19-用户和用户认证
本章节下载: 19-用户和用户认证 (2.69 MB)
用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。
根据用户的认证状态,可以将用户分为三类:匿名用户、静态绑定用户、认证用户。
· 匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户IP作为匿名用户的用户名。
· 静态绑定用户,是指系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。
· 认证用户, 是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、短信认证、微信认证、访客二维码认证、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证。
根据不同的用户分类,可以采取不同的用户策略,对用户的网络访问等进行权限限制和监控。
通过用户组织结构可以清晰的将每个用户按照组织架构进行分类处理,方便管理和维护。属性组则是为每个用户附加一个或者多个属性,这样可以通过属性组的方式将某一类用户进行管控。
· 组织结构组包含用户和用户组,用户组可以包含用户和用户组,支持8级层级,每个层级支持1024个节点。
· 属性组没有层级结构,全部属性组组使用并列的形式。
· 同一用户在组织结构组中仅可出现一次。
· 属性组中相同用户可以同时存在于多个属性组。
在导航栏中选择“用户管理 > 用户”,选择用户显示页面,如图1-1所示。
页面的详细说明如表1-1所示。
项目 |
说明 |
组织结构 |
以树形结构的方式展示所有用户的组织结构信息,最大支持8级的组织结构。 |
名称 |
该用户组下的用户或者下一级用户组的名称,1-63字符。 |
描述 |
用户组或者用户的描述信息,没有则为空。 |
类型 |
此行对应的是用户组或用户。 |
所属用户组 |
上一级用户组的名称,如果该用户组的所属用户组为“/”,则表示该用户的上一级用户组为根组。 |
绑定范围 |
显示该用户绑定的IP或者MAC地址。 |
状态 |
该用户是否生效。 |
引用 |
该用户在系统中被策略引用的次数。 |
操作 |
可以修改或者删除该用户或者用户组,被引用或者预定义的用户和用户组不能被删除。 |
选择“用户管理 > 用户”,将鼠标移至<新建>按钮,在下拉框中选择“组”,进入用户组的新建页面,如图1-2所示。
页面的详细说明如表1-2所示。
项目 |
说明 |
名称 |
用户组的名称。 |
描述 |
用户组的描述。 |
路径 |
用户组所属的路径。 |
按照需求输入对应的项目后,单击<提交>,即可将该用户组加入到选择的路径下。
选择“用户管理>用户”,将鼠标移至<新建>按钮,在下拉框中选择“用户”,进入用户的新建页面,如图1-3所示。
页面的详细说明如表1-3所示。
项目 |
说明 |
启用 |
用户是否启用。 |
登录名 |
用户的名称。 |
描述 |
关于用户的描述。 |
所属组 |
用户所属于的用户组。 |
本地密码 |
勾选之后设置用户的本地密码,不勾选代表此用户为无密码或者为第三方服务器认证用户,密码记录在地三方服务器。 |
确认密码 |
重新确认一次密码,防止误操作。 |
允许修改密码 |
允许本地认证用户修改登录密码。 |
初次认证修改密码 |
强制本地认证用户在第一登录时修改密码。 |
绑定范围 |
用户登录的地址范围,支持主机,地址范围,网络和mac地址的绑定。 |
排除IP |
用户登录的地址范围内排除IP。 |
账户过期时间 |
账号有效期,可选择永不过期或者在某天后过期。 |
按照需求输入对应的项目后,单击<提交>,即可将该用户加入到选择的用户组下。
在组信息显示页面,勾选中用户或者用户组后,单击列表上方的<删除>按钮,或者单击对应用户或用户组操作中的<删除>按钮,如图1-4所示,可以删除对应的用户组或者用户。
在用户显示页面,勾选需要导出的用户和用户组信息,再单击页面上方的<导出>按钮,可以将所选的本地用户和用户组导出成csv文件。
图1-5 导出用户组
导出的文件中只包含勾选的用户或者用户组信息,用户组内的用户或者下一级用户组信息不能导出。
在用户显示页面单击<导入>按钮,弹出导入用户弹窗,在弹窗的左下角单击“下载模板”,可以下载用户导入模板,将用户和用户组信息录入模板后,在弹窗的上传文件名称中选择修改后的模板,并勾选需要的选项,单击<提交>按钮即可将用户或者用户组导入到系统中。
图1-6 导入用户组
导入用户的详细说明如所示。
表1-4 导入用户详细说明
项目 |
说明 |
上传文件名称 |
选择本地已经录入用户的模板文件。 |
当用户所属组不存在时,自动创建 |
勾选后,如所填写的所属用户组在本地不存在,则自动创建该用户组。 |
对本地已经存在的用户 |
可以选择继续覆盖本地用户或者跳过该用户的导入。 |
对有本地密码的用户,要求初次登录时修改初始密码 |
勾选后,有本地密码的用户首次登录时要求修改初始密码。 |
通过用户和用户组移动功能,可以同时将多个用户或者用户组以及用户组中的子用户组和用户移动到指定的用户组中。
