- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C 安全产品 用户身份识别功能与认证服务器对接操作指导(V7)
Copyright © 2023新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
1.10 基于AD单点登录服务的身份识别与管理典型配置举例(仅V001R003版本适用)
1.11 基于AD单点登录服务的身份识别与管理典型配置举例(V002R002版本适用)
1.12 基于双主AD单点登录服务的身份识别与管理典型配置举例(V002R002版本适用)
2.2 基于RADIUS单点登录的用户身份识别与管理典型配置举例
2.3 基于RADIUS认证本地接入的用户身份识别与管理典型配置举例
本文档介绍了安全产品用户身份识别功能与RADIUS认证服务器、AD单点登录服务器对接的方法,内容包括认证服务器的介绍,认证服务器和身份防火墙的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解Portal、AAA、身份识别与管理和安全策略等特性。
使用安全策略时,需要注意的是:当安全策略与包过滤策略同时配置时,因为安全策略对报文的处理在包过滤之前,报文与安全策略匹配成功后,不再进行包过滤处理,所以请合理配置安全策略和包过滤,否则可能会导致配置的包过滤不生效。
V001R003版本AD单点登录软件仅支持单个AD域控制器和单个AD单点登录服务,V002R002版本最大支持16个AD域控制器和2个AD单点登录服务,工作原理类似,本章节仅以V002R002版本举例。
如图1-1所示,用户将用户名密码发送给AD(Active Directory)域控制器进行认证,认证通过后,用户将身份信息(如用户名、IP地址等)同步给AD单点登录服务,AD单点登录服务将用户的身份信息(如用户名、IP地址等)同步给设备。设备获得用户名和IP地址的对应关系后,用户仅通过AD域控制器的认证即可直接访问网络资源,而无需再由设备进行认证,这种认证方式被称作“AD单点登录”。
图1-1 AD单点登录示意图
AD单点登录服务软件的作用包括如下几个方面:
· 当用户登录成功后,收集用户的登录信息并同步到设备,且设备会将此用户设置成设备的在线身份识别用户。
· 当用户注销时,收集用户的注销信息并同步到设备,且设备会将此用户从设备的在线身份识别用户中删除。
· 支持批量同步在线用户,当收到设备发送的批量获取在线用户请求时,向设备批量同步在线用户信息。
· 支持同时向多台设备同步在线用户。
· 支持用户信息安全检测,AD单点登录服务收到用户信息时,将对用户信息进行安全性检查,阻止不存在用户上线。
有关在线身份识别用户的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
为使AD单点登录服务正常工作,首先需要在服务器上安装、配置和开启AD单点登录服务(最大支持2个),然后在AD域控制器(最大支持16个)上设置登录脚本和注销脚本,最后在设备上配置相关参数,接收AD单点登录服务发送的用户身份信息。
当设备刚刚加入AD单点登录服务的网络中,为了保证已在线用户业务的连续性,设备会主动分别从AD域控制器和AD单点登录服务同步全量用户信息和在线用户信息。如图1-2所示,具体过程如下:
图1-2 AD单点登录服务防火墙上线原理图
(1) 设备分别从AD域控制器和AD单点登录服务请求全量用户信息和在线用户信息;
(2) AD域控制器和AD单点登录服务分别将全量用户信息和在线用户信息下发给设备;
(3) 设备分别将全量用户信息和在线用户信息识别为所有身份识别用户和在线身份识别用户。
在用户登录和注销过程中AD单点登录服务的工作原理类似。此处仅以登录过程为例进行介绍,如图1-3所示,具体过程如下:
图1-3 AD单点登录服务用户上线原理图
(1) 用户将用户名密码发送给AD域控制器进行认证;
(2) 用户在AD服务器认证成功后,AD域控制器将登录脚本(ReportLogin脚本)下发给用户主机;
(3) 用户主机执行登录脚本,将用户的身份信息发送给AD单点登录服务;
(4) AD单点登录服务再将用户的身份信息同步到设备;
(5) 设备从用户的身份信息中获取用户的用户名和IP地址,并将用户名与IP地址的映射关系添加到在线身份识别用户列表。
仅V001R003版本AD单点登录软件需要自行安装数据库并配置ODBC,具体步骤请参见1.5.2 安装数据库和1.5.3 配置ODBC。V002R002版本AD单点登录软件已内置数据库,无需额外配置。
AD单点登录服务软件对软件环境的需求配置如下表所示,并推荐安装对应软件的最新补丁。请确保AD单点登录软件语言与操作系统语言一致,具体界面显示请以实际情况为准。
表1-1 服务器软件配置要求
|
类型 |
软件版本 |
|
操作系统 |
Windows Server 2008 |
|
Windows Server 2012 |
|
|
Windows Server 2016 |
|
|
Windows 7 |
|
|
Windows 10 |
|
|
AD单点登录 |
V001R003 |
|
V002R002 |
在安装AD单点登录服务软件之前,首先要在操作系统上安装32位MySQL数据库和32位ODBC驱动,并配置数据库服务为自动启动。
MySQL数据库和ODBC驱动的具体安装过程略,安装过程中需要注意的内容如下:
· 若用户名需要使用中文字符,则需选择“Manul Selected Default Character Set/Collation”,然后设置Character Set为gb2312;若没有,则选择默认“Standard Character Set”即可。示意如下图所示:
图1-4 配置默认字符集页面图
· 如果需要修改已安装数据库的默认字符集,可以修改数据库配置文件my.ini中如下图圈红的两项内容为目标字符集,修改完成后重启MySQL服务使其生效。此处以默认字符集是gb2312为例。
图1-5 修改MySQL数据库默认字符集示意图
· 在安装MySQL ODBC驱动时,若出现下图错误信息,则需要在安装驱动前,从微软官网下载vcredist_x86.exe并安装。
图1-6 MySQL ODBC安装时的错误提示
(1) 在系统安装路径下,查找“Windows\SysWOW64”文件夹,在该文件夹中找到可执行程序“odbcad32.exe”,如下图所示。
图1-7 ODBC32位应用程序图
(2) 打开可执行程序“odbcad32.exe”,进入“ODBC数据源管理器”页面,如下图所示。
图1-8 ODBC数据源管理器页面图
(3) 在“ODBC数据源管理器”页面,选择标签“系统DSN”,单击<添加>按钮,进入“驱动选择”页面,如下图所示。
图1-9 ODBC驱动选择页面图
(4) 在“ODBC驱动选择”页面,选择“MySQL ODBC 5.3 ANSI Driver”(本文以5.3版本为例),单击<完成>按钮,进入“ODBC信息配置”页面,如下图所示。
在ODBC信息配置页面配置内容如下:
¡ Data Source Name:自定义一个名称,本文以DBMySQL为例。
¡ TCP/IP Server:输入数据库服务器的IP地址。若使用的数据库不允许远程连接,则必须配置为localhost字符串。本文以192.168.100.244为例。
¡ Port:输入数据库服务的端口号,本文以3306为例。
¡ User:建议用root用户进行登录,若需要使用其他用户,则必须保证用户拥有所有权限。
¡ Password:输入root管理员用户的密码。
单击<Test>按钮,若出现连接成功提示,则配置正确。
图1-10 ODBC信息配置界页面图
(5) 如果数据库中涉及到中文字符存储,则单击<Details>按钮,然后设置“Character Set”为gb2312,如下图所示。
图1-11 ODBC信息配置界页面图
(6) 在“ODBC信息配置”页面,单击<OK>按钮,完成系统DSN配置,如下图所示。
图1-12 添加系统DSN配置成功图
为保证AD单点登录服务与ReportLogin脚本和设备正常通信,需要在AD服务器的“高级安全Windows防火墙”中添加相应的规则,开启指定端口的访问权限。
具体的服务端口值请参照AD单点登录服务配置文件中实际指定的端口,本文以开启8826(入站规则)和80(出站规则)服务端口为例进行介绍。
为使AD单点登录服务与ReportLogin脚本正常通信,需要在“高级安全Windows防火墙”中添加入站规则,开启8826端口的访问权限。具体配置步骤如下:
(1) 选择“开始 > 管理工具 >高级安全Windows防火墙”,进入“高级安全Windows防火墙”页面,如下图所示:
图1-13 高级安全Windows防火墙页面图
(2) 在“高级安全Windows防火墙”页面,选择“入站规则 > 新建规则”,进入“新建入站规则向导”页面,如下图所示:
图1-14 新建入站规则向导页面图
(3) 在规则类型中选择“端口”,单击<下一步>按钮,如下图所示:
图1-15 新建入站规则向导页面图
(4) 在协议和端口中选择“TCP”,并将“特定本地端口”配置为8826,单击<下一步>按钮,如下图所示:
图1-16 新建入站规则向导页面图
(5) 在操作中选择“允许连接”,单击<下一步>按钮,如下图所示:
图1-17 新建入站规则向导页面图
(6) 在配置文件中勾选所有选项,单击<下一步>按钮,如下图所示:
图1-18 新建入站规则向导页面图
(7) 在名称中配置规则的名称和描述,单击<完成>按钮,如下图所示:
图1-19 新建入站规则向导页面图
(8) 入站规则添加完成后,如下图所示:
图1-20 高级安全Windows防火墙页面图
为使AD单点登录服务与设备正常通信,需要在“高级安全Windows防火墙”中添加出站规则,开启80端口的访问权限。出站规则的配置方式与入站规则的配置方式类似,具体配置步骤请参考入站规则的配置步骤。
H3C AD单点登录服务功能支持的终端操作系统包括Windows XP、Windows 7和Windows 10。
AD单点登录服务V001R003版本和V002R002版本安装过程类似,此处仅以V002R002版本举例。
(1) 以管理员权限打开H3C AD单点登录服务软件的可执行程序“setup.exe”,软件进入“准备安装”页面,软件准备安装完成后,会进入“许可证协议”页面,如下图所示。
图1-21 AD单点登录服务准备安装组页面图
(2) 在“许可证协议”页面,选择“我接受许可证协议中的条款”然后单击<下一步>按钮,如下图所示。
图1-22 选择软件许可协议页面图
(3) 在“安装向导”页面,单击<下一步>按钮,如下图所示。
图1-23 安装向导页面图
(4) 在“选择安装位置”页面,选择软件安装的路径(本文以默认路径为例),然后单击<下一步>按钮,如下图所示。
图1-24 选择安装位置页面图
(5) 在“配置信息”页面,配置完AD单点登录服务参数后,单击<下一步>按钮,如下图所示。
配置参数解释如下表所示
表1-2 配置参数解释表
|
参数名 |
说明 |
|
|
AD单点登录服务 |
服务器IP地址 |
AD单点登录服务器IP地址用于与ReportLogin脚本和设备进行通信,本文以IP地址192.168.100.244为例 |
|
服务端口 |
AD单点登录服务的端口号,本文以服务端口8826为例 |
|
|
备份-AD单点登录服务 |
服务器IP地址 |
备份-AD单点登录服务器IP地址用于与ReportLogin脚本和设备进行通信,本文以IP地址192.168.100.240为例 |
|
服务端口 |
备份-AD单点登录服务的端口号,本文以服务端口8826为例 |
|
|
日志 |
日志文件大小 |
配置单个日志文件的大小,超过设置的最大值后会新建一个日志文件继续保存日志,本文以10M为例 |
|
保存天数 |
配置日志可被保存的最长天数,本文以30天为例 |
|
|
线程 |
最大线程数 |
AD单点登录服务为向设备转发用户信息可开启的最大线程数,本文以30为例 |
图1-25 配置信息页面图
(6) 在“准备安装”页面,单击<安装>按钮,进行AD单点登录服务软件的安装,如下图所示。
图1-26 准备安装页面图
(7) 在“安装向导”页面,单击<完成>按钮,完成软件安装,如下图所示。
图1-27 安装向导页面图
(1) 选择“开始 > 管理工具 > 服务”,进入“服务”页面,如下图所示:
图1-28 服务页面图
(2) 在“服务”页面选中“H3CAdsso”服务,右击选择属性,进入“H3CAdsso的属性(本地计算机)”页面,如下图所示:
图1-29 服务页面图
(3) 在“H3CAdsso的属性(本地计算机)”页面将启动类型设置为“自动(延迟启动)”,单击<确定>按钮,如下图所示:
因为“H3CAdsso”服务需要在“Active Directory Domain Services”服务启动完成后才能启动,所以“H3CAdsso”服务的启动类型需要设置为“自动(延迟启动)”。
图1-30 H3CAdsso的属性(本地计算机)页面图
(1) 打开AD单点登录服务管理页面,软件安装完成后,可以通过桌面上的AD单点登录服务快捷方式打开,如下图所示。
图1-31 AD单点登录服务的快捷方式图
(2) 修改日志文件保存路径,在“AD单点登录服务”管理页面,依次单击<修改配置>、<修改H3C AD单点登录服务参数>按钮,如下图所示。
图1-32 帮助示意图
(3) 修改日志文件保存路径,在“修改AD单点登录服务参数”页面,单击<浏览>按钮选择保存日志文件的路径(本文以D:\ADlog路径为例),选择完成后单击<确定>按钮,如下图所示。
软件安装完成后,日志默认保存路径为软件安装路径。由于日志占用磁盘空间可能较大,因此建议在软件安装完成后,将日志保存路径修改为非系统安装路径。
图1-33 修改AD单点登录服务参数页面图
(4) 启动服务,在“AD单点登录服务”管理页面,单击<启动>按钮,开启AD单点登录服务,如下图所示。
图1-34 AD单点登录服务管理页面图
(5) 添加设备,在AD单点登录服务启动后,需要在“AD单点登录服务”管理页面的“设备”栏下,单击<添加>按钮,进行添加设备,如下图所示。
添加设备是为了将AD单点登录服务上的在线用户信息同步到此设备上。
图1-35 添加设备页面图
(6) 配置设备信息,在“添加设备”页面,配置完参数信息后,单击<确定>按钮,完成设备添加,如下图所示。
配置参数解释如下表所示
表1-3 配置参数解释表
|
参数名 |
说明 |
|
名称 |
自定义设备的名称,本文以FW-1为例 |
|
IP地址 |
配置设备的IP地址,本文以190.166 148.16为例 |
|
端口 |
设备上提供HTTP服务的端口号,本文以80为例 |
|
用户名 |
设备上用于RESTful登录的用户名,本文以admin为例 |
|
密码 |
设备上用于RESTful登录用户名的密码,本文以admin为例 |
图1-36 添加设备页面图
(7) 设备添加完成后,在“AD单点登录服务”管理页面,可看到设备的状态为“可达”,如下图所示。
添加设备后,需要保证设备与AD单点登录服务路由可达,并在设备上配置基于HTTP的RESTful的相关功能,设备状态才能显示为可达。
由于设备状态的查询和更新需要一定时间,因此在服务刚启动或新添加设备时,设备状态出现短暂不稳定现象属正常情况。
图1-37 设备状态图
(8) 添加AD域控制器,在AD单点登录服务启动后,需要在“AD单点登录服务”管理页面的“AD域控制器”栏下,单击<添加>按钮,进行添加AD域控制器,如下图所示。
添加AD域控制器是为了AD服务器上的支持多域控用户上线。
图1-38 添加AD域控制器页面图
(9) 配置AD域控制器信息,在“添加AD域控制器”页面,配置完参数信息后,单击<确定>按钮,完成AD域控制器添加,如下图所示。
配置参数解释如下表所示
表1-4 配置参数解释表
|
参数名 |
说明 |
|
名称 |
自定义AD域控制器的名称,本文以AD-1为例 |
|
服务器地址 |
配置AD域控制器的IP地址,本文以190.166.13.148为例 |
|
用户路径 |
AD域控制器的用户路径,本文以dc=14890test,dc=com为例 |
|
用户名 |
AD域控制器登录的用户名,本文以Administrator为例 |
|
密码 |
AD域控制器登录用户名的密码,本文以admin为例 |
图1-39 添加AD域控制器页面图
(10) AD域控制器添加完成后,在“AD单点登录服务”管理页面,可看到AD域控制器的状态为“已连接”,如下图所示。
添加AD域控制器后,需要保证AD域控制器与AD单点登录服务路由可达。
由于AD域控制器状态的查询和更新需要一定时间,因此在服务刚启动或新添加AD域控制器时,AD域控制器状态出现短暂不稳定现象属正常情况。
图1-40 AD域控制器状态图
(11) 如果需要两台AD单点登录服务互为备份,则需要在配置“修改AD单点登录服务参数”时填写备份AD单点登录服务的服务器IP地址和服务端口,连接成功后最终的状态如下图所示。
图1-41 AD单点登录服务状态图
当用户登录成功后将登录脚本下发给用户主机,用于收集并上送用户的身份信息。登录脚本的具体配置步骤如下:
(1) 选择“开始 > 管理工具 > 组策略管理”,进入“组策略管理”页面。如下图所示:
图1-42 组策略管理页面图
(2) 在“组策略管理”页面,选择需要监控的域(本文以abc.com域为例),选中“Default Domain Policy”右击选择“编辑”,进入“组策略管理编辑器”页面。如下图所示:
图1-43 组策略管理页面图
(3) 在“组策略管理编辑器”页面,依次选择“用户配置 > Windows设置 > 脚本(登录/注销)”,在脚本(登录/注销)中双击“登录”,进入“登录属性”页面。如下图所示:
图1-44 组策略管理页面图
(4) 在“登录属性”页面,单击<显示文件>按钮,进入“Logon”文件夹。如下图所示:
图1-45 登录属性页面图
(5) 将AD单点登录服务软件安装路径下中的“reportlogin.exe”软件复制到“Logon”文件夹。如下图所示:
图1-46 Logon文件夹页面图
(6) 在“登录属性”页面,单击<添加>按钮,进入“添加脚本”页面。如下图所示:
图1-47 登录属性页面图
(7) 在“添加脚本”页面,单击<浏览>按钮,在弹出的文件夹选中“reportlogin.exe”软件,然后单击<打开>按钮。如下图所示:
图1-48 添加脚本页面图
(8) 在“添加脚本”页面,配置所需要的脚本参数信息(本文以IP地址是192.168.100.244,端口是8826为例),单击<确定>按钮,完成登录脚本的添加。如下图所示:
有关“脚本参数”的格式和说明,请参见1.7.3 AD单点登录脚本配置参数说明。
具体的脚本参数值请参照AD单点登录服务配置参数的实际值,本文仅以脚本类型是登录、AD单点登录服务器的IP地址是192.168.100.244、AD单点登录服务的端口是8826为例。
图1-49 添加脚本页面图
(9) 在“登录属性”页面,单击<确定>按钮,完成登录属性的配置。如下图所示:
图1-50 登录属性页面图
当用户注销时将注销脚本下发给用户主机,用于收集并上传用户下线时的身份信息。注销脚本的配置方法与登录脚本的配置方法类似,注销脚本的具体配置步骤,请参见中1.7.1 配置AD单点登录的登录脚本的具体配置步骤。
配置完毕登录和注销脚本后,需要在AD服务器的控制台中执行gpupdate /force命令刷新策略。如下图所示:
图1-51 执行gpupdate /force命令刷新策略图
脚本配置参数格式为如下两种情况:
--type type-value --ip ip-value --port port-value
--type type-value --ip ip-value --port port-value --backup-ip ip-value --backup-port port-value
表1-5 AD单点登录脚本配置参数说明表
|
参数名 |
说明 |
|
--type |
表示脚本的类型,取值包括如下: · 1:表示登录 · 2:表示注销 |
|
--ip |
表示AD单点登录服务器的IP地址 |
|
--port |
表示AD单点登录服务的端口 |
|
--backup-ip |
表示AD单点登录备份服务器的IP地址 |
|
--backup-port |
表示AD单点登录备份服务的端口 |
为使设备与AD域控制器正常通信,使设备可以从AD域控制器同步到全量的身份识别用户。设备上的配置具体如下:
# 进入系统视图。
<Device> system-view
# 创建LDAP服务器ldap。
[Device] ldap server ldap
# 配置LDAP认证服务器的IP地址为AD域控制器的IP地址192.168.100.244。
[Device-ldap-server-ldap] ip 192.168.100.244
# 配置具有管理员权限的用户DN。
[Device-ldap-server-ldap] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理员权限的用户密码为明文的Admin@1234。
[Device-ldap-server-ldap] login-password simple Admin@1234
# 配置查询用户的起始目录。
[Device-ldap-server-ldap] search-base-dn dc=ldap,dc=com
# 配置发送给服务器的用户名带ISP域名。
[Device-ldap-server-ldap] user-parameters user-name-format with-domain
[Device-ldap-server-ldap] quit
# 创建LDAP属性映射表ldap,并配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性User group。
[Device] ldap attribute-map ldap
