- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
24-用户同步
本章节下载: 24-用户同步 (539.82 KB)
目 录
为了实现用户管理在其使用场景上的易用性,对用户管理相关功能进行优化。用户同步包括LDAP同步、SNMP同步和ARP扫描,其中LDAP同步需要先配置LDAP服务器后,在LDAP同步里调用LDAP服务器进行同步,LDAP服务器的配置可参考“用户和用户认证”章节的相关内容。
同步成功录入设备的用户支持在线用户识别、策略调用、QOS控制、策略路由等模块的引用控制。
· LDAP同步:通过LDAP协议报文将LDAP服务器上的用户同步到本地,然后可以按照实际需求分别对同步下来的用户组和用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等,LDAP同步分为两种同步类型,分别为按OU(组织单位)同步和按安全组同步,配置为按OU同步时即按照OU区分所属用户组,按照LDAP服务器上OU的配置来进行同步,即每个OU同步下来后为一个用户组,此OU下包含的OU和用户也分别对应到此用户组下的用户组和用户,同理配置为按安全组同步时按照安全组区分所属用户组,即每个安全组同步下来后为一个用户组,此安全组下包含的安全组和用户也分别对应到此用户组下的用户组和用户,配置按照OU同步时,安全组就不会同步下来作为用户组了,同理如果配置为安全组,那此BASE DN下的OU也就不会被同步下来作为用户组了;可以开启自动同步,开启自动同步后需配置起始时间和间隔时间,起始时间表示在每天的这个时间点进行同步,间隔时间表示本次执行同步后每经过配置的间隔时间后再执行同步。
· SNMP同步:通过SNMP协议报文获取三层交换机上的ARP表,从而得到了内网PC真实的IP和MAC地址对应关系,同步下来的IP地址和MAC地址的对应关系可以录入到用户组也可以进行IP-MAC绑定。录入到用户组支持手工录入和自动录入,录入的用户以IP地址作为用户名,绑定其IP及MAC地址,即此IP或MAC其中任何一个匹配均认为是此用户,此同步录入的用户属于静态绑定的用户,不会再进行其它方式的认证同时用户录入到本地后,可以针对此录入的用户组或用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等。SNMP同步支持任务周期配置,即每经过任务周期的时间进行一次同步,支持配置时间为2-36000秒。
· ARP扫描:通过ARP请求报文来获取内网PC的IP和MAC地址对应关系,同步下来的IP地址和MAC地址的对应关系可以录入到用户组也可以进行IP-MAC绑定。录入到用户组支持手工录入和自动录入,录入的用户以IP地址作为用户名,绑定其IP地址,此同步录入的用户属于静态绑定的用户,不会再进行其它方式的认证同时用户录入到本地后,可以针对此录入的用户组或用户进行相关功能的引用控制,比如:审计策略、控制策略、流控策略、限额策略等。ARP扫描支持任务周期配置,即每经过任务周期的时间进行一次同步,支持配置时间为10-36000秒。由于ARP报文为二层报文,无法跨越三层网络,因此要求ARP扫描的网段必须是设备接口的直连网段。
LDAP同步主要是通过LDAP协议报文来获取配置的Base DN下的用户组织关系,以用户组(配置按OU同步时,即按照LDAP服务器上的OU来区分录入用户组配置,配置按安全组同步时,即LDAP服务器上的安全组来区分录入用户组配置 )单元为单位,循环读取从LDAP服务器上发送回来的用户组及其包含的用户信息。
检查获取的用户组及用户数量是否到达或超过本地设备规格,若到达设备最大规格则将获取的信息丢弃结束同步过程,否则检查是否超过用户组用户最大规格,若超过则跳过此用户组单元,继续获取下一个用户组单元,直至获取完成或者到达设备规格;如不超过则将获取到的用户组及用户信息先保存到本地缓存中。
当一个用户组单元的信息获取完整后,将本地设备中同属于一个LDAP服务器的用户及用户组置LDAP标记,然后将获取的用户组单元信息其下发给DPLAN用以用户的认证以及设备本地用户的添加保存。在DPLAN保存用户及用户组时将已存在的用户及用户组的LDAP标记取消。
同步完成初始化同步标识等变量,释放已建立的会话,结束同步。
SNMP同步主要是设备通过SNMP协议学习三层交换机上的ARP表,获得内网PC的IP和MAC对应关系,设备会通过SNMP报文去请求交换机上记录ARP表的mib节点来获取到其上面的IP与MAC的对应关系,然后根据配置选择是否自动录入到相应的用户组或者通过同步结果手工执行录入到用户组或IP-MAC绑定.。
l 交换机上已开启SNMP代理功能。
l 设备与交换机网络可达。
l 设备上配置的团体字与交换机团体字一致。
ARP扫描主要通过ARP协议探测同网段主机地址,从而获取到内网PC的IP地址和MAC的对应关系。设备根据配置的扫描网段依次发送ARP请求报文,监听ARP回复报文来获取对应的MAC地址,然后根据配置选择是否自动录入到相应的用户组或者通过同步结果手工执行录入到用户组或IP-MAC绑定.。
ARP扫描地址段必须是和设备同一网段.