通过菜单“用户管理 > 用户”,选择勾选需要移动的用户或者用户组(也可以通过选择按钮快捷选择用户和用户组),单击<移动>,在用户组选择弹窗中单击目标用户组,即可将选中的用户和用户组移动到目标用户组中。如图1-7所示。
使用用户批量编辑功能,可以同时对多个用户属性进行编辑。
仅用户支持批量编辑功能,用户组不支持批量编辑。
选择“用户管理>用户”,进入用户列表,勾选需要批量修改的用户,单击列表上方的<批量编辑>按钮,即可进入批量编辑用户页面。如图1-8所示。
批量编辑用户页面的详细说明如下表所示。
表1-5 批量编辑用户页面说明
标题项 |
说明 |
用户 |
进行批量编辑的用户 |
用户状态 |
勾选则修改用户状态,不勾选则不修改用户状态 勾选后,选择启用则选择的用户状态批量修改为启用;选择禁用则批量修改为禁用。 |
密码设置 |
选择用户的密码统一重置密码。 勾选允许修改密码则用户允许自行修改密码 勾选初次认证修改密码则用户初次登录是强制修改密码。 |
用户认证配置的推荐步骤如表2-1所示。
配置任务 |
说明 |
详细配置 |
配置用户和用户组 |
必选 |
|
配置认证服务器 |
可选(使用第三方认证服务器时选择。) |
|
第三方用户同步 |
可选(使用第三方认证服务器时选择。) |
|
配置高级选项 |
必选 |
|
配置认证设置 |
必选 |
|
配置认证策略 |
可选 |
本小节中的认证服务器是指第三方的Radius或者LDAP认证服务器,主要用于第三方用户同步和认证。
LDAP是轻量目录访问协议,英文全称是lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,与X.500不同,LDAP支持TCP/IP。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,LDAP其实是一电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。
在一些存在众多分支机构的大企业等网络中,往往存在LDAP(轻量级目录访问协议)系统,用户信息都由LDAP系统进行管理,如果分支机构间的人员出差频繁而又不符合漫游策略,为方便管理员开户操作,可以从LDAP系统中同步用户信息。
通过LDAP同步将AD服务器上的用户及用户组同步到设备上,对同步下来的用户及用户组可进行策略引用,同步方式为周期同步和触发同步两种:
设备周期向AD服务器发送LDAP同步请求。
在导航栏中选择“用户管理>认证服务器”,将鼠标移至<新建>按钮,在下拉框中选择“LDAP服务器”,进入LDAP服务器的配置界面,如图2-1所示。LDAP服务器详细参数如表2-2所示。
图2-1 LDAP服务器配置界面
表2-2 LDAP服务器界面的详细说明
参数 |
说明 |
服务器名称 |
LDAP服务器名称。 |
服务器IP |
LDAP服务器地址。 |
端口 |
LDAP服务器端口,默认389明文,暂时不支持636加密同步。 |
通用标识 |
cn:全称 common name,配置cn时,同步、认证都使用标识名。 sAMAccountName:同步和认证使用登录名。 |
Base DN |
用于获取同步信息的服务器域名路径。 |
管理员 |
拥有管理权限的域服务器管理员。 |
管理员密码 |
管理员对应密码。 |
在导航栏中选择“用户管理>认证服务器>服务器组”,将鼠标移至<新建>按钮,在下拉框中选择“LDAP组”,进入LDAP组配置界面,如图2-2所示。LDAP组详细参数如表2-3所示。
图2-2 LDAP组新建界面
表2-3 LDAP组界面的详细说明
参数 |
说明 |
名称 |
LDAP组名称。 |
服务器列表 |
已配置的LDAP服务器名称,最多可加入5个服务器。 |
在“用户管理>高级选项>全局配置>认证配置”处,选择LDAP组统一认证。
LDAP用户认证通用名标识有两种类型分别是CN和sAMAccountName,如图2-3所示。
图2-3 LDAP用户认证通用名标识类型
CN:使用的是标识名进行认证,标识名使用CN时服务器用户配置如图2-4所示。
图2-4 标识名使用CN时服务器用户配置
sAMAccountName:使用的是登录名进行认证,标识名使用sAMAcountName时服务器用户配置如图2-5所示。
图2-5 标识名使用sAMAcountName时服务器用户配置
在导航栏中选择“用户管理>认证服务器”,将鼠标移至<新建>按钮,在下拉框中选择“RADIUS服务器”,进入RADIUS服务器的配置界面,如图2-6所示。RADIUS服务器详细参数如表2-4所示。
图2-6 RADIUS服务器配置页面
表2-4 RADIUS服务器创建页面详细说明
项目 |
说明 |
服务器名称 |
RADIUS服务器名称。 |
服务器地址 |
RADIUS服务器地址。 |
服务器密码 |
RADIUS服务器密码。 |
端口 |
RADIUS服务器端口,缺省为1812。 |
输入完毕后,点击<提交>按钮,应用配置。
在认证服务器显示页面,选中RADIUS服务器后,点击页面上上方的<删除>按钮,或者点击对应RADIUS服务器的<删除>按钮,如图2-7所示,可以删除对应的RADIUS服务器。
在导航栏中选择“用户管理>认证服务器>服务器组”,将鼠标移至<新建>按钮,在下拉框中选择“RADIUS组”,进入RADIUS组配置界面,如图2-8所示。RADIUS组详细参数如表2-5所示。