[Device-ldap-attr-map-ldap] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-ldap] quit
# 创建LDAP方案ldap,然后配置认证服务器、引用的LDAP属性映射表。
[Device] ldap scheme ldap
[Device-ldap-ldap] authentication-server ldap
[Device-ldap-ldap] attribute-map ldap
[Device-ldap-ldap] quit
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建身份识别用户导入策略policy1,并进入身份识别用户导入策略视图。
[Device] user-identity user-import-policy policy1
# 配置自动导入身份识别用户账户的周期为1小时。
[Device-identity-user-impt-policy-policy1] account-update-interval 1
# 指定LDAP方案。
[Device-identity-user-impt-policy-policy1] ldap-scheme ldap
[Device-identity-user-impt-policy-policy1] quit
# 开启策略policy1的身份识别用户账户自动导入功能。
[Device] user-identity user-account auto-import policy policy1
AD单点登录服务配置的用户名密码必须与设备配置的RESTful登录用户的用户名密码保持一致,且设备上RESTful登录用户的密码必须是simple类型。此处仅以用户名是admin、密码是Admin@1234为例。
为使AD单点登录服务与设备正常通信,需要在设备上配置通过RESTful登录设备。设备上的配置具体如下:
# 开启HTTP功能。
[Device] ip http enable
# 开启基于HTTP的RESTful功能。
[Device] restful http enable
# 创建本地管理用户admin用于RESTful登录,并进入本地管理用户视图。
[Device] local-user admin class manage
# 设置本地管理用户admin的密码为明文Admin@1234。
[Device-luser-manage-admin] password simple Admin@1234
# 配置RESTful用户的服务类型为HTTP。
[Device-luser-manage-admin] service-type http
# 配置RESTful用户的角色。
[Device-luser-manage-admin] authorization-attribute user-role network-admin
[Device-luser-manage-admin] quit
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建名称为adsso的RESTful服务器,并进入该服务器视图。
[Device] user-identity restful-server adsso
# 指定向RESTful服务器adsso请求网络接入类在线用户信息的URI为http://192.168.100.244:8826/adsso/aduser/onlineUser。
[Device-restfulserver-adsso] uri get-online-user "http://192.168.100.244:8826/adsso/aduser/onlineUser"
[Device-restfulserver-adsso] quit
# 配置用户导入策略。
[Device] user-identity user-import-policy policy1
# 在身份识别用户导入策略policy1中,指定名称为adsso的RESTful服务器。
[Device-identity-user-impt-policy-policy1] restful-server adsso
[Device-identity-user-impt-policy-policy1] quit
有关通过RESTful登录设备功能的详细介绍,请参见“基础配置配置指导”中的“登录设备”。
(1) 故障描述
备份AD单点登录服务列表中,备份AD服务器连接状态显示“断开连接”。
图1-52 备份AD单点登录服务断开连接图
(2) 常见原因
本故障的常见原因主要包括:
· 两个AD单点登录服务的主备服务配置有误
· 对应的备份AD单点登录服务运行异常
(3) 故障分析
首先检查两个AD单点登录服务的配置是否互为备份,互为备份的情况下,心跳状态才能正常建立。
互为备份的情况下,检查备份服务的是否正常运行,保证两个服务正常运行。
(4) 处理步骤
1、检查两个AD单点登录服务配置是否互为备份
图1-53 两个互为备份的服务配置图
2、检查两个AD单点登录服务的运行状态是否为已启动
图1-54 正常运行的服务状态图
(1) 故障描述
设备列表中,设备状态显示“不可达”。
图1-55 设备状态异常图
(2) 常见原因
本故障的常见原因主要包括:
· 防火墙设备本身异常,导致AD单点登录服务与防火墙无法通信
· 设备列表中配置的用户名密码与设备上的用户名密码不一致
(3) 故障分析
首先检查防火墙设备是否正常运行。
防火墙设备是正常运行的情况下,检查配置的用户名密码是否和防火墙上的用户名密码一致。
(4) 处理步骤
1、 检查防火墙是否正常运行,通信是否正常。服务器和设备之间Ping包是否能通
2、 检查用户名密码和防火墙上的用户名密码是否一致
使用设备列表中配置的用户名密码去登录防火墙,看是否能登录成功,若不成功,请修改AD单点登录服务中设备的用户名密码和防火墙一致。
(1) 故障描述
AD域控制器列表中,域控状态显示“断开连接”。
图1-56 域控状态异常图
(2) 常见原因
本故障的常见原因主要包括:
· AD域控制器本身异常,导致AD单点登录服务与AD域控制器无法通信
· AD域控制器列表中配置的用户名密码与AD域控制器实际的用户名密码不一致
(3) 故障分析
首先检查AD域控制器是否正常运行。
AD域控制器是正常运行的情况下,检查AD域控制器配置列表的用户名密码是否和AD域控制器实际的用户名密码一致。
(4) 处理步骤
1、 检查AD域控制器是否正常运行,通信是否正常。服务器和AD域控制器之间Ping包是否能通
2、 检查AD域控制器列表中配置的用户名密码与AD域控制器实际的用户名密码是否一致
使用AD域控制器列表中配置的用户名密码去登录AD域控制器,看是否能登录成功,若不成功,请修改AD域控制器列表中配置的用户名密码与AD域控制器实际的用户名密码一致。
如图1-57所示,用户将用户名和密码发送给AD(Active Directory)服务器进行认证,认证通过后,AD服务器将用户的身份信息(如用户名、IP地址等)同步给Device,使Device能够获得用户名和IP地址的对应关系。
用户通过AD服务器的认证后,即可直接访问网络资源(设备安全策略中对该用户配置了放行策略),而无需Device再次认证。
具体需求如下:
· 在安全策略规则中放行域用户test1的报文,此时,域用户test1通过AD单点登录后可以访问外网111.1.1.2
· 在安全策略规则中未放行域用户test2的报文时,域用户test2通过AD单点登录后不可以访问外网111.1.1.2
· 在安全策略规则中放行域用户test2的报文时,域用户test2通过AD单点登录后可以访问外网111.1.1.2
图1-57 AD单点登录组网图
本举例是在H3C SecPath F5030-D的B64D060SP26版本上进行配置和验证的。
本举例中的LDAP服务器是在Microsoft Windows Server 2012 R2的Active Directory中进行配置的。
本举例的AD单点登录软件使用的软件版本为V001R003。
本文档假设您已了解LDAP特性,并安装好了AD单点登录服务软件及相关软件、插件和脚本。
1. 创建用户组
选择“开始 > 管理工具 > Active Directory用户和计算机”,进入“Active Directory用户管理界面”,
在Active Directory用户管理界面的左侧导航树中,单击“ldap.com”,右键单击“Users”,新建组“ldap_usergroup”。
图1-58 新建用户组
图1-59 填写组名
2. 创建用户
选择“开始 > 管理工具 > Active Directory用户和计算机”,进入“Active Directory用户管理界面”,
在Active Directory用户管理界面的左侧导航树中,右键单击“ldap.com”,新建组织单位“ldap_usergroup”。
图1-60 新建组织单位
图1-61 组织单位名称
右键单击“ldap_usergroup”,新建用户,参数配置如下图所示
图1-62 新建用户
图1-63 填写用户信息
图1-64 设置密码
图1-65 完成用户创建
右键单击创建的用户“test1”,选择属性,设置该用户隶属于用户组“ldap_usergroup”。
图1-66 设置用户属性
完成test1用户创建后,以同样的方法创建test2。
图1-67 创建的用户test2
(1) 打开H3C AD单点登录服务软件。单击左上角的修改配置,选择“修改H3C AD单点登录服务参数”,如下图所示。
图1-68 AD单点登录服务
(2) 配置AD单点登录服务参数,如下图所示。配置完成后单击<确定>按钮。
图1-69 配置AD单点登录服务参数
(3) 单击<启动>按钮启动服务。
图1-70 启动AD单点登录服务
(4) 单击<添加>按钮,进入<添加设备>页面,具体配置参数如下图所示,单击<确定>按钮,完成添加设备。
添加的用户test必须是Device上创建好的超级管理员用户。
图1-71 添加设备
(5) 添加成功后,设备状态为先为不可达,待设备相关配置完成后,设备状态将转换为可达,如下图所示。
图1-72 查看设备状态
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.200.102 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置安全域
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备到达外网服务器111.1.1.2/24的下一跳为111.2.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 111.1.1.2 24 111.2.1.2
(4) 配置安全策略放行Trust与Local安全域、Untrust与Trust安全域之间的流量,用于设备与AD Server互通,以及放通用户访问Server的流量。
# 配置名称为userlocalout1的安全策规则,使Device可以向AD域控制器和AD单点登录服务发送报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name userlocalout1
[Device-security-policy-ip-1-userlocalout1] source-zone local
[Device-security-policy-ip-1-userlocalout1] destination-zone trust
[Device-security-policy-ip-1-userlocalout1] source-ip-host 192.168.200.102
[Device-security-policy-ip-1-userlocalout1] destination-ip-host 192.168.200.247
[Device-security-policy-ip-1-userlocalout1] action pass
[Device-security-policy-ip-1-userlocalout1] quit
# 配置名称为userlocalin1的安全策略规则,使AD域控制器和AD单点登录服务可以向Device发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name userlocalin1
[Device-security-policy-ip-2-userlocalin1] source-zone trust
[Device-security-policy-ip-2-userlocalin1] destination-zone local
[Device-security-policy-ip-2-userlocalin1] source-ip-host 192.168.200.247
[Device-security-policy-ip-2-userlocalin1] destination-ip-host 192.168.200.102
[Device-security-policy-ip-2-userlocalin1] action pass
[Device-security-policy-ip-2-userlocalin1] quit
# 配置名称为trust-untrust的安全策规则,使用户test1可以访问Server,具体配置步骤如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-3-untrust-trust] source-zone trust
[Device-security-policy-ip-3-untrust-trust] destination-zone untrust
[Device-security-policy-ip-3-untrust-trust] source-ip-subnet 192.168.200.0 24
[Device-security-policy-ip-3-untrust-trust] destination-ip-host 111.1.1.2
[Device-security-policy-ip-3-untrust-trust] user test1 domain ldap.com
[Device-security-policy-ip-3-untrust-trust] action pass
[Device-security-policy-ip-3-untrust-trust] quit
# 配置名称为untrust-trust的安全策略规则,使Server可以向用户发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-4-trust-untrust] source-zone untrust
[Device-security-policy-ip-4-trust-untrust] destination-zone trust
[Device-security-policy-ip-4-trust-untrust] source-ip-host 111.1.1.2
[Device-security-policy-ip-4-trust-untrust] destination-ip-subnet 192.168.200.0 24
[Device-security-policy-ip-4-trust-untrust] action pass
[Device-security-policy-ip-4-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置设备通过AD域控制器获取全量用户信息
# 创建LDAP服务器ldap。
[Device] ldap server ldap
# 配置LDAP认证服务器的IP地址为AD域控制器的IP地址192.168.200.247。
[Device-ldap-server-ldap] ip 192.168.200.247
# 配置具有管理员权限的用户DN。
[Device-ldap-server-ldap] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理员权限的用户密码为明文的Admin@1234。
[Device-ldap-server-ldap] login-password simple Admin@1234
# 配置查询用户的起始目录。
[Device-ldap-server-ldap] search-base-dn dc=ldap,dc=com
# 配置发送给服务器的用户名带ISP域名。
[Device-ldap-server-ldap] user-parameters user-name-format with-domain
[Device-ldap-server-ldap] quit
# 创建LDAP属性映射表ldap,并配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性User group。
[Device] ldap attribute-map ldap
[Device-ldap-attr-map-ldap] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-ldap] quit
# 创建LDAP方案ldap,然后配置认证服务器、引用的LDAP属性映射表。
[Device] ldap scheme ldap
[Device-ldap-ldap] authentication-server ldap
[Device-ldap-ldap] attribute-map ldap
[Device-ldap-ldap] quit
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建身份识别用户导入策略policy1,并进入身份识别用户导入策略视图。
[Device] user-identity user-import-policy policy1
# 配置自动导入身份识别用户账户的周期为1小时。
[Device-identity-user-impt-policy-policy1] account-update-interval 1
# 指定LDAP方案
[Device-identity-user-impt-policy-policy1] ldap-scheme ldap
[Device-identity-user-impt-policy-policy1] quit
# 开启策略policy1的身份识别用户账户自动导入功能。
[Device] user-identity user-account auto-import policy policy1
(6) 配置设备通过AD单点登录服务获取在线用户信息
# 开启HTTP功能。
[Device] ip http enable
# 开启基于HTTP的RESTful功能。
[Device] restful http enable
# 创建本地管理用户test用于RESTful登录,并进入本地管理用户视图。
[Device] local-user test class manage
# 设置本地管理用户admin的密码为明文Admin@1234。
[Device-luser-manage-test] password simple Admin@1234
# 配置RESTful用户的服务类型为HTTP。
[Device-luser-manage-test] service-type http
# 配置RESTful用户的角色。
[Device-luser-manage-test] authorization-attribute user-role network-admin
[Device-luser-manage-test] quit
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建名称为adsso的RESTful服务器,并进入该服务器视图。
[Device] user-identity restful-server adsso
# 指定向RESTful服务器adsso请求网络接入类在线用户信息的URI为http://192.168.200.247:8826/adsso/aduser/onlineUser。
[Device-restfulserver-adsso] uri get-online-user "http://192.168.200.247:8826/adsso/aduser/onlineUser"
[Device-restfulserver-adsso] quit
# 配置用户导入策略。
[Device] user-identity user-import-policy policy1
# 在身份识别用户导入策略policy1中,指定名称为adsso的RESTful服务器。
[Device-identity-user-impt-policy-policy1] restful-server adsso
[Device-identity-user-impt-policy-policy1] quit
(1) 在已加入域ldap.com的PC上,使用域用户test1登录,如下图所示。
图1-73 输入用户凭证
(2) 域用户test1登录成功后,查看AD服务器在线人数,如下图所示。
图1-74 AD单点登录服务
(3) 登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图1-75 在线用户
(4) 在test1用户登录的PC上Ping外网地址111.1.1.2,可以Ping通,表示用户test1可以访问外网111.1.1.2,满足组网需求。
C:\Users\test1>ping 111.1.1.2 –t
