应关系,然后根据配置选择是否自动录入到相应的用户组或者通过同步结果手工执行录入到用户组或IP-MAC绑定.。
l 交换机上已开启SNMP代理功能。
l 设备与交换机网络可达
l 设备上配置的团体字与交换机团体字一致。
ARP扫描主要通过ARP协议探测同网段主机地址,从而获取到内网PC的IP地址和MAC的对应关系。设备根据配置的扫描网段依次发送ARP请求报文,监听ARP回复报文来获取对应的MAC地址,然后根据配置选择是否自动录入到相应的用户组或者通过同步结果手工执行录入到用户组或IP-MAC绑定.。
l ARP扫描地址段必须是和设备同一网段.
在导航栏中选择“用户管理>用户同步”,进入用户同步任务页面,如图1-1所示。
用户同步任务页面详细信息如表1-1所示
|
标题项 |
说明 |
|
新建 |
新建任务 |
|
删除 |
批量删除任务 |
|
名称 |
任务名称 |
|
描述 |
任务描述 |
|
状态 |
任务状态 · 启用 · 禁用 |
|
同步类型 |
· LDAP同步 · SNMP同步 · ARP扫描 |
|
同步周期 |
任务执行的周期 |
|
自动录入 |
是或者否 |
|
同步状态 |
任务执行状态结果,同步成功或者同步失败。 |
|
操作 |
|
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,选择<LDAP同步>进入LDAP同步配置界面,如图1-2所示;LDAP同步详细参数如表1-2所示。
图1-2 LDAP同步配置界面
表1-2 LDAP同步界面参数说明
|
参数 |
说明 |
|
名称 |
LDAP同步条目名称。 |
|
描述 |
LDAP同步描述信息。 |
|
LDAP服务器 |
选择引用的LDAP服务器。 |
|
同步类型 |
· 按OU同步:OU同步AD域下OU用户; · 按安全组同步:安全组同步AD域下组用户。 |
|
自动同步 |
启用或禁用自动同步功能。 |
|
起始时间 |
LDAP同步条目创建后开始同步的时间。 |
|
间隔时间 |
LDAP同步条目创建后按照时间间隔进行同步。 |
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,选择<SNMP同步> 进入SNMP同步配置界面,如图1-3所示;SNMP同步详细参数如表1-3所示。
图1-3 SNMP同步配置界面
表1-3 SNMP同步界面参数说明
|
参数 |
说明 |
|
启用 |
SNMP同步功能启用、禁用。 |
|
名称 |
SNMP同步条目名称。 |
|
描述 |
SNMP同步描述信息。 |
|
IP地址 |
交换机ip地址,需要与设备互通。 |
|
MAC地址 |
与设备相连的交换机接口的IP/MAC地址。 |
|
团体名 |
交换机启用SNMP功能所配置的团体字。 |
|
版本号 |
交换机SNMP版本号V1和V2。 |
|
任务周期 |
启用后按照所配置的时间进行SNMP用户同步。 |
|
自动录入 |
启用后同步用户录入设备可选指定用户组录入用户,不启用只同步不录入。 |
【注意事项】
SNMP同步场景下需要配合用户MAC敏感功能一起使用.
user mac-sensitive 命令用来配置用户识别是否对MAC变化保持敏感。
【命令】
user mac-sensitive{enable|disable}
【视图】
(config)#视图
【参数】
enable:开启用户MAC敏感,用户MAC发生变化后会被踢下线重新识别。
disable:关闭用户MAC敏感。
【使用指导】
用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。
说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。
【举例】
# 配置用户MAC敏感
(config)# user mac-sensitive enable 开启用户MAC敏感
(config)# user mac-sensitive disable 关闭用户MAC敏感
在导航栏中选择“用户管理>用户同步”,单击<新建>按钮,选择<ARP扫描> 进入ARP扫描配置界面,如图1-4所示;ARP扫描详细参数如表1-4所示。
图1-4 ARP扫描配置界面
表1-4 ARP扫描界面参数说明
|
参数 |
说明 |
|
启用 |
ARP扫描功能启用、禁用。 |
|
名称 |
ARP扫描条目名称。 |
|
描述 |
ARP扫描描述信息。 |
|
扫描网段 |
需要和设备是同一网段,例如接口192.168.1.1/24,扫描需要配置成192.168.1.0/24。 |
|
任务周期 |
启用后按照所配置的时间进行ARP扫描同步。 |
|
自动录入 |
启用后同步用户录入设备可选指定用户组录入用户,不启用只同步不录入。 |
如图1-5所示,某公司的财务部、工程部员工通过固定设备使用静态绑定IP/MAC的方式上网,生产部员工使用LDAP服务器配置的用户账号认证上网,其网段分别是172.16.1.0/24、172.16.2.0/24和172.