在导航栏中选择“用户管理>用户管理>用户同步”,进入用户同步任务页面,可查看已配置的用户同步任务,如图1-1所示。
用户同步任务页面详细信息如表1-1所示
|
标题项 |
说明 |
|
新建 |
新建任务 |
|
删除 |
批量删除任务 |
|
名称 |
任务名称 |
|
描述 |
任务描述 |
|
状态 |
任务状态 · 启用 · 禁用 |
|
同步类型 |
· LDAP同步 · SNMP同步 · ARP扫描 |
|
同步周期 |
任务执行的周期 |
|
自动录入 |
是或者否 |
|
同步状态 |
任务执行状态结果,同步成功或者同步失败。 |
|
操作 |
|
在导航栏中选择“用户管理>用户管理>用户同步”,单击<新建>按钮,选择<LDAP同步>进入LDAP同步配置界面,如图1-2所示;LDAP同步详细参数如表1-2所示。
图1-2 LDAP同步配置界面
表1-2 LDAP同步界面参数说明
|
参数 |
说明 |
|
名称 |
LDAP同步条目名称。 |
|
描述 |
LDAP同步描述信息。 |
|
LDAP服务器 |
选择引用的LDAP服务器。 |
|
同步类型 |
· 按OU同步:OU同步AD域下OU用户; · 按安全组同步:安全组同步AD域下组用户。 |
|
自动同步 |
启用或禁用自动同步功能。 |
|
起始时间 |
LDAP同步条目创建后开始同步的时间。 |
|
间隔时间 |
LDAP同步条目创建后按照时间间隔进行同步。 |
|
用户组 |
LDAP用户同步到某一用户组 |
在导航栏中选择“用户管理>用户管理>用户同步”,单击<新建>按钮,选择<SNMP同步> 进入SNMP同步配置界面,如图1-3所示;SNMP同步详细参数如表1-3所示。
图1-3 SNMP同步配置界面
表1-3 SNMP同步界面参数说明
|
参数 |
说明 |
|
启用 |
SNMP同步功能启用、禁用。 |
|
名称 |
SNMP同步条目名称。 |
|
描述 |
SNMP同步描述信息。 |
|
IP地址 |
交换机ip地址,需要与设备互通。 |
|
MAC地址 |
与设备相连的交换机接口的IP/MAC地址。 |
|
团体名 |
交换机启用SNMP功能所配置的团体字。 |
|
版本号 |
交换机SNMP版本号,支持V1、V2和V3。 |
|
任务周期 |
启用后按照所配置的时间进行SNMP用户同步。 |
|
自动录入 |
启用后同步用户录入设备可选指定用户组录入用户,不启用只同步不录入。 |
|
录入方式 |
默认录入:以IP地址作为录入名,绑定IP地址及MAC地址; IP录入:以IP地址作为录入名,只绑定IP地址; MAC录入:以MAC地址作为录入名,只绑定MAC地址。 |
|
IPMAC自动绑定 |
启用后,设备自动把第一次学到的IP/MAC进行唯一性绑定,无需手工绑定。 |
SNMP同步场景下需要配合用户MAC敏感功能一起使用.