Pinging 111.1.1.2 with 32 bytes of data:
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
(1) 登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,安全策略中仅放行LDAP域用户test1的报文,如下图所示:
图1-76 安全策略
(2) 在已加入域ldap.com的PC上用域用户test2登录,如下图所示。
图1-77 域账号登录
(3) 域用户test2登录成功后,查看AD服务器的在线人数,如下图所示。
图1-78 AD单点登录服务
(4) 登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图1-79 在线用户
(5) 在PC上Ping外网地址111.1.1.2,无法Ping通,表示用户test2不可以访问外网,满足组网需求。
C:\Users\test2>ping 111.1.1.2 –t
Pinging 111.1.1.2 with 32 bytes of data:
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
(1) 登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,如下图所示。策略中仅放行用户test1的报文,所以域用户test2的报文被丢弃,不能访问外网。
图1-80 安全策略
(2) 如需域用户test2也可以访问外网111.1.1.2,可在安全策略中加入test2域用户,如下图所示。
图1-81 安全策略
(3) 再次在PC上Ping外网地址111.1.1.2,可以Ping通,表示用户test2也可以访问外网。
C:\Users\test2>ping 111.1.1.2 –t
Pinging 111.1.1.2 with 32 bytes of data:
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
Reply from 111.1.1.2: bytes=32 time<1ms TTL=254
#
interface GigabitEthernet1/0/1
ip address 192.168.200.102 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 111.2.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
ip route-static 111.1.1.0 24 111.2.1.2
#
ldap server ldap
login-dn cn=administrator,cn=users,dc=ldap,dc=com
search-base-dn dc=ldap,dc=com
ip 192.168.200.247
login-password simple Admin@1234
user-parameters user-name-format with-domain
#
ldap scheme ldap
authentication-server ldap
attribute-map ldap
#
ldap attribute-map ldap
map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
#
local-user test class manage
password simple Admin@1234
service-type http
authorization-attribute user-role network-admin
#
restful http enable
#
ip http enable
#
user-identity enable
user-identity user-account auto-import policy policy1
#
user-identity restful-server adsso
uri get-online-user http://192.168.200.247:8826/adsso/aduser/onlineUser
#
user-identity user-import-policy policy1
account-update-interval 1
restful-server adsso
ldap-scheme ldap
#
security-policy ip
rule 1 name userlocalout1
action pass
source-zone local
destination-zone trust
source-ip-host 192.168.200.102
destination-ip-host 192.168.200.247
rule 2 name userlocalin1
action pass
source-zone trust
destination-zone local
source-ip-host 192.168.200.247
destination-ip-host 192.168.200.102
rule 3 name trust-untrust
action pass
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.200.0 255.255.255.0
destination-ip-host 111.1.1.2
user test1 domain ldap.com
rule 4 name untrust-trust
action pass
source-zone untrust
destination-zone trust
source-ip-host 111.1.1.2
destination-ip-subnet 192.168.200.0 255.255.255.0
#
如图1-82所示,用户将用户名和密码发送给AD域控制器(ADDC)进行认证,认证通过后,用户将身份信息(如用户名、IP地址等)同步给AD单点登录服务(ADSSO),AD单点登录服务将用户的身份信息同步给Device,使Device能够获得用户名和IP地址的对应关系。
用户通过AD单点登录的认证后,即可直接访问网络资源(设备安全策略中对该用户配置了放行策略),而无需Device再次认证。
具体需求如下:
· 在安全策略规则中放行域用户test1的报文,此时,域用户test1通过AD单点登录后可以访问外网200.2.1.1
· 在安全策略规则中未放行域用户test2的报文时,域用户test2通过AD单点登录后不可以访问外网200.2.1.1
· 在安全策略规则中放行域用户test2的报文时,域用户test2通过AD单点登录后可以访问外网200.2.1.1
图1-82 AD单点登录组网图
AD单点登录服务(ADSSO)和AD域控制器(ADDC)可以安装在同一台服务器也可以安装在不同服务器上,这里安装在不同的服务器上便于理解。
本举例是在H3C SecPath F5030-D的B64D060SP26版本上进行配置和验证的。
本举例中的LDAP服务器是在Microsoft Windows Server 2012 R2的Active Directory中进行配置的。
本举例的AD单点登录软件使用的软件版本为V002R002。
本文档假设您已了解LDAP特性,并安装好了AD单点登录服务软件及相关软件、插件和脚本。
(1) 创建用户
选择“开始 > 管理工具 > Active Directory用户和计算机”,进入“Active Directory用户管理界面”,
在Active Directory用户管理界面的左侧导航树中,单击“ldap.com”,右键单击“Users”,新建用户“test1”。
图1-83 新建用户组
图1-84 填写用户信息
图1-85 设置密码
图1-86 完成用户创建
完成test1用户创建后,以同样的方法创建test2。
图1-87 创建的用户test2
(1) 打开H3C AD单点登录服务软件。单击左上角的修改配置,选择“修改H3C AD单点登录服务参数”,如下图所示。
图1-88 AD单点登录服务
(2) 配置AD单点登录服务参数,如下图所示。配置完成后单击<确定>按钮。
图1-89 配置AD单点登录服务参数
(3) 单击<启动>按钮启动服务。
图1-90 启动AD单点登录服务
(4) 在AD域控制器栏下方单击<添加>按钮,进入<添加域控>页面,具体配置参数如下图所示,单击<确定>按钮,完成添加AD域控制器。
添加的用户Administrator必须是AD域控制器上创建好的管理员用户。
图1-91 添加域控
(5) 在设备栏下方单击<添加>按钮,进入<添加设备>页面,具体配置参数如下图所示,单击<确定>按钮,完成添加设备。
添加的用户test必须是Device上创建好的超级管理员用户。
图1-92 添加设备
(6) 添加成功后,设备状态为先为不可达,待设备相关配置完成后,设备状态将转换为可达,如下图所示。
图1-93 查看设备状态
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置安全域
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备到达外网服务器200.2.1.1/24的下一跳为200.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 200.2.1.1 24 200.1.1.2
(4) 配置安全策略放行Trust与Local安全域、Untrust与Trust安全域之间的流量,用于设备与AD Server互通,以及放通用户访问Server的流量。
# 配置名称为userlocalout1的安全策规则,使Device可以向AD域控制器和AD单点登录服务发送报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name userlocalout1
[Device-security-policy-ip-1-userlocalout1] source-zone local
[Device-security-policy-ip-1-userlocalout1] destination-zone trust
[Device-security-policy-ip-1-userlocalout1] source-ip-host 192.168.1.1
[Device-security-policy-ip-1-userlocalout1] destination-ip-host 192.168.1.2
[Device-security-policy-ip-1-userlocalout1] destination-ip-host 192.168.1.3
[Device-security-policy-ip-1-userlocalout1] action pass
[Device-security-policy-ip-1-userlocalout1] quit
# 配置名称为userlocalin1的安全策略规则,使AD域控制器和AD单点登录服务可以向Device发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name userlocalin1
[Device-security-policy-ip-2-userlocalin1] source-zone trust
[Device-security-policy-ip-2-userlocalin1] destination-zone local
[Device-security-policy-ip-2-userlocalin1] source-ip-host 192.168.1.2
[Device-security-policy-ip-2-userlocalin1] source-ip-host 192.168.1.3
[Device-security-policy-ip-2-userlocalin1] destination-ip-host 192.168.1.1
[Device-security-policy-ip-2-userlocalin1] action pass
[Device-security-policy-ip-2-userlocalin1] quit
# 配置名称为trust-untrust的安全策规则,使用户test1可以访问Server,具体配置步骤如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-3-untrust-trust] source-zone trust
[Device-security-policy-ip-3-untrust-trust] destination-zone untrust
[Device-security-policy-ip-3-untrust-trust] source-ip-subnet 192.168.1.1 24
[Device-security-policy-ip-3-untrust-trust] destination-ip-host 200.2.1.1
[Device-security-policy-ip-3-untrust-trust] user test1 domain ldap.com
[Device-security-policy-ip-3-untrust-trust] action pass
[Device-security-policy-ip-3-untrust-trust] quit
# 配置名称为untrust-trust的安全策略规则,使Server可以向用户发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-4-trust-untrust] source-zone untrust
[Device-security-policy-ip-4-trust-untrust] destination-zone trust
[Device-security-policy-ip-4-trust-untrust] source-ip-host 200.2.1.1
[Device-security-policy-ip-4-trust-untrust] destination-ip-subnet 192.168.1.1 24
[Device-security-policy-ip-4-trust-untrust] action pass
[Device-security-policy-ip-4-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置设备通过AD域控制器获取全量用户信息
# 创建LDAP服务器ldap。
[Device] ldap server ldap
# 配置LDAP认证服务器的IP地址为AD域控制器的IP地址192.168.1.2。
[Device-ldap-server-ldap] ip 192.168.1.2
# 配置具有管理员权限的用户DN。
[Device-ldap-server-ldap] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理员权限的用户密码为明文的Admin@1234。
[Device-ldap-server-ldap] login-password simple Admin@1234
# 配置查询用户的起始目录。
[Device-ldap-server-ldap] search-base-dn dc=ldap,dc=com
# 配置发送给服务器的用户名带ISP域名。
[Device-ldap-server-ldap] user-parameters user-name-format with-domain
[Device-ldap-server-ldap] quit
# 创建LDAP属性映射表ldap,并配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性User group。
[Device] ldap attribute-map ldap
[Device-ldap-attr-map-ldap] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-ldap] quit
# 创建LDAP方案ldap,然后配置认证服务器、引用的LDAP属性映射表。
[Device] ldap scheme ldap
[Device-ldap-ldap] authentication-server ldap
[Device-ldap-ldap] attribute-map ldap
[Device-ldap-ldap] quit
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建身份识别用户导入策略policy1,并进入身份识别用户导入策略视图。
[Device] user-identity user-import-policy policy1
# 配置自动导入身份识别用户账户的周期为1小时。
[Device-identity-user-impt-policy-policy1] account-update-interval 1
# 指定LDAP方案
[Device-identity-user-impt-policy-policy1] ldap-scheme ldap
[Device-identity-user-impt-policy-policy1] quit
# 开启策略policy1的身份识别用户账户自动导入功能。
[Device] user-identity user-account auto-import policy policy1
(6) 配置设备通过AD单点登录服务获取在线用户信息
# 开启HTTP功能。
[Device] ip http enable
# 开启基于HTTP的RESTful功能。
[Device] restful http enable
# 创建本地管理用户test用于RESTful登录,并进入本地管理用户视图。
[Device] local-user test class manage
# 设置本地管理用户admin的密码为明文Admin@1234。
[Device-luser-manage-test] password simple Admin@1234
# 配置RESTful用户的服务类型为HTTP。
[Device-luser-manage-test] service-type http
# 配置RESTful用户的角色。
[Device-luser-manage-test] authorization-attribute user-role network-admin
[Device-luser-manage-test] quit
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建名称为adsso的RESTful服务器,并进入该服务器视图。
[Device] user-identity restful-server adsso
# 指定向RESTful服务器adsso请求网络接入类在线用户信息的URI为http://192.168.1.3:8826/adsso/aduser/onlineUser。
[Device-restfulserver-adsso] uri get-online-user "http://192.168.1.3:8826/adsso/aduser/onlineUser"
[Device-restfulserver-adsso] quit
# 配置用户导入策略。
[Device] user-identity user-import-policy policy1
# 在身份识别用户导入策略policy1中,指定名称为adsso的RESTful服务器。
[Device-identity-user-impt-policy-policy1] restful-server adsso
[Device-identity-user-impt-policy-policy1] quit
(1) 在已加入域ldap.com的Host上,使用域用户test1登录,如下图所示。
图1-94 输入用户凭证
(2) 域用户test1登录成功后,查看AD单点登录服务在线人数,如下图所示。
图1-95 AD单点登录服务
(3) 登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图1-96 在线用户
(4) 在test1用户登录的Host上Ping外网地址200.2.1.1,可以Ping通,表示用户test1可以访问外网200.2.1.1,满足组网需求。
C:\Users\test1>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
(1) 登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,安全策略中仅放行LDAP域用户test1的报文,如下图所示:
图1-97 安全策略
(2) 在已加入域ldap.com的Host上用域用户test2登录,如下图所示。
图1-98 域账号登录
(3) 域用户test2登录成功后,查看AD服务器的在线人数,如下图所示。
图1-99 AD单点登录服务
(4) 登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图1-100 在线用户
(5) 在Host上Ping外网地址200.2.1.1,无法Ping通,表示用户test2不可以访问外网,满足组网需求。
C:\Users\test2>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