16.3.0/24,LDAP服务器的地址为172.16.0.20/24。工程部SNMP交换机地址为172.16.0.10/24。使用设备的ge0和ge1接口,以透明模式部署在网络中,在设备上配置用户同步。
通过菜单“用户管理>认证服务器”,单击选择“新建>LDAP服务器”,进入如图1-6所示的页面。
图1-6 LDAP服务器配置
通过菜单“用户管理>用户”,单击选择“新建>用户组”,配置财务部和工程部用户组,如图1-7、图1-8所示。
(1) 配置LDAP同步
通过菜单“用户管理>用户同步”,单击选择“新建>LDAP同步”,进入LDAP同步配置页面。配置LDAP同步任务名称,选择LDAP服务器,选择开启同步周期并配置同步周期(每天的某个整点),或者选择关闭周期同步,如图1-9所示。
(2) 配置SNMP同步
通过菜单“用户管理>用户同步”,单击选择“新建>SNMP同步”,进入SNMP配置页面。配置SNMP同步任务名称,IP地址和MAC地址配置为SNMP server的IP地址和MAC地址,配置团体名和SNMP的版本号,选择开启周期同步并配置同步周期或者关闭周期同步(只在配置成功后同步一次),选择开启自动录入并配置同步结果的录入用户组,或者关闭自动录入由后期用户手动添加。如图1-10所示。
(3) 配置ARP扫描
通过菜单“用户管理>用户同步”,单击选择“新建>ARP扫描”,进入ARP扫描配置页面。配置“扫描网段”为财务部网段,选择配置是否开启周期同步,是否开启自动录入并选择录入用户的组织结构的用户组。如图1-11所示。
通过菜单“上网行为管理>对象管理 > 地址对象”,单击“新建>地址对象”,配置生产部地址对象。如图1-12所示。
通过菜单“用户管理 > 认证设置 > 本地WEB认证”,勾选“允许重复登录”,配置“允许登录数”为无限制,单击<提交>。如图1-13所示。
通过菜单“上网行为管理>IPv4控制策略”,单击“新建>IPv4控制策略”。如图1-14所示。
图1-14 IPV4控制策略配置
在导航栏中选择“用户管理>高级选项”,进入全局配置页面,启用第三方认证,选择LDAP服务器,如图1-15所示。
图1-15 全局模式启用第三方Ldap配置
通过菜单进入“用户管理>认证策略”,单击<新建>,源地址配置为“生产部地址对象”,认证方式配置为“Web认证”,其它选项保持默认,单击<提交>。如图1-16所示。
(1) 进入“用户管理>用户”,查看“财务部”用户组。财务部ARP同步成功后,财务部固定设备的用户全部自动录入,用户静态绑定对应的IP,固定设备直接可以上网。如图1-17所示。
图1-17 财务部ARP同步用户
(2) 进入“用户管理>用户”,查看“工程部”用户组。工程部SNMP同步成功后,生产部固定设备的用户全部自动录入,用户静态绑定对应的IP/MAC,固定设备直接可以上网。如图1-18所示。
图1-18 工程部SNMP同步用户
(3) 进入“用户管理>用户”,查看“生产部”用户组。从LDAP成功同步了生产部的用户,同步了用户组“生产部”以及用户组的直属用户user1,user2,user3。如图1-19所示。
图1-19 生产部LDAP同步用户
(4) 在生产部网段(172.16.3.0/24)使用PC终端进行HTTP访问,弹出本地Web认证页面,使用LDAP联动用户user3认证成功。如图1-20所示。
图1-20 生产部LDAP用户认证页面
LDAP同步条目128,SNMP同步规格64,ARP扫描条目64个。
LDAP同步录入用户不支持指定用户组,录入按照AD域上OU和安全组进行录入。
LDAP服务器用户名长度大于63字符后同步到设备用户名会截断成63字符。
LDAP服务器同步目前支持389明文传输,不支持636密文传输(不能与加密服务器交互,无法进行身份验证)。
在用户管理>高级选项>全局配置,第三方LDAP认证处,选择LDAP组统一认证。
LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。
OpenLdap不响应dn属性的确认请求导致,F6608及以后版本均只支持与Windows AD域服务器认证对接。
AD服务器上用户名超长(大于63字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。
LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
远端用户删除后重新同步LDAP组后,远端被删除的用户移除用户组,本地用户没被删除,不会影响到策略。
使用LDAP用户认证通过后,在服务器删除认证用户并在设备上同步该OU?
