• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

16-用户认证功能典型配置举例

本章节下载 16-用户认证功能典型配置举例  (631.76 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334139_30005_0.htm

16-用户认证功能典型配置举例


1  简介

本文档介绍ACG1000设备用户认证配置举例,包括本地用户Web认证、Radius联动Web认证和LDAP联动Web认证。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解用户认证特性。

3  使用限制

ACG1000 设备R6605版本仅支持简单模式的LDAP联动认证,不支持匿名和通用模式的LDAP联动认证,在配置时请使用简单模式的LDAP联动认证。

4  配置举例

4.1  组网需求

图1所示,某公司的财务部、工程部和生产部实行用户认证上网,其网段分别是172.16.1.0/24、172.16.2.0/24和172.16.3.0/24。内网Radius服务器的地址为172.16.0.10/24、LDAP服务器的地址为172.16.0.20/24。使用ACG1000设备的ge0和ge1接口透明模式部署在网络中,在ACG1000上配置用户认证功能。具体要求如下:

·     财务部进行Web认证上网,用户名和密码存储在ACG1000设备本地。

·     工程部进行Web认证上网,用户名和密码存储在Radius服务器上。

·     生产部进行Web认证上网,用户名和密码存储在LDAP服务器上。

·     财务部、工程部和生产部的每个Web认证用户需要支持两个终端同时并发登录,要求用户成功登录后跳转到http://www.baidu.com。

图1 用户认证功能配置组网图

 

4.2  配置思路

·     配置Radius和LDAP服务器对象,设备上的相关参数配置需要和服务器保持一致。

·     配置地址对象。

·     配置本地用户,在配置时建立本地用户和服务器之间的绑定关系,用户名需要和服务器上的用户名保持一致。

·     配置用户策略触发认证,配置IPv4策略允许上网。

4.3  使用版本

本举例是在R6608版本上进行配置和验证的。

4.4  配置注意事项

·     ACG1000设备配置Web认证时,允许用户的TCP三次握手报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用Web认证功能时,需要保证终端可以进行正常的HTTP访问。

·     如果需要实现访问某些资源时免Web认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除。目前仅支持排除IP地址,不支持排除域名。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网管

图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web网管

 

2. 添加服务器

(1)     配置工程部Radius服务器

图3所示,进入“用户管理>认证服务器> Radius”,点击<新建>,配置“服务器地址”为172.16.0.10,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>。

图3 添加工程部radius服务器

 

(2)     配置生产部LDAP服务器

图4所示,进入“用户管理>认证服务器>  LDAP”,点击<新建>,配置“服务器地址”为172.16.0.20,“端口”和“通用名标识”和“Base DN”需要和LDAP服务器保持一致,绑定方式选择“简单”,点击<提交>。

图4 添加生产部LDAP服务器

 

3. 配置Web认证用户

(1)     配置市场部本地认证用户

图5所示,进入“用户管理>用户”,点击<新建>,配置用户名称为“user1”,“认证方式”配置为本地认证,配置和确认密码后,在“启用”上打钩,点击<提交>。

图5 配置市场部本地认证用户

 

(2)     配置工程部Radius认证用户

图6所示,进入“用户管理>用户”,点击<新建>,配置用户名称为“user2”,“认证方式”配置为Radius,在“启用”上打钩,点击<提交>。

图6 配置工程部Radius认证用户

 

(3)     配置生产部LDAP认证用户

图7所示,进入“用户管理>用户”,点击<新建>,配置用户名称为“user3”,“认证方式”配置为LDAP,在“启用”上打钩,点击<提交>。

图7 配置生产部LDAP认证用户

 

图8所示,添加完成的认证用户对象配置如下。

图8 Web认证用户对象配置完成

 

4. 配置用户认证地址对象

(1)     配置财务部地址对象

图9所示,进入“对象管理>地址”,点击<新建>,命名为“财务部地址对象”,“地址项目”选为子网地址,配置地址为172.16.1.0/24,点击<提交>。

图9 配置财务部地址对象

 

(2)     配置工程部地址对象

图10所示,进入“对象管理>地址”,点击<新建>,命名为“工程部地址对象”,“地址项目”选为子网地址,配置地址为172.16.2.0/24,点击<提交>。

图10 配置工程部地址对象

 