(1) 登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,如下图所示。策略中仅放行用户test1的报文,所以域用户test2的报文被丢弃,不能访问外网。
图1-101 安全策略
(2) 如需域用户test2也可以访问外网200.2.1.1,可在安全策略中加入test2域用户,如下图所示。
图1-102 安全策略
(3) 再次在Host上Ping外网地址200.2.1.1,可以Ping通,表示用户test2也可以访问外网。
C:\Users\test2>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
#
interface GigabitEthernet1/0/1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 200.1.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
ip route-static 200.2.1.0 24 200.1.1.2
#
ldap server ldap
login-dn cn=administrator,cn=users,dc=ldap,dc=com
search-base-dn dc=ldap,dc=com
ip 192.168.1.2
login-password simple Admin@1234
user-parameters user-name-format with-domain
#
ldap scheme ldap
authentication-server ldap
attribute-map ldap
#
ldap attribute-map ldap
map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
#
local-user test class manage
password simple Admin@1234
service-type http
authorization-attribute user-role network-admin
#
restful http enable
#
ip http enable
#
user-identity enable
user-identity user-account auto-import policy policy1
#
user-identity restful-server adsso
uri get-online-user http://192.168.1.3:8826/adsso/aduser/onlineUser
#
user-identity user-import-policy policy1
account-update-interval 1
restful-server adsso
ldap-scheme ldap
#
security-policy ip
rule 1 name userlocalout1
action pass
source-zone local
destination-zone trust
source-ip-host 192.168.1.1
destination-ip-host 192.168.1.2
destination-ip-host 192.168.1.3
rule 2 name userlocalin1
action pass
source-zone trust
destination-zone local
source-ip-host 192.168.1.2
source-ip-host 192.168.1.3
destination-ip-host 192.168.1.1
rule 3 name trust-untrust
action pass
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.1.0 255.255.255.0
destination-ip-host 200.2.1.1
user test1 domain ldap.com
rule 4 name untrust-trust
action pass
source-zone untrust
destination-zone trust
source-ip-host 200.2.1.1
destination-ip-subnet 192.168.1.0 255.255.255.0
如图1-103所示,用户将用户名和密码发送给AD域控制器(ADDC)进行认证,认证通过后,用户将身份信息(如用户名、IP地址等)同步给AD单点登录服务(ADSSO),AD单点登录服务将用户的身份信息同步给Device,使Device能够获得用户名和IP地址的对应关系。
用户通过AD单点登录的认证后,即可直接访问网络资源(设备安全策略中对该用户配置了放行策略),而无需Device再次认证。
具体需求如下:
· 在安全策略规则中放行域用户test1、test3的报文,此时,域用户test1通过AD单点登录后可以访问外网200.2.1.1
· 在安全策略规则中未放行域用户test2、test4的报文时,域用户test2通过AD单点登录后不可以访问外网200.2.1.1
· 在安全策略规则中放行域用户test2、test4的报文时,域用户test2、test4通过AD单点登录后可以访问外网200.2.1.1
· 当任意一个AD单点登录服务存在故障,用户依然可以正常登录并访问外网200.2.1.1
图1-103 AD单点登录组网图
AD单点登录服务(ADSSO)和AD域控制器(ADDC)可以安装在同一台服务器也可以安装在不同服务器上,这里安装在不同的服务器上便于理解。
本举例是在H3C SecPath F5030-D的B64D060SP26版本上进行配置和验证的。
本举例中的LDAP服务器是在Microsoft Windows Server 2012 R2的Active Directory中进行配置的。
本举例的AD单点登录软件使用的软件版本为V002R002。
本文档假设您已了解LDAP特性,并安装好了AD单点登录服务软件及相关软件、插件和脚本。
(1) 创建用户
选择“开始 > 管理工具 > Active Directory用户和计算机”,进入“Active Directory用户管理界面”,
在Active Directory用户管理界面的左侧导航树中,单击“ldap.com”,右键单击“Users”,新建用户“test1”。
图1-104 新建用户组
图1-105 填写用户信息
图1-106 设置密码
图1-107 完成用户创建
完成test1用户创建后,以同样的方法创建test2。
图1-108 创建的用户test2
完成test1、test2用户创建后,以同样的方法在ADDC2上创建test3、test4。
(1) 打开H3C AD单点登录服务软件。单击左上角的修改配置,选择“修改H3C AD单点登录服务参数”,如下图所示。
图1-109 AD单点登录服务
(2) 配置AD单点登录服务参数,如下图所示。配置完成后单击<确定>按钮。
图1-110 配置AD单点登录服务参数
(3) 单击<启动>按钮启动服务。
图1-111 启动AD单点登录服务
(4) 在AD域控制器栏下方单击<添加>按钮,进入<添加域控>页面,具体配置参数如下图所示,单击<确定>按钮,完成添加AD域控制器。
添加的用户Administrator必须是AD域控制器上创建好的管理员用户。
图1-112 添加域控
(5) 在设备栏下方单击<添加>按钮,进入<添加设备>页面,具体配置参数如下图所示,单击<确定>按钮,完成添加设备。
添加的用户test必须是Device上创建好的超级管理员用户。
图1-113 添加设备
(6) 添加成功后,设备状态为先为不可达,待设备相关配置完成后,设备状态将转换为可达,如下图所示。
图1-114 查看设备状态
(7) 另一个AD单点登录服务的“AD单点登录服务”和“备份-AD单点登录服务”参数互换,其他配置与上面的配置一致。
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 配置安全域
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备到达外网服务器200.2.1.1/24的下一跳为200.1.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 200.2.1.1 24 200.1.1.2
(4) 配置安全策略放行Trust与Local安全域、Untrust与Trust安全域之间的流量,用于设备与AD Server互通,以及放通用户访问Server的流量。
# 配置名称为userlocalout1的安全策规则,使Device可以向AD域控制器和AD单点登录服务发送报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name userlocalout1
[Device-security-policy-ip-1-userlocalout1] source-zone local
[Device-security-policy-ip-1-userlocalout1] destination-zone trust
[Device-security-policy-ip-1-userlocalout1] source-ip-host 192.168.1.1
[Device-security-policy-ip-1-userlocalout1] destination-ip-host 192.168.1.2
[Device-security-policy-ip-1-userlocalout1] destination-ip-host 192.168.1.3
[Device-security-policy-ip-1-userlocalout1] destination-ip-host 192.168.1.4
[Device-security-policy-ip-1-userlocalout1] destination-ip-host 192.168.1.5
[Device-security-policy-ip-1-userlocalout1] action pass
[Device-security-policy-ip-1-userlocalout1] quit
# 配置名称为userlocalin1的安全策略规则,使AD域控制器和AD单点登录服务可以向Device发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name userlocalin1
[Device-security-policy-ip-2-userlocalin1] source-zone trust
[Device-security-policy-ip-2-userlocalin1] destination-zone local
[Device-security-policy-ip-2-userlocalin1] source-ip-host 192.168.1.2
[Device-security-policy-ip-2-userlocalin1] source-ip-host 192.168.1.3
[Device-security-policy-ip-2-userlocalin1] source-ip-host 192.168.1.4
[Device-security-policy-ip-2-userlocalin1] source-ip-host 192.168.1.5
[Device-security-policy-ip-2-userlocalin1] destination-ip-host 192.168.1.1
[Device-security-policy-ip-2-userlocalin1] action pass
[Device-security-policy-ip-2-userlocalin1] quit
# 配置名称为trust-untrust的安全策规则,使用户test1、test3可以访问Server,具体配置步骤如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-3-untrust-trust] source-zone trust
[Device-security-policy-ip-3-untrust-trust] destination-zone untrust
[Device-security-policy-ip-3-untrust-trust] source-ip-subnet 192.168.1.1 24
[Device-security-policy-ip-3-untrust-trust] destination-ip-host 200.2.1.1
[Device-security-policy-ip-3-untrust-trust] user test1 domain ldap.com
[Device-security-policy-ip-3-untrust-trust] user test3 domain ldap.com
[Device-security-policy-ip-3-untrust-trust] action pass
[Device-security-policy-ip-3-untrust-trust] quit
# 配置名称为untrust-trust的安全策略规则,使Server可以向用户发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-4-trust-untrust] source-zone untrust
[Device-security-policy-ip-4-trust-untrust] destination-zone trust
[Device-security-policy-ip-4-trust-untrust] source-ip-host 200.2.1.1
[Device-security-policy-ip-4-trust-untrust] destination-ip-subnet 192.168.1.1 24
[Device-security-policy-ip-4-trust-untrust] action pass
[Device-security-policy-ip-4-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置设备通过AD域控制器获取全量用户信息
# 创建LDAP服务器ldap1。
[Device] ldap server ldap1
# 配置LDAP认证服务器的IP地址为AD域控制器的IP地址192.168.1.2。
[Device-ldap-server-ldap1] ip 192.168.1.2
# 配置具有管理员权限的用户DN。
[Device-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理员权限的用户密码为明文的Admin@1234。
[Device-ldap-server-ldap1] login-password simple Admin@1234
# 配置查询用户的起始目录。
[Device-ldap-server-ldap1] search-base-dn dc=ldap,dc=com
# 配置发送给服务器的用户名带ISP域名。
[Device-ldap-server-ldap1] user-parameters user-name-format with-domain
[Device-ldap-server-ldap1] quit
# 创建LDAP服务器ldap2。
[Device] ldap server ldap2
# 配置LDAP认证服务器的IP地址为AD域控制器的IP地址192.168.1.3。
[Device-ldap-server-ldap2] ip 192.168.1.3
# 配置具有管理员权限的用户DN。
[Device-ldap-server-ldap2] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理员权限的用户密码为明文的Admin@1234。
[Device-ldap-server-ldap2] login-password simple Admin@1234
# 配置查询用户的起始目录。
[Device-ldap-server-ldap2] search-base-dn dc=ldap,dc=com
# 配置发送给服务器的用户名带ISP域名。
[Device-ldap-server-ldap2] user-parameters user-name-format with-domain
[Device-ldap-server-ldap2] quit
# 创建LDAP属性映射表ldap,并配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性User group。
[Device] ldap attribute-map ldap
[Device-ldap-attr-map-ldap] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-ldap] quit
# 创建LDAP方案ldap1,然后配置认证服务器、引用的LDAP属性映射表。
[Device] ldap scheme ldap1
[Device-ldap-ldap1] authentication-server ldap1
[Device-ldap-ldap1] attribute-map ldap
[Device-ldap-ldap1] quit
# 创建LDAP方案ldap2,然后配置认证服务器、引用的LDAP属性映射表。
[Device] ldap scheme ldap2
[Device-ldap-ldap2] authentication-server ldap2
[Device-ldap-ldap2] attribute-map ldap
[Device-ldap-ldap2] quit
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建身份识别用户导入策略policy1,并进入身份识别用户导入策略视图。
[Device] user-identity user-import-policy policy1
# 配置自动导入身份识别用户账户的周期为1小时。
[Device-identity-user-impt-policy-policy1] account-update-interval 1
# 指定LDAP方案
[Device-identity-user-impt-policy-policy1] ldap-scheme ldap1
[Device-identity-user-impt-policy-policy1] ldap-scheme ldap2
[Device-identity-user-impt-policy-policy1] quit
# 开启策略policy1的身份识别用户账户自动导入功能。
[Device] user-identity user-account auto-import policy policy1
(6) 配置设备通过AD单点登录服务获取在线用户信息
# 开启HTTP功能。
[Device] ip http enable
# 开启基于HTTP的RESTful功能。
[Device] restful http enable
# 创建本地管理用户test用于RESTful登录,并进入本地管理用户视图。
[Device] local-user test class manage
# 设置本地管理用户admin的密码为明文Admin@1234。
[Device-luser-manage-test] password simple Admin@1234
# 配置RESTful用户的服务类型为HTTP。
[Device-luser-manage-test] service-type http
# 配置RESTful用户的角色。
[Device-luser-manage-test] authorization-attribute user-role network-admin
[Device-luser-manage-test] quit
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建名称为adsso的RESTful服务器,并进入该服务器视图。
[Device] user-identity restful-server adsso
# 指定向RESTful服务器adsso请求网络接入类在线用户信息的URI为http://192.168.1.3:8826/adsso/aduser/onlineUser。
[Device-restfulserver-adsso] uri get-online-user "http://192.168.1.3:8826/adsso/aduser/onlineUser"
[Device-restfulserver-adsso] quit
# 配置用户导入策略。
[Device] user-identity user-import-policy policy1
# 在身份识别用户导入策略policy1中,指定名称为adsso的RESTful服务器。
[Device-identity-user-impt-policy-policy1] restful-server adsso
[Device-identity-user-impt-policy-policy1] quit