(1) 由于远端用户认证未下线所以本地即使没有该认证用户也不影响下联pc上网。
(2) 当远端pc认证用户下线后重新使用被删除的用户进行认证是提示用户不存在。
IPSes和SSLVPN条件下使用LDAP认证时,IPSes和SSLVPN认证使用用户名密码认证后,会从本地查找该用户名用户,若该用户不存在,则不会添加该用户到认证用户组。所以若使用该方式认证,需保证本地存在该用户。
LDAP同步周期起始时间(0-23),间隔时间(1-24),例如起始时间8,间隔2,代表该同步条目每天8点开始同步,每隔2小时同步一次,晚上12点结束当天的同步任务。
多个用户认证并行时,用户同步任务单线程处理,上一个同步任务完成后,才开始下一个同步任务。
使用AD域用户认证,修改Ad域上密码后,认证使用旧密码还可以认证?
AD域用户更新密码后,使用同步的LDAP认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。
测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。
手动创建用户组、用户创建为本地用户,和LDAP服务器上组、用户名称一样,点LDAP同步,这个用户没法用LDAP认证,LDAP同步当存在重名用户时,只移动用户,不覆盖。
LDAP组里第一个LDAP服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前不能处理跨域的LDAP组认证,需要保障LDAP组下地址可达,服务器密码正确。
从老版本升级到F6608版本后启动过程中打印% Unknown command: bindtype simple,这个是因为在F6608上绑定方式做了修改,删除了通用绑定方式,只保留了简单和匿名两种方式,所以如果升级前是通用,建议先删除,修改为匿名或简单绑定方式,然后再进行升级,避免配置丢失
arp扫描只支持扫描设备同网段用户。
arp扫描和SNMP录入支持指定用户组录入和不录入,如果配置的ARP扫描和SNMP同步未指定录入组,只扫描同步,录入用户。可以在同步结果页面,直接下载CSV文件、录入到指定用户组、支持IP-MAC绑定。
(1) 新建交换机条目的MAC地址是与设备相连的交换机的地址。
(2) 设备配置的团体名需要跟交换机上的团体名一致。
(3) 团体名不能包含中文。
开启SNMP同步后,交换机下的新用户IPMAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。
如果交换机的MAC不在跨三层学习交换机列表中,直接拿数据MAC与IP-MAC绑定表比对。
如果交换机的MAC在扫描列表中用户数据处理流程?
如果交换机的MAC在跨三层学习列表中,先遍历IPMAC学习表获取真实MAC,然后再与IP-MAC绑定表比对。
如果旧表中有对应MAC,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的MAC,等老化后删除。
插卡R6202版本不支持做SNMP客户端使用,不会回复F6610的SNMP同步请求,R6610版本做了优化,可以支持做SNMP客户端使用。
学习是分两步:
(1) SNMP协议跟交换机交互报文,来学习IP/MAC条目,并将IP/MAC条目存到文件中(网络好时报文交互快,学的也快)。
(2) 从文件中读IP/MAC,进行新旧对比并更新老化时间。
(1) IPMAC表达到59000条时触发快速老化,将已经老化的IP/MAC全清掉,规格满直接丢新的条目。
(2) 两次快速老化的时间间隔是10分钟。
正常情况下,全局开启跨三层扫描后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,if判断当前时间-上次快速老化时间〈10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
因为录入前没有流量做策略匹配导致获取不到录入的组,因此无法录入,这种情况需要用户重新弹认证页面上线才能够正常录入。
RADIUS服务器是使用icmp检查,如果有回复则认为成功,LDAP服务器是使用协议默认的tcp 389端口进行测试,并且会使用配置的管理员及密码进行验证,验证通过后才认为成功。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