user mac-sensitive 命令用来配置用户识别是否对MAC变化保持敏感。
【命令】
user mac-sensitive{enable|disable}
【视图】
(config)#视图
【参数】
enable:开启用户MAC敏感,用户MAC发生变化后会被踢下线重新识别。
disable:关闭用户MAC敏感。
【使用指导】
用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。
说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。
【举例】
# 配置用户MAC敏感
Host(config)# user mac-sensitive enable 开启用户MAC敏感
Host (config)# user mac-sensitive disable 关闭用户MAC敏感
在导航栏中选择“用户管理>用户管理>用户同步”,单击<新建>按钮,选择<ARP扫描> 进入ARP扫描配置界面,如图1-4所示;ARP扫描详细参数如表1-4所示。
图1-4 ARP扫描配置界面
表1-4 ARP扫描界面参数说明
|
参数 |
说明 |
|
启用 |
ARP扫描功能启用、禁用。 |
|
名称 |
ARP扫描条目名称。 |
|
描述 |
ARP扫描描述信息。 |
|
扫描网段 |
需要和设备是同一网段,例如接口192.168.1.1/24,扫描需要配置成192.168.1.0/24。 |
|
任务周期 |
启用后按照所配置的时间进行ARP扫描同步。 |
|
自动录入 |
启用后同步用户录入设备可选指定用户组录入用户,不启用只同步不录入。 |
|
IPMAC自动绑定 |
启用后,设备自动把第一次学到的IP/MAC进行唯一性绑定,无需手工绑定。 |
如图1-5所示,某公司的财务部、工程部员工通过固定设备使用静态绑定IP/MAC的方式上网,生产部员工使用LDAP服务器配置的用户账号认证上网,其网段分别是172.16.1.0/24、172.16.2.0/24和172.
16.3.0/24,LDAP服务器的地址为172.16.0.20/24。工程部SNMP交换机地址为172.16.0.10/24。使用设备的ge0和ge1接口,以透明模式部署在网络中,在设备上配置用户同步。
通过菜单“用户管理>认证管理>认证服务器”,单击选择“新建>LDAP服务器”,进入如图1-6所示的页面。
图1-6 LDAP服务器配置
通过菜单“用户管理>用户组织结构”,单击选择“新建>用户组”,配置财务部和工程部用户组,如图1-7、图1-8所示。
(1) 配置LDAP同步
通过菜单“用户管理>用户管理>用户同步”,单击选择“新建>LDAP同步”,进入LDAP同步配置页面。配置LDAP同步任务名称,选择LDAP服务器,选择开启同步周期并配置同步周期(每天的某个整点),或者选择关闭周期同步,如图1-9所示。
(2) 配置SNMP同步
通过菜单“用户管理>用户管理>用户同步”,单击选择“新建>SNMP同步”,进入SNMP配置页面。配置SNMP同步任务名称,IP地址和MAC地址配置为SNMP server的IP地址和MAC地址,配置团体名和SNMP的版本号,选择开启周期同步并配置同步周期或者关闭周期同步(只在配置成功后同步一次),选择开启自动录入并配置同步结果的录入用户组,或者关闭自动录入由后期用户手动添加。如图1-10所示。
(3) 配置ARP扫描
通过菜单“用户管理>用户管理>用户同步”,单击选择“新建>ARP扫描”,进入ARP扫描配置页面。配置“扫描网段”为财务部网段,选择配置是否开启周期同步,是否开启自动录入并选择录入用户的组织结构的用户组。如图1-11所示。
通过菜单“策略配置>对象管理 > 地址对象 > IPv4地址对象”,单击<新建>按钮,配置生产部地址对象,如图1-12所示。
通过菜单“用户管理 > 认证管理 > 认证方式 > 本地WEB认证”,勾选“允许重复登录”,配置“允许登录数”为无限制,单击<提交>。如图1-13所示。
通过菜单“策略配置>控制策略”,单击<新建>按钮进入控制策略配置界面。如图1-14所示。
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证,选择LDAP服务器,如图1-15所示。
图1-15 全局模式启用第三方Ldap配置
通过菜单进入“用户管理>认证管理>认证策略”,单击<新建>,源地址配置为“生产部地址对象”,认证方式配置为“Web认证”,其它选项保持默认,单击<提交>。如图1-16所示。
(1) 进入“用户管理>用户组织结构”,查看“财务部”用户组。财务部ARP同步成功后,财务部固定设备的用户全部自动录入,用户静态绑定对应的IP,固定设备直接可以上网。如图1-17所示。
图1-17 财务部ARP同步用户
(2) 进入“用户管理>用户组织结构”,查看“工程部”用户组。工程部SNMP同步成功后,生产部固定设备的用户全部自动录入,用户静态绑定对应的IP/MAC,固定设备直接可以上网。如图1-18所示。
图1-18 工程部SNMP同步用户
(3) 进入“用户管理>用户组织结构”,查看“生产部”用户组。从LDAP成功同步了生产部的用户,同步了用户组“生产部”以及用户组的直属用户user1,user2,user3。如图1-19所示。
图1-19 生产部LDAP同步用户
(4) 在生产部网段(172.16.3.0/24)使用PC终端进行HTTP访问,弹出本地Web认证页面,使用LDAP联动用户user3认证成功。如图1-20所示。
图1-20 生产部LDAP用户认证页面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