(1) 在已加入域ldap.com的Host1上,使用域用户test1登录,如下图所示。
图1-115 输入用户凭证
(2) 域用户test1登录成功后,查看AD单点登录服务在线人数,如下图所示。
图1-116 AD单点登录服务
(3) 登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图1-117 在线用户
(4) 在test1用户登录的Host1上Ping外网地址200.2.1.1,可以Ping通,表示用户test1可以访问外网200.2.1.1,满足组网需求。
C:\Users\test1>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
(1) 登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,安全策略中仅放行LDAP域用户test1和test3的报文,如下图所示:
图1-118 安全策略
(2) 在已加入域ldap.com的Host1上用域用户test2登录,如下图所示。
图1-119 域账号登录
(3) 域用户test2登录成功后,查看AD服务器的在线人数,如下图所示。
图1-120 AD单点登录服务
(4) 登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图1-121 在线用户
(5) 在Host1上Ping外网地址200.2.1.1,无法Ping通,表示用户test2不可以访问外网,满足组网需求。
C:\Users\test2>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
(1) 在已加入域ldap.com的Host2上,使用域用户test3登录,如下图所示。
图1-122 输入用户凭证
(2) 域用户test3登录成功后,查看AD单点登录服务在线人数,如下图所示。
图1-123 AD单点登录服务
(3) 登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图1-124 在线用户
(4) 在test3用户登录的Host2上Ping外网地址200.2.1.1,可以Ping通,表示用户test3可以访问外网200.2.1.1,满足组网需求。
C:\Users\test3>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
(1) 登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,安全策略中仅放行LDAP域用户test1和test3的报文,如下图所示:
图1-125 安全策略
(2) 在已加入域ldap.com的Host2上用域用户test4登录,如下图所示。
图1-126 域账号登录
(3) 域用户test4登录成功后,查看AD服务器的在线人数,如下图所示。
图1-127 AD单点登录服务
(4) 登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图1-128 在线用户
(5) 在Host2上Ping外网地址200.2.1.1,无法Ping通,表示用户test4不可以访问外网,满足组网需求。
C:\Users\test4>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
Request timed out
(1) 登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,如下图所示。策略中仅放行用户test1和test3的报文,所以域用户test2和test4的报文被丢弃,不能访问外网。
图1-129 安全策略
(2) 如需域用户test2和test4也可以访问外网200.2.1.1,可在安全策略中加入test2和test4域用户,如下图所示。
图1-130 安全策略
(3) 再次在Host1上Ping外网地址200.2.1.1,可以Ping通,表示用户test2也可以访问外网。
C:\Users\test2>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
(4) 再次在Host2上Ping外网地址200.2.1.1,可以Ping通,表示用户test4也可以访问外网。
C:\Users\test4>ping 200.2.1.1 –t
Pinging 200.2.1.1 with 32 bytes of data:
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
Reply from 200.2.1.1: bytes=32 time<1ms TTL=254
#
interface GigabitEthernet1/0/1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 200.1.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
ip route-static 200.2.1.0 24 200.1.1.2
#
ldap server ldap1
login-dn cn=administrator,cn=users,dc=ldap,dc=com
search-base-dn dc=ldap,dc=com
ip 192.168.1.2
login-password simple Admin@1234
user-parameters user-name-format with-domain
#
ldap server ldap2
login-dn cn=administrator,cn=users,dc=ldap,dc=com
search-base-dn dc=ldap,dc=com
ip 192.168.1.3
login-password simple Admin@1234
user-parameters user-name-format with-domain
#
ldap scheme ldap1
authentication-server ldap1
attribute-map ldap
#
ldap scheme ldap2
authentication-server ldap2
attribute-map ldap
#
ldap attribute-map ldap
map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
#
local-user test class manage
password simple Admin@1234
RXBKiu46NOfqw==
service-type http
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
restful http enable
#
ip http enable
#
user-identity enable
user-identity user-account auto-import policy policy1
#
user-identity restful-server adsso
uri get-online-user http://192.168.1.4:8826/adsso/aduser/onlineUser
#
user-identity user-import-policy policy1
account-update-interval 1
restful-server adsso
ldap-scheme ldap1
ldap-scheme ldap2
#
security-policy ip
rule 1 name userlocalout1
action pass
source-zone local
destination-zone trust
source-ip-host 192.168.1.1
destination-ip-host 192.168.1.2
destination-ip-host 192.168.1.3
destination-ip-host 192.168.1.4
destination-ip-host 192.168.1.5
rule 2 name userlocalin1
action pass
source-zone trust
destination-zone local
source-ip-host 192.168.1.2
source-ip-host 192.168.1.3
source-ip-host 192.168.1.4
source-ip-host 192.168.1.5
destination-ip-host 192.168.1.1
rule 3 name trust-untrust
action pass
source-zone trust
destination-zone untrust
source-ip-subnet 192.168.1.0 255.255.255.0
destination-ip-host 200.2.1.1
user test1 domain ldap.com
user test3 domain ldap.com
rule 4 name untrust-trust
action pass
source-zone untrust
destination-zone trust
source-ip-host 200.2.1.1
destination-ip-subnet 192.168.1.0 255.255.255.0
#
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。RADIUS协议合并了认证和授权的过程,它定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议,UDP端口1812、1813分别作为认证/授权、计费端口。
RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入、ADSL接入。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
· 客户端:RADIUS客户端一般位于NAS上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
· 服务器:RADIUS服务器一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收NAS发送的认证、授权、计费请求并进行相应的处理,然后给NAS返回处理结果(如接受/拒绝认证请求)。另外,RADIUS服务器还可以作为一个代理,以RADIUS客户端的身份与其它的RADIUS认证服务器进行通信,负责转发RADIUS认证和计费报文。
RADIUS服务器通常要维护三个数据库,如图2-1所示:
图2-1 RADIUS服务器的组成
· “Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息)。
· “Clients”:用于存储RADIUS客户端的信息(如NAS的共享密钥、IP地址等)。
· “Dictionary”:用于存储RADIUS协议中的属性和属性值含义的信息。
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的。共享密钥是一个带外传输的客户端和服务器都知道的字符串,不需要单独进行网络传输。RADIUS报文中有一个16字节的验证字字段,它包含了对整个报文的数字签名数据,该签名数据是在共享密钥的参与下利用MD5算法计算出的。收到RADIUS报文的一方要验证该签名的正确性,如果报文的签名不正确,则丢弃它。通过这种机制,保证了RADIUS客户端和RADIUS服务器之间信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在RADIUS报文传输过程中还利用共享密钥对用户密码进行了加密。
RADIUS服务器支持多种方法来认证用户,例如PAP(Password Authentication Protocol,密码认证协议)、CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)以及EAP(Extensible Authentication Protocol,可扩展认证协议)。
用户、RADIUS客户端和RADIUS服务器之间的交互流程如图2-2所示。
图2-2 RADIUS的基本消息交互流程
消息交互流程如下:
(2) 用户发起连接请求,向RADIUS客户端发送用户名和密码。
(3) RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下利用MD5算法进行加密处理。
(4) RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
(5) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。
(6) RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费。
(7) 用户开始访问网络资源。
(8) 用户请求断开连接。
(9) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。
(10) RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费。
(11) 通知用户结束访问网络资源。
RADIUS采用UDP报文来传输消息,通过定时器机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息的正确收发。RADIUS报文结构如图2-3所示。
图2-3 RADIUS报文结构
各字段的解释如下:
(2) Code域
长度为1个字节,用于说明RADIUS报文的类型,如表2-1所示。
表2-1 Code域的主要取值说明
|
Code |
报文类型 |
报文说明 |
|
1 |
Access-Request认证请求包 |
方向Client->Server,Client将用户信息传输到Server,请求Server对用户身份进行验证。该报文中必须包含User-Name属性,可选包含NAS-IP-Address、User-Password、NAS-Port等属性 |
|
2 |
Access-Accept认证接受包 |
方向Server->Client,如果Access-Request报文中的所有Attribute值都可以接受(即认证通过),则传输该类型报文 |
|
3 |
Access-Reject认证拒绝包 |
方向Server->Client,如果Access-Request报文中存在任何无法被接受的Attribute值(即认证失败),则传输该类型报文 |
|
4 |
Accounting-Request计费请求包 |
方向Client->Server,Client将用户信息传输到Server,请求Server开始/停止计费。该报文中的Acct-Status-Type属性用于区分计费开始请求和计费结束请求 |
|
5 |
Accounting-Response计费响应包 |
方向Server->Client,Server通知Client已经收到Accounting-Request报文,并且已经正确记录计费信息 |
(3) Identifier域
长度为1个字节,用于匹配请求包和响应包,以及检测在一段时间内重发的请求包。对于类型一致且属于同一个交互过程的请求包和响应包,该Identifier值相同。
(4) Length域
长度为2个字节,表示RADIUS数据包(包括Code、Identifier、Length、Authenticator和Attribute)的长度,单位为字节。超过Length域的字节将作为填充字符被忽略。如果接收到的包的实际长度小于Length域的值时,则包会被丢弃。
(5) Authenticator域
长度为16个字节,用于验证RADIUS服务器的应答报文,另外还用于用户密码的加密。Authenticator包括两种类型:Request Authenticator和Response Authenticator。
(6) Attribute域
不定长度,用于携带专门的认证、授权和计费信息。Attribute域可包括多个属性,每一个属性都采用(Type、Length、Value)三元组的结构来表示。
¡ 类型(Type):表示属性的类型。
¡ 长度(Length):表示该属性(包括类型、长度和属性值)的长度,单位为字节。
¡ 属性值(Value):表示该属性的信息,其格式和内容由类型决定。
RADIUS协议具有良好的可扩展性,RFC 2865中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。
设备厂商可以在26号属性中封装多个自定义的(Type、Length、Value)子属性,以提供更多的扩展功能。26号属性的格式如图2-4所示:
· Vendor-ID,表示厂商代号,最高字节为0,其余3字节的编码见RFC 1700。
· Vendor-Type,表示子属性类型。
· Vendor-Length,表示子属性长度。
· Vendor-Data,表示子属性的内容。
图2-4 26号属性的格式
本举例是在F5000-AI160的E8371版本上进行配置和验证的。
本举例是在MSR26-30的Version 7.1.064, ESS 0701版本上进行配置和验证的。
本举例以iMC为例(使用iMC版本为:iMC PLAT 7.3 (E0506)、iMC UAM 7.3 (E0503)、iMC CAMS 7.3 (E0501)、iMC SSM 7.3 (E0501),说明RADIUS server和Portal server的基本配置。
在下图网络环境中企业需要对Portal用户进行身份识别和访问控制,具体要求如下:
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证服务器。
· 配置RESTful服务器用于存储帐号信息。
· 用户通过静态方式配置IP地址,并在NAS设备上进行Portal认证后接入网络。
· 在Device上对所有Portal在线用户进行身份识别和基于用户的访问控制,具体要求如下:
¡ 用户user10001即不能访问FTP server,也不能访问Internet。
¡ 用户user10002仅能与FTP server互通,不能访问Internet。
¡ 用户user10003仅能访问Internet,不能访问FTP server。
¡ Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。
图2-5 基于RADIUS单点登录的身份识别与管理配置组网图
完成本配置举例需要在Host、Router、Device和iMC服务器上进行相关配置,具体配置思路如下图所示。
图2-6 基于RADIUS单点登录的身份识别与管理配置思路图
因为iMC服务器只有收到用户的计费停止报文后,才会将此用户下线。所以在此配置举例中即使不需要对Portal用户进行计费,也然需要在Device的认证域中配置计费功能(iMC服务器上不需要配置计费策略),否则在Portal用户下线时虽然设备上已经下线,但iMC服务器不会将此用户下线。
(1) 配置接口IP地址和路由保证网络可达
# 配置接口GigabitEthernet0/0的IP地址为20.2.1.1。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0
[Router-GigabitEthernet0/0] quit
# 配置接口GigabitEthernet0/1的IP地址为192.168.100.90。
[Router] interface gigabitethernet 0/1
[Router-GigabitEthernet0/1] ip address 192.168.100.90 255.255.255.0
[Router-GigabitEthernet0/1] quit
# 配置缺省路由保证Router与FTP server和Internet路由可达。
[Router] ip route-static 0.0.0.0 0.0.0.0 192.168.100.88
(2) 配置SNMP功能保证iMC可以监控管理Router
# 开启设备的SNMP Agent功能。
[Router] snmp-agent
# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private。
[Router] snmp-agent sys-info version all
[Router] snmp-agent community read public
[Router] snmp-agent community write private
(3) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Router] radius scheme rs1
# 配置RADIUS方案的主认证服务器及其通信密钥。
[Router-radius-rs1] primary authentication 192.168.100.244
[Router-radius-rs1] primary accounting 192.168.100.244
[Router-radius-rs1] key authentication simple admin
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Router-radius-rs1] user-name-format without-domain