(3)     配置生产部地址对象

图11所示,进入“对象管理>地址”,点击<新建>,命名为“生产部地址对象”,“地址项目”选为子网地址,配置地址为172.16.3.0/24,点击<提交>。

图11 配置生产部地址对象

 

图12所示,创建完成的地址对象配置如下。

图12 用户认证地址对象配置完成

 

5. 配置Web认证参数

图13所示,进入“用户管理>认证服务器>本地Web认证”,勾选“允许重复登录”,配置“允许登录数”为2,配置重定向URL为http://www.baidu.com,点击<提交>。

图13 配置Web认证

6. 配置IPv4策略

图14所示,进入“上网行为管理>策略配置>IPv4策略”,点击<新建>,保持所有默认选项,新建一条全部允许策略。

图14 配置IPv4策略

 

7. 配置用户策略

(1)     配置财务部用户策略

图15所示,进入“用户管理>用户策略”,点击<新建>,源地址配置为“财务部地址对象”,相关行为配置为“本地Web认证”,其它选项保持默认,点击<提交>。

图15 配置财务部用户策略

 

(2)     配置工程部用户策略

图16所示,进入“用户管理>用户策略”,点击<新建>,源地址配置为“工程部地址对象”,相关行为配置为“本地Web认证”,其它选项保持默认,点击<提交>。

图16 配置工程部用户策略

 

(3)     配置生产部用户策略

图17所示,进入“用户管理>用户策略”,点击<新建>,源地址配置为“生产部地址对象”,相关行为配置为“本地Web认证”,其它选项保持默认,点击<提交>。

图17 配置生产部用户策略

 

图18所示,添加完成的用户策略配置如下。

图18 用户策略配置完成

 

8. 配置Radius服务器

图19所示,以WinRadius为例搭建Radius服务器,点击<操作>,配置用户名为user2,密码为123456,点击<确定>。

图19 配置Radius服务器

 

9. 配置LDAP服务器

图20所示,在LDAP服务器上配置Common Name和Sumname为user3,User Password为123456。

图20 配置LDAP服务器

 

4.6  验证配置

图21所示,在每个网段使用终端进行HTTP访问,弹出如下本地Web认证页面,填写用户名和密码进行认证。

图21 本地Web认证页面

 

图22所示,财务部(172.16.1.0/24)本地用户user1测试认证成功。

图22 财务部本地Web认证成功

 

图23所示,工程部(172.16.2.0/24)Radius联动用户user2测试认证成功。

图23 Radius联动用户Web认证成功

 

图24所示,生产部(172.16.3.0/24)LDAP联动用户user3测试认证成功。

图24 LDAP联动用户Web认证成功

 

图25所示,用户Web认证通过后跳转到配置的http://www.baidu.com。

图25 Web认证通过后重定向到www.baidu.com

 

4.7  配置文件

!

admin auth certificate

radius-server Radius 172.16.0.10 secret kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN 1812

ldap LDAP

 ldap 172.16.0.20 389

 cnid cn

 dn ou=test_1,dc=domain1,dc=com1

 bindtype simple

!

address 财务部地址对象

 ip subnet 172.16.1.0/24

!

address 工程部地址对象

 ip subnet 172.16.2.0/24

!

address 生产部地址对象

 ip subnet 172.16.3.0/24

!

user user1 11

 enable

 enable authenticate

 authenticate local-key kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN

!

user user2 12

 enable

 enable authenticate

 authenticate radius Radius

!

user user3 13

 enable

 enable authenticate

 authenticate ldap LDAP

!

user-policy any any 财务部地址对象 any always local-webauth 1

user-policy any any 工程部地址对象 any always local-webauth 2

user-policy any any 生产部地址对象 any always local-webauth 3

!

policy any any any any any any any always noaudit 1

policy default-action permit

policy white-list enable

!

user-webauth login-multi number 2

user-webauth hello-url http://www.baidu.com

!user-portal-server

5  相关资料

·     《H3C SecPath ACG1000系列应用控制网关Web配置手册》中的“用户和用户认证”

·     《H3C SecPath ACG1000系列应用控制网关配置指导》中的“用户配置指导”

·     《H3C SecPath ACG1000系列应用控制网关对外测试手册》中的“用户管理测试”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们