[Router-radius-rs1] quit
(4) 配置认证域
# 创建并进入名称为dm1的认证域。
[Router] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Router-isp-dm1] authentication portal radius-scheme rs1
[Router-isp-dm1] authorization portal radius-scheme rs1
[Router-isp-dm1] accounting portal radius-scheme rs1
[Router-isp-dm1] quit
(5) 配置Portal认证
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.100.244,密钥为明文admin,监听Portal报文的端口为50100。
[Router] portal server newpt
[Router-portal-server-newpt] ip 192.168.100.244 key simple admin
[Router-portal-server-newpt] port 50100
[Router-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.100.244:8080/portal。
[Router] portal web-server newpt
[Router-portal-websvr-newpt] url http://192.168.100.244:8080/portal
[Router-portal-websvr-newpt] quit
# 在接口GigabitEthernet0/0上开启直接方式的Portal认证。
[Router] interface gigabitethernet 0/0
[Router–GigabitEthernet0/0] portal enable method direct
# 在接口GigabitEthernet0/0上引用Portal Web服务器为newpt。
[Router–GigabitEthernet0/0] portal apply web-server newpt
# 在接口GigabitEthernet0/0上配置Portal用户使用的认证域为dm1。
[Router–GigabitEthernet0/0] portal domain dm1
[Router–GigabitEthernet0/0] quit
(1) 配置接口IP地址和路由保证网络可达
# 配置接口GigabitEthernet1/0/1的IP地址为192.168.100.88。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.100.88 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址为11.1.1.1。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 11.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/2] quit
# 配置接口GigabitEthernet1/0/3的IP地址为12.1.1.1。
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] ip address 12.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/3] quit
# 配置静态路由保证Device与user网络路由可达。
[Device] ip route-static 20.2.1.0 255.255.255.0 192.168.100.90
# 配置缺省路由保证Device与Internet路由可达。(此处以Device连接Internet的下一条IP地址是12.1.1.2为例,实际组网中,请以运营商提供的实际IP地址为准)
[Device] ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
(2) 将接口加入安全域
# 进入Trust安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
# 进入DMZ安全域,并将接口GigabitEthernet1/0/2加入该安全域中。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
[Device-security-zone-DMZ] quit
# 进入Untrust安全域,并将接口GigabitEthernet1/0/3加入该安全域中。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-security-zone-Untrust] quit
(3) 配置安全策略保证Device与iMC互通
此步骤保证Device能够从iMC上同步身份识别用户信息。
# 进入IPv4安全策略视图。
[Device] security-policy ip
# 配置名称为trust-local的安全策略规则,使Trust安全域到Local安全域的报文可通。
[Device-security-policy-ip] rule 0 name trust-local
[Device-security-policy-ip-0-trust-local] source-zone trust
[Device-security-policy-ip-0-trust-local] destination-zone local
[Device-security-policy-ip-0-trust-local] action pass
[Device-security-policy-ip-0-trust-local] quit
# 配置名称为local-trust的安全策略规则,使Local安全域到Trust安全域的报文可通。
[Device-security-policy-ip] rule 1 name local-trust
[Device-security-policy-ip-1-trust-local] source-zone local
[Device-security-policy-ip-1-trust-local] destination-zone trust
[Device-security-policy-ip-1-trust-local] action pass
[Device-security-policy-ip-1-trust-local] quit
(4) 配置SNMP功能保证iMC可以监控管理Device
# 开启设备的SNMP Agent功能。
[Device] snmp-agent
# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private。
[Device] snmp-agent sys-info version all
[Device] snmp-agent community read public
[Device] snmp-agent community write private
(5) 配置NETCONF over SOAP功能保证iMC可以向Device下发配置
# 开启基于HTTP的SOAP功能。
[Device] netconf soap http enable
# 开启基于HTTPS的SOAP功能。
[Device] netconf soap https enable
(6) 开启RESTful功能保证设备上的RESTful服务器与iMC可通
# 开启基于HTTP的RESTful功能。
[Device] restful http enable
# 开启基于HTTPS的RESTful功能。
[Device] restful https enable
(7) 为管理员用户admin授权HTTP服务
# 配置设备管理类用户admin可以使用HTTP服务。
[Device] local-user admin class manage
[Device-luser-manage-admin] service-type http
[Device-luser-manage-admin] quit
(8) 配置用户身份识别与管理功能
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建名称为rest1的RESTful服务器,并进入该服务器视图。
[Device] user-identity restful-server rest1
# 配置登录到RESTful服务器所需的用户名和密码,用户名和密码均为admin。
[Device-restfulserver-rest1] login-name admin password simple admin
# 指定RESTful服务器的URI,同步身份识别用户账户和身份识别在线用户等信息。(对于iMC服务器URI是如下固定的内容,其中仅IP地址可以被替换)
[Device-restfulserver-rest1] uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser
[Device-restfulserver-rest1] uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces
sUserGroup
[Device-restfulserver-rest1] uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser
[Device-restfulserver-rest1] uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU
ser
[Device-restfulserver-rest1] uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin
eUser
[Device-restfulserver-rest1] quit
# 创建名称为imc的用户导入策略,并进入该用户导入策略视图。
[Device] user-identity user-import-policy imc
# 在身份识别用户导入策略imc中,指定名称为rest1的RESTful服务器。
[Device-identity-user-impt-policy-imc] restful-server rest1
# 在身份识别用户导入策略imc中,配置自动导入身份识别用户账户的周期为1小时。
[Device-identity-user-impt-policy-imc] account-update-interval 1
[Device-identity-user-impt-policy-imc] quit
# 开启身份识别用户导入策略imc的身份识别用户账户自动导入功能。
[Device] user-identity user-account auto-import policy imc
# 从名称为imc的身份识别用户导入策略指定的服务器上手工导入身份识别用户账户。(请在设备与iMC正常通信后执行此命令)
[Device] user-identity user-account import policy imc
# 从名称为imc的身份识别用户导入策略指定的服务器上手工导入在线身份识别用户。(请在设备与iMC正常通信且有用户上线后执行此命令)
[Device] user-identity online-user import policy imc
(9) 配置安全策略仅允许user10002访问FTP server,仅允许user10003访问Internet
# 配置名称为user10002的安全策略规则,仅允许user10002与FTP server互通,但是禁止其他用户访问FTP server。
[Device] security-policy ip
[Device-security-policy-ip] rule 2 name user10002
[Device-security-policy-ip-2-user10002] source-zone trust
[Device-security-policy-ip-2-user10002] source-zone dmz
[Device-security-policy-ip-2-user10002] destination-zone dmz
[Device-security-policy-ip-2-user10002] destination-zone trust
[Device-security-policy-ip-2-user10002] user user10002
[Device-security-policy-ip-2-user10002] action pass
[Device-security-policy-ip-2-user10002] logging enable
[Device-security-policy-ip-2-user10002] quit
# 配置名称为user10003的安全策略规则,仅允许user10003主动访问Internet,但是禁止Internet用户主动访问内网。
[Device-security-policy-ip] rule 3 name user10003
[Device-security-policy-ip-3-user10003] source-zone trust
[Device-security-policy-ip-3-user10003] destination-zone untrust
[Device-security-policy-ip-3-user10003] user user10003
[Device-security-policy-ip-3-user10003] action pass
[Device-security-policy-ip-2-user10003] logging enable
[Device-security-policy-ip-3-user10003] quit
[Device-security-policy-ip] quit
# 在iMC上增加设备保证iMC可以监控和管理设备,具体配置步骤如下。
(1) 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
(2) 增加设备
# 选择“资源”页签,单击导航树中的[资源管理/增加设备]菜单项,进入增加设备配置页面,其配置内容如下图所示,其中Telnet参数的用户名和密码均为admin;其他配置保持默认值即可,其中SNMP的只读团体字密码缺省值为public,读写团体字密码缺值省为private。
图2-7 增加设备
# 单击<确定>按钮完成操作。
# 请参考以上步骤添加设备Router,IP地址为192.168.100.90,具体配置步骤略。
(3) 修改NETCONF参数信息
# 选择“资源”页签,单击导航树中的[视图管理/设备视图]菜单项,进入设备视图列表页面,在此页面的设备标签列单击目标设备,进入某设备的详细信息页面,如下图所示。
图2-8 设备视图列表
# 在设备详细信息页面的右侧,依次单击[配置/修改NETCONF参数],在弹出的对话框中单击加号添加协议,具体配置内容如下图所示,其中用户名和密码为admin。
# 单击<确定>按钮完成操作。
(1) 在安全业务中同步设备,保证设备与iMC服务器上的配置信息和用户信息的同步
# 选择“业务”页签,单击导航树中的[安全业务管理/设备管理]菜单项,进入设备管理配置页面,在设备管理页签下的设备列表中可以看到添加成功的设备,如下图所示。
图2-9 安全设备管理页面
# 选中需要同步的设备单击<同步>按钮,进行设备同步。设备同步完成后同步状态一列会显示成功,如下图所示。(同步时间较长,请耐心等待)
图2-10 安全设备管理页面
(2) 配置用户认证系统参数和用户通知参数,保证iMC服务器将用户的上下线信息实时同步给设备
# 选择“业务”页签,单击导航树中的[安全业务管理/全局参数配置]菜单项,进入全局参数配置页面,在此页面配置用户认证系统参数,如下图所示。
请根据Portal认证服务器的协议类型,选择对应的协议类型。用户名和密码与登录iMC服务器的相同。
图2-11 配置用户认证系统参数
# 选择“用户”页签,单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,进入系统配置页面,在此页面选择用户通知参数配置进入修改用户通知页面,如下图所示。
此处的共享密钥没有用到,随意输入即可。
图2-12 修改用户通知
(1) 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
(2) 增加接入设备
# 选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。配置共享密钥为admin,其他配置如下图所示。
图2-13 增加接入设备
# 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
· 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
· 若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口GigabitEthernet0/1的IP地址192.168.100.90,则此处接入设备IP地址就选择192.168.100.90。
(3) 增加接入策略
# 选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理配置页面,在该页面中单击<增加>按钮,进入增加接入策略页面。配置接入策略名为Portal,其他配置项使用缺省值即可,如下图所示。
图2-14 增加接入策略
# 单击<确定>按钮完成操作。
(4) 增加接入服务
# 选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理配置页面,在该页面中单击<增加>按钮,进入增加接入服务页面。配置服务名为Portal,引用的缺省接入策略为Portal,其他配置项使用缺省值即可,如下图所示。
图2-15 增加接入服务
# 单击<确定>按钮完成操作。
(5) 增加接入用户
# 选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户配置页面,在该页面中单击<增加>按钮,进入增加接入用户页面。配置用户姓名为user,帐号名为user10001,密码为admin,接入服务选择Portal,其他配置项使用缺省值即可,如下图所示。
图2-16 增加接入用户
# 单击<确定>按钮完成操作。
# 请参考上面的配置步骤,继续增加帐号user10002和user10003。
(1) 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
(2) 配置Portal服务器
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。根据实际组网情况调整以下参数,本例中使用缺省配置。
图2-17 Portal服务器配置
(3) 增加IP地址组
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。配置内容如下图所示。
图2-18 增加IP地址组
# 单击<确定>按钮完成操作。
(4) 增加Portal设备
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。配置密钥为admin,其它配置内容如下图所示。
图2-19 增加Portal设备配置
# 单击<确定>按钮完成操作。
(5) Portal设备关联IP地址组
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在设备配置页面中的设备信息列表中,点击Router设备操作中的<端口组信息管理>按钮,进入端口组信息配置页面。
图2-20 设备信息列表
# 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。配置内容如下图所示。
图2-21 增加端口组信息配置
# 单击<确定>按钮完成操作。
# 在Host上配置IP地址、子网掩码、默认网关保证Host可以正常与外部通信,具体配置步骤略。
# 在浏览器地址栏中输入Portal Web服务器的URL:http://192.168.100.244:8080/portal,登录Portal认证页面,输入用户名和密码,单击<Log In>按钮,Portal用户认证成功后如下图所示。
图2-22 Portal用户认证成功示意图
用户user10001、user10002和user10003进行Portal认证成功后,可以在iMC的本地在线用户列表中看到,如下图所示。
图2-23 本地在线用户示意图
# 显示所有身份识别用户信息。
[Device] display user-identity all user
User ID Username
0x2 user10001
0x3 user10002
0x4 user10003
# 显示非域下名称为user10001的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10001
User name: user10001
IP : 20.2.1.11
MAC : 0011-95e4-4aa9
Type: Dynamic
Total 1 records matched.
# 显示非域下名称为user10002的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10002
User name: user10002
IP : 20.2.1.12
MAC : 0011-95e4-4aa3
Type: Dynamic
Total 1 records matched.
# 显示非域下名称为user10003的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10003
User name: user10003
IP : 20.2.1.13
MAC : 0011-95e4-4aa2
Type: Dynamic
Total 1 records matched.
# 用户user10001不可Ping通FTP server。
C:\>ping 11.1.1.2
Pinging 11.1.1.2 with 32 bytes of data:
Request time out.
Request time out.
Request time out.
Request time out.
Ping statistics for 11.1.1.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
# 用户user10002可Ping通FTP server。
C:\>ping 11.1.1.2
Pinging 11.1.1.2 with 32 bytes of data:
Reply from 11.1.1.2: bytes=32 time=36ms TTL=253
Reply from 11.1.1.2: bytes=32 time<1ms TTL=253
Reply from 11.1.1.2: bytes=32 time<1ms TTL=253
Reply from 11.1.1.2: bytes=32 time<1ms TTL=253
Ping statistics for 11.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 36ms, Average = 9ms
# 当用户user10002Ping通FTP server时,Device上会生成如下日志信息。
[Device]%Nov 6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context
=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=DMZ;Type(1067)=ACL;SecurityPolicy(
1072)=user10002;RuleID(1078)=2;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.12;Src
MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=11.1.1.2;IcmpType(1062)=ECHO(8);Icm
pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;
# 用户user10003可Ping通Internet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)
C:\>ping 12.1.1.2
Pinging 12.1.1.2 with 32 bytes of data:
Reply from 12.1.1.2: bytes=32 time=37ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Ping statistics for 12.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 36ms, Average = 9ms
# 当用户user10003Ping通Internet上的主机时,Device上会生成如下日志信息。
[Device]%Nov 6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context
=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(
1072)=user10003;RuleID(1078)=3;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.13;Src
MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=12.1.1.2;IcmpType(1062)=ECHO(8);Icm
pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;
[Router] display current-configuration
#
interface GigabitEthernet0/0
port link-mode route
ip address 20.2.1.1 255.255.255.0
portal enable method direct
portal domain dm1
portal apply web-server newpt
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.100.90 255.255.255.0
#
interface GigabitEthernet3/0
port link-mode route
combo enable copper
#
ip route-static 0.0.0.0 0 192.168.100.88
#
snmp-agent
snmp-agent local-engineid 800063A28074258A37B5F500000001
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
#
radius scheme rs1
primary authentication 192.168.100.244
primary accounting 192.168.100.244
key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg
user-name-format without-domain
#
domain dm1
authentication portal radius-scheme rs1
authorization portal radius-scheme rs1
accounting portal radius-scheme rs1
#
domain system
#
domain default enable system
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type telnet http
authorization-attribute user-role network-admin
#
portal web-server newpt
url http://192.168.100.244:8080/portal
#
portal server newpt
ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU
#
return
[Device] display current-configuration
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.100.88 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 11.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 12.1.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name DMZ
import interface GigabitEthernet1/0/2
#
security-zone name Untrust
import interface GigabitEthernet1/0/3
#
line vty 0 63
authentication-mode scheme
user-role network-admin
#
ip route-static 0.0.0.0 0 12.1.1.2
ip route-static 20.2.1.0 24 192.168.100.90
#
snmp-agent
snmp-agent local-engineid 800063A280487ADA9593B700000001
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn
ame public v2c
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type ssh telnet terminal http https
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
netconf soap http enable
netconf soap https enable
restful http enable
restful https enable
#
user-identity enable
user-identity user-account auto-import policy imc
#
user-identity restful-server rest1
login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/
uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser
uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces
sUserGroup
uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser
uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU
ser
uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin
eUser
#
user-identity user-import-policy imc
account-update-interval 1
restful-server rest1
#
security-policy ip
rule 0 name trust-local
action pass
source-zone trust
destination-zone local
rule 1 name local-trust
action pass
source-zone local
destination-zone trust
rule 2 name user10002
action pass
logging enable
source-zone trust
source-zone dmz
destination-zone dmz
destination-zone trust
user user10002
rule 3 name user10003
action pass
logging enable
source-zone trust
destination-zone untrust
user user10003
#
return
本举例是在F5000-AI160的E8371版本上进行配置和验证的。
本举例是在MSR26-30的Version 7.1.064, ESS 0701版本上进行配置和验证的。
本举例以iMC为例(使用iMC版本为:iMC PLAT 7.3 (E0506)、iMC UAM 7.3 (E0503)、iMC CAMS 7.3 (E0501)、iMC SSM 7.3 (E0501),说明RADIUS server和Portal server的基本配置。
在下图网络环境中企业需要对Portal用户进行身份识别和访问控制,具体要求如下:
· 采用一台Portal服务器承担Portal认证服务器和Portal Web服务器的职责。
· 采用RADIUS服务器作为认证服务器。
· 配置RESTful服务器用于存储帐号信息。
· 用户通过静态方式配置IP地址,并在NAS设备上进行Portal认证后接入网络。
· 在Device上对所有Portal在线用户进行身份识别和基于用户的访问控制,具体要求如下:
¡ 用户user10001和user10002不能访问Internet。
¡ 用户user10003可以访问Internet。
¡ Internet上的用户不能主动访问Trust安全域和DMZ安全域中的主机。
图2-24 基于RADIUS认证本地接入的身份识别与管理配置组网图
完成本配置举例需要在Host、Router、Device和iMC服务器上进行相关配置,具体配置思路如下图所示。
图2-25 基于RADIUS单点登录的身份识别与管理配置思路图
因为iMC服务器只有收到用户的计费停止报文后,才会将此用户下线。所以在此配置举例中即使不需要对Portal用户进行计费,也然需要在Device的认证域中配置计费功能(iMC服务器上不需要配置计费策略),否则在Portal用户下线时虽然设备上已经下线,但iMC服务器不会将此用户下线。
· 配置接口IP地址和路由保证网络可达
# 配置接口GigabitEthernet0/0的IP地址为20.2.1.1。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet0/0] ip address 20.2.1.1 255.255.255.0
[Router-GigabitEthernet0/0] quit
# 配置接口GigabitEthernet0/1的IP地址为20.2.2.1。
[Router] interface gigabitethernet 0/1
[Router-GigabitEthernet0/1] ip address 20.2.2.1 255.255.255.0
[Router-GigabitEthernet0/1] quit
# 配置缺省路由保证Router与FTP server和Internet路由可达。
[Router] ip route-static 0.0.0.0 0.0.0.0 20.2.2.2
(1) 配置接口IP地址和路由保证网络可达
# 配置接口GigabitEthernet1/0/1的IP地址为192.168.100.88。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.100.88 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址为20.2.2.2。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ip address 20.2.2.2 255.255.255.0
[Device-GigabitEthernet1/0/2] quit
# 配置接口GigabitEthernet1/0/3的IP地址为12.1.1.1。
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] ip address 12.1.1.1 255.255.255.0
[Device-GigabitEthernet1/0/3] quit
# 配置静态路由保证Device与user网络路由可达。
[Device] ip route-static 20.2.1.0 255.255.255.0 20.2.2.1
# 配置缺省路由保证Device与Internet路由可达。(此处以Device连接Internet的下一条IP地址是12.1.1.2为例,实际组网中,请以运营商提供的实际IP地址为准)
[Device] ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
(2) 将接口加入安全域
# 进入DMZ安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/1
[Device-security-zone-DMZ] quit
# 进入Trust安全域,并将接口GigabitEthernet1/0/2加入该安全域中。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/2
[Device-security-zone-Trust] quit
# 进入Untrust安全域,并将接口GigabitEthernet1/0/3加入该安全域中。
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
[Device-security-zone-Untrust] quit
(3) 配置安全策略保证Device与iMC互通
此步骤保证Device能够从iMC上同步身份识别用户信息。
# 进入IPv4安全策略视图。
[Device] security-policy ip
# 配置名称为dmz-local的安全策略规则,使DMZ安全域到Local安全域的报文可通。
[Device-security-policy-ip] rule 0 name dmz-local
[Device-security-policy-ip-0-dmz-local] source-zone dmz
[Device-security-policy-ip-0-dmz-local] destination-zone local
[Device-security-policy-ip-0-dmz-local] action pass
[Device-security-policy-ip-0-dmz-local] quit
# 配置名称为local-dmz的安全策略规则,使Local安全域到DMZ安全域的报文可通。
[Device-security-policy-ip] rule 1 name local-dmz
[Device-security-policy-ip-1-dmz-local] source-zone local
[Device-security-policy-ip-1-dmz-local] destination-zone dmz
[Device-security-policy-ip-1-dmz-local] action pass
[Device-security-policy-ip-1-dmz-local] quit
(4) 配置安全策略保证用户网络(Trust)与iMC(DMZ)互通
因为Portal认证报文穿越了Device,所以必须配置此步骤保证Portal用户能够在iMC上进行AAA认证和Portal认证。
# 配置名称为trust-dmz的安全策略规则,使Trust安全域与DMZ安全域之间的报文可互通。
[Device] security-policy ip
[Device-security-policy-ip] rule 2 name trust-dmz
[Device-security-policy-ip-2-trust-dmz] source-zone trust
[Device-security-policy-ip-2-trust-dmz] source-zone dmz
[Device-security-policy-ip-2-trust-dmz] destination-zone dmz
[Device-security-policy-ip-2-trust-dmz] destination-zone trust
[Device-security-policy-ip-2-trust-dmz] action pass
[Device-security-policy-ip-2-trust-dmz] quit
(5) 配置SNMP功能保证iMC可以监控管理Device
# 开启设备的SNMP Agent功能。
[Device] snmp-agent
# 配置设备支持SNMP所有版本、只读团体名为public,读写团体名为private。
[Device] snmp-agent sys-info version all
[Device] snmp-agent community read public
[Device] snmp-agent community write private
(6) 配置NETCONF over SOAP功能保证iMC可以向Device下发配置
# 开启基于HTTP的SOAP功能。
[Device] netconf soap http enable
# 开启基于HTTPS的SOAP功能。
[Device] netconf soap https enable
(7) 开启RESTful功能保证设备上的RESTful服务器与iMC可通
# 开启基于HTTP的RESTful功能。
[Device] restful http enable
# 开启基于HTTPS的RESTful功能。
[Device] restful https enable
(8) 为管理员用户admin授权HTTP服务
# 配置设备管理类用户admin可以使用HTTP服务。
[Device] local-user admin class manage
[Device-luser-manage-admin] service-type http
[Device-luser-manage-admin] quit
(9) 配置RADIUS方案
# 创建名称为rs1的RADIUS方案并进入该方案视图。
[Device] radius scheme rs1
# 配置RADIUS方案的主认证服务器及其通信密钥。
[Device-radius-rs1] primary authentication 192.168.100.244
[Device-radius-rs1] primary accounting 192.168.100.244
[Device-radius-rs1] key authentication simple admin
# 配置发送给RADIUS服务器的用户名不携带ISP域名。
[Device-radius-rs1] user-name-format without-domain
[Device-radius-rs1] quit
(10) 配置认证域
# 创建并进入名称为dm1的认证域。
[Device] domain dm1
# 配置ISP域使用的RADIUS方案rs1。
[Device-isp-dm1] authentication portal radius-scheme rs1
[Device-isp-dm1] authorization portal radius-scheme rs1
[Device-isp-dm1] accounting portal radius-scheme rs1
[Device-isp-dm1] quit
(11) 配置Portal认证
# 配置Portal认证服务器:名称为newpt,IP地址为192.168.100.244,密钥为明文admin,监听Portal报文的端口为50100。
[Device] portal server newpt
[Device-portal-server-newpt] ip 192.168.100.244 key simple admin
[Device-portal-server-newpt] port 50100
[Device-portal-server-newpt] quit
# 配置Portal Web服务器的URL为http://192.168.100.244:8080/portal。
[Device] portal web-server newpt
[Device-portal-websvr-newpt] url http://192.168.100.244:8080/portal
[Device-portal-websvr-newpt] quit
# 在接口GigabitEthernet1/0/2上开启可跨三层方式的Portal认证。
[Device] interface gigabitethernet 1/0/2
[Device–GigabitEthernet1/0/2] portal enable method layer3
# 在接口GigabitEthernet1/0/2上引用Portal Web服务器为newpt。
[Device–GigabitEthernet1/0/2] portal apply web-server newpt
# 在接口GigabitEthernet1/0/2上配置Portal用户使用的认证域为dm1。
[Device–GigabitEthernet1/0/2] portal domain dm1
[Device–GigabitEthernet1/0/2] quit
(12) 配置用户身份识别与管理功能
# 开启用户身份识别功能。
[Device] user-identity enable
# 创建名称为rest1的RESTful服务器,并进入该服务器视图。
[Device] user-identity restful-server rest1
# 配置登录到RESTful服务器所需的用户名和密码,用户名和密码均为admin。
[Device-restfulserver-rest1] login-name admin password simple admin
# 指定RESTful服务器的URI,同步身份识别用户账户和身份识别在线用户等信息。(对于iMC服务器URI是如下固定的内容,其中仅IP地址可以被替换)
[Device-restfulserver-rest1] uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser
[Device-restfulserver-rest1] uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces
sUserGroup
[Device-restfulserver-rest1] quit
# 创建名称为imc的用户导入策略,并进入该用户导入策略视图。
[Device] user-identity user-import-policy imc
# 在身份识别用户导入策略imc中,指定名称为rest1的RESTful服务器。
[Device-identity-user-impt-policy-imc] restful-server rest1
# 在身份识别用户导入策略imc中,配置自动导入身份识别用户账户的周期为1小时。
[Device-identity-user-impt-policy-imc] account-update-interval 1
[Device-identity-user-impt-policy-imc] quit
# 开启身份识别用户导入策略imc的身份识别用户账户自动导入功能。
[Device] user-identity user-account auto-import policy imc
# 从名称为imc的身份识别用户导入策略指定的服务器上手工导入身份识别用户账户。(请在设备与iMC正常通信后执行此命令)
[Device] user-identity user-account import policy imc
(13) 配置安全策略仅允许user10003访问Internet
# 配置名称为user10003的安全策略规则,仅允许user10003主动访问Internet,但是禁止Internet用户主动访问内网。
[Device-security-policy-ip] rule 3 name user10003
[Device-security-policy-ip-3-user10003] source-zone trust
[Device-security-policy-ip-3-user10003] destination-zone untrust
[Device-security-policy-ip-3-user10003] user user10003
[Device-security-policy-ip-3-user10003] action pass
[Device-security-policy-ip-2-user10003] logging enable
[Device-security-policy-ip-3-user10003] quit
[Device-security-policy-ip] quit
# 在iMC上增加设备保证iMC可以监控和管理设备,具体配置步骤如下。
(1) 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
(2) 增加设备
# 选择“资源”页签,单击导航树中的[资源管理/增加设备]菜单项,进入增加设备配置页面,其配置内容如下图所示,其中Telnet参数的用户名和密码均为admin;其他配置保持默认值即可,其中SNMP的只读团体字密码缺省值为public,读写团体字密码缺值省为private。
图2-26 增加设备
# 单击<确定>按钮完成操作。
(3) 修改NETCONF参数信息
# 选择“资源”页签,单击导航树中的[视图管理/设备视图]菜单项,进入设备视图列表页面,在此页面的设备标签列单击目标设备,进入某设备的详细信息页面,如下图所示。
图2-27 设备视图列表
# 在设备详细信息页面的右侧,依次单击[配置/修改NETCONF参数],在弹出的对话框中单击加号添加协议,具体配置内容如下图所示,其中用户名和密码为admin。
# 单击<确定>按钮完成操作。
(1) 在安全业务中同步设备,保证设备与iMC服务器上的配置信息和用户信息的同步
# 选择“业务”页签,单击导航树中的[安全业务管理/设备管理]菜单项,进入设备管理配置页面,在设备管理页签下的设备列表中可以看到添加成功的设备,如下图所示。
图2-28 安全设备管理页面
# 选中需要同步的设备单击<同步>按钮,进行设备同步。设备同步完成后同步状态一列会显示成功,如下图所示。(同步时间较长,请耐心等待)
图2-29 安全设备管理页面
(2) 配置用户认证系统参数和用户通知参数,保证iMC服务器将用户的上下线信息实时同步给设备
# 选择“业务”页签,单击导航树中的[安全业务管理/全局参数配置]菜单项,进入全局参数配置页面,在此页面配置用户认证系统参数,如下图所示。
请根据Portal认证服务器的协议类型,选择对应的协议类型。用户名和密码与登录iMC服务器的相同。
图2-30 配置用户认证系统参数
# 选择“用户”页签,单击导航树中的[接入策略管理/业务参数配置/系统配置]菜单项,进入系统配置页面,在此页面选择用户通知参数配置进入修改用户通知页面,如下图所示。
此处的共享密钥没有用到,随意输入即可。
图2-31 修改用户通知
(1) 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
(2) 增加接入设备
# 选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击<增加>按钮,进入增加接入设备页面。配置共享密钥为admin,其他配置项如下图所示。
图2-32 增加接入设备
# 单击<确定>按钮完成操作。
添加的接入设备IP地址要与Device发送RADIUS报文的源地址保持一致。缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
· 若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
· 若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口GigabitEthernet0/1的IP地址192.168.100.88,则此处接入设备IP地址就选择192.168.100.88。
(3) 增加接入策略
# 选择“用户”页签,单击导航树中的[接入策略管理/接入策略管理]菜单项,进入接入策略管理配置页面,在该页面中单击<增加>按钮,进入增加接入策略页面。配置接入策略名为Portal,其他配置项使用缺省值即可,如下图所示。
图2-33 增加接入策略
# 单击<确定>按钮完成操作。
(4) 增加接入服务
# 选择“用户”页签,单击导航树中的[接入策略管理/接入服务管理]菜单项,进入接入服务管理配置页面,在该页面中单击<增加>按钮,进入增加接入服务页面。配置服务名为Portal,引用的缺省接入策略为Portal,其他配置项使用缺省值即可,如下图所示。
图2-34 增加接入服务
# 单击<确定>按钮完成操作。
(5) 增加接入用户
# 选择“用户”页签,单击导航树中的[接入用户管理/接入用户]菜单项,进入接入用户配置页面,在该页面中单击<增加>按钮,进入增加接入用户页面。配置用户姓名为user,帐号名为user10001,密码为admin,接入服务选择Portal,其他配置项使用缺省值即可,如下图所示。
图2-35 增加接入用户
# 单击<确定>按钮完成操作。
# 请参考上面的配置步骤,继续增加帐号user10002和user10003。
(1) 登录iMC管理平台
# 在浏览器地址栏中输入iMC管理平台的URL。本配置举例中iMC管理平台的URL为http://192.168.100.244:8080/imc/,用户名和密码均为admin,具体步骤略。
(2) 配置Portal服务器
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/服务器配置]菜单项,进入服务器配置页面。根据实际组网情况调整以下参数,本例中使用缺省配置。
图2-36 Portal服务器配置
(3) 增加IP地址组
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/IP地址组配置]菜单项,进入IP地址组配置页面,在该页面中单击<增加>按钮,进入增加IP地址组配置页面。配置内容如下图所示。
图2-37 增加IP地址组
# 单击<确定>按钮完成操作。
(4) 增加Portal设备
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在该页面中单击<增加>按钮,进入增加设备信息配置页面。配置密钥为admin,其它配置内容如下图所示。
图2-38 增加Portal设备配置
# 单击<确定>按钮完成操作。
(5) Portal设备关联IP地址组
# 选择“用户”页签,单击导航树中的[接入策略管理/Portal服务器管理/设备配置]菜单项,进入设备配置页面,在设备配置页面中的设备信息列表中,点击Router设备操作中的<端口组信息管理>按钮,进入端口组信息配置页面。
图2-39 设备信息列表
# 在端口组信息配置页面中点击<增加>按钮,进入增加端口组信息配置页面。配置内容如下图所示。
图2-40 增加端口组信息配置
# 单击<确定>按钮完成操作。
# 在Host上配置IP地址、子网掩码、默认网关保证Host可以正常与外部通信,具体配置步骤略。
# 在浏览器地址栏中输入Portal Web服务器的URL:http://192.168.100.244:8080/portal,登录Portal认证页面,输入用户名和密码,单击<Log In>按钮,Portal用户认证成功后如下图所示。
图2-41 Portal用户认证成功示意图
用户user10001、user10002和user10003进行Portal认证成功后,可以在iMC的本地在线用户列表中看到,如下图所示。
图2-42 本地在线用户示意图
# 显示所有在线的Portal用户信息。
[Device] display portal user all
Total portal users: 3
Username: user10001
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0011-95e4-4aa9 20.2.1.13 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Username: user10002
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0011-95e4-4aa3 20.2.1.13 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
Username: user10003
Portal server: newpt
State: Online
VPN instance: N/A
MAC IP VLAN Interface
0011-95e4-4aa2 20.2.1.13 -- GigabitEthernet1/0/2
Authorization information:
DHCP IP pool: N/A
User profile: N/A
Session group profile: N/A
ACL number: N/A
Inbound CAR: N/A
Outbound CAR: N/A
# 显示所有身份识别用户信息。
[Device] display user-identity all user
User ID Username
0x2 user10001
0x3 user10002
0x4 user10003
# 显示非域下名称为user10001的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10001
User name: user10001
IP : 20.2.1.11
MAC : 0011-95e4-4aa9
Type: Dynamic
Total 1 records matched.
# 显示非域下名称为user10002的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10002
User name: user10002
IP : 20.2.1.12
MAC : 0011-95e4-4aa3
Type: Dynamic
Total 1 records matched.
# 显示非域下名称为user10003的在线身份识别用户信息。
[Device] display user-identity online-user null-domain name user10003
User name: user10003
IP : 20.2.1.13
MAC : 0011-95e4-4aa2
Type: Dynamic
Total 1 records matched.
# 用户user10001不可Ping通Internet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)
C:\>ping 12.1.1.2
Pinging 12.1.1.2 with 32 bytes of data:
Request time out.
Request time out.
Request time out.
Request time out.
Ping statistics for 12.1.1.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
# 用户user10003可Ping通Internet上的主机。(假设Internet上存在一个IP地址为12.1.1.2的主机,实际组网中请以实际情况为准)
C:\>ping 12.1.1.2
Pinging 12.1.1.2 with 32 bytes of data:
Reply from 12.1.1.2: bytes=32 time=36ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Reply from 12.1.1.2: bytes=32 time<1ms TTL=253
Ping statistics for 12.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 36ms, Average = 9ms
# 当用户user10003Ping通Internet上的主机时,Device上会生成如下日志信息。
[Device]%Nov 6 10:19:53:920 2017 H3C FILTER/6/FILTER_ZONE_EXECUTION_ICMP: -Context
=1; SrcZoneName(1025)=Trust;DstZoneName(1035)=Untrust;Type(1067)=ACL;SecurityPolicy(
1072)=user10003;RuleID(1078)=3;Protocol(1001)=ICMP;SrcIPAddr(1003)=20.2.1.13;Src
MacAddr(1021)=7425-8a37-b5f6;DstIPAddr(1007)=12.1.1.2;IcmpType(1062)=ECHO(8);Icm
pCode(1063)=0;MatchCount(1069)=1;Event(1048)=Permit;
[Router] display current-configuration
#
interface GigabitEthernet0/0
port link-mode route
ip address 20.2.1.1 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
ip address 20.2.2.1 255.255.255.0
#
interface GigabitEthernet3/0
port link-mode route
combo enable copper
#
ip route-static 0.0.0.0 0 20.2.2.2
#
snmp-agent
snmp-agent local-engineid 800063A28074258A37B5F500000001
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type telnet http
authorization-attribute user-role network-admin
#
return
[Device] display current-configuration
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.100.88 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 20.2.2.2 255.255.255.0
portal enable method direct
portal domain dm1
portal apply web-server newpt
#
interface GigabitEthernet1/0/3
port link-mode route
ip address 12.1.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/2
#
security-zone name DMZ
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/3
#
line vty 0 63
authentication-mode scheme
user-role network-admin
#
ip route-static 0.0.0.0 0 12.1.1.2
ip route-static 20.2.1.0 24 20.2.2.1
#
snmp-agent
snmp-agent local-engineid 800063A280487ADA9593B700000001
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 192.168.100.244 params securityn
ame public v2c
#
radius scheme rs1
primary authentication 192.168.100.244
primary accounting 192.168.100.244
key authentication cipher $c$3$hhbEbD5Ycvw7VWqljAoMoU7hQRgcUjtg
user-name-format without-domain
#
domain dm1
authentication portal radius-scheme rs1
authorization portal radius-scheme rs1
accounting portal radius-scheme rs1
#
domain system
#
domain default enable system
#
local-user admin class manage
password hash $h$6$UbIhNnPevyKUwfpm$LqR3+yg1IjNct39MkOR0H0iQXLkYB3jMqM4vbAeoXOh
babIIFnjJPEGR00YiYA1Sz4LiY3FmEdru2fOLMb1shQ==
service-type ssh telnet terminal http https
authorization-attribute user-role level-3
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
portal web-server newpt
url http://192.168.100.244:8080/portal
#
portal server newpt
ip 192.168.100.244 key cipher $c$3$+UmaGOco7eHsjOqlrp8lI4eYe0A8NpYU
#
netconf soap http enable
netconf soap https enable
restful http enable
restful https enable
#
user-identity enable
user-identity user-account auto-import policy imc
#
user-identity restful-server rest1
login-name admin password cipher $c$3$phGy00HA6OP6pIpGI0KOKZEOPuLVbtt/
uri get-user-database http://192.168.100.244:8080/imcrs/ssm/imcuser/accessUser
uri get-user-group-database http://192.168.100.244:8080/imcrs/ssm/imcuser/acces
sUserGroup
uri get-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/onlineUser
uri put-online-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOnlineU
ser
uri put-offline-user http://192.168.100.244:8080/imcrs/ssm/imcuser/uploadOfflin
eUser
#
user-identity user-import-policy imc
account-update-interval 1
restful-server rest1
#
security-policy ip
rule 0 name dmz-local
action pass
source-zone dmz
destination-zone local
rule 1 name local-dmz
action pass
source-zone local
destination-zone dmz
rule 2 name trust-dmz
action pass
source-zone trust
source-zone dmz
destination-zone dmz
destination-zone trust
rule 3 name user10003
action pass
logging enable
source-zone trust
destination-zone untrust
user user10003
#
return
支持