图2-8 RADIUS服务器组配置页面
表2-5 RADIUS服务器组创建页面详细说明
项目 |
说明 |
名称 |
RADIUS服务器组名称。 |
服务器列表 |
已经配置的RADIUS服务器列表。 |
选中左边的服务器列表中的服务器,点击<添加>按钮,可以将选中服务器添加到服务器组中。
选中右边的服务器列表中的服务器,点击<删除>按钮,可以将选中服务器从服务器组中删除。
输入完毕后,点击<提交>按钮,应用配置。
在RADIUS服务器组显示页面,点击对应RADIUS服务器组的<删除>按钮,可以删除对应的RADIUS服务器。
在导航栏中选择“用户管理>认证设置>认证模板设置”,进入认证模板显示页面,页面显示了当前所有认证模板的类型,如图2-9所示。
表2-6 认证模板设置页面详细说明
项目 |
说明 |
名称 |
认证模板名称,不支持编辑。 |
描述 |
认证模板描述,不支持编辑。 |
预览 |
模板设置完成后支持PC端和移动端效果预览。 |
操作 |
对模板进行编辑、重置等操作。 |
在导航栏中选择“用户管理>认证设置>认证模板设置>本地认证模板”,点击操作中的<编辑>按钮进入本地认证模板配置页面,页面显示了当前的本地认证模板配置,如图2-10所示。
页面的详细说明如表2-7所示。
项目 |
说明 |
标签页名称 |
本地认证Portal页面显示的标签名称。 |
欢迎词 |
本地认证模板欢迎词。 |
免责声明 |
本地认证模板免责声明。 |
按钮颜色 |
登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
本地认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-11所示。
图2-11 本地认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-12所示
在导航栏中选择“用户管理>认证设置>认证模板设置>微信认证模板”,点击操作中的<编辑>按钮进入微信认证模板配置页面,页面显示了当前的微信认证模板配置,如图2-13所示。
页面的详细说明如表2-8所示。
项目 |
说明 |
标签页名称 |
微信认证Portal页面显示的标签名称。 |
欢迎词 |
微信认证模板欢迎词。 |
免责声明 |
微信认证模板免责声明。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
微信认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击操作中的<成功页面编辑>按钮进入微信认证商家页面模板配置,页面显示了当前的微信认证商家页面模板配置,如图2-14所示。
页面详细说明如表1-4所示。
表2-9 微信认证商家页面模板配置详细说明
项目 |
说明 |
标签页名称 |
微信认证Portal页面显示的标签名称。 |
欢迎词 |
认证后的欢迎词。 |
背景图片 |
微信认证显示成功后页面的背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-15所示。
图2-15 微信认证模板PC终端预览效果
目前微信公众平台仅支持移动端微信认证,不支持PC端微信认证。
点击预览图标查看移动终端预览效果,如图2-16所示
在导航栏中选择“用户管理>认证设置>认证模板设置>短信认证模板”,点击操作中的<编辑>按钮进入短信认证模板配置页面,页面显示了当前的短信认证模板配置,如图2-17所示。
页面的详细说明如表2-10所示。
项目 |
说明 |
标签页名称 |
短信认证Portal页面显示的标签名称。 |
欢迎词 |
短信认证模板欢迎词。 |
免责声明 |
短信认证模板免责声明。 |
发送按钮颜色 |
发送短信验证码按钮颜色。 |
登录按钮颜色 |
点击认证登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
短信认证Porta页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-18所示。
图2-18 短信认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-19所示
在导航栏中选择“用户管理>认证设置>认证模板设置>免认证模板”,点击操作中的<编辑>按钮进入免认证模板配置页面,页面显示了当前的免认证模板配置,如图2-20所示。
页面的详细说明如表2-11所示。
项目 |
说明 |
标签页名称 |
免认证Portal页面显示的标签名称。 |
欢迎词 |
免认证模板欢迎词。 |
免责声明 |
免认证模板免责声明。 |
免认证描述 |
免认证portal页面显示的描述信息。 |
按钮颜色 |
免认证登录按钮颜色。 |
Logo图片 |
免认证模板Logo图片 。 |
背景图片 |
免认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-21所示。
图2-21 免认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-22所示
在导航栏中选择“用户管理>认证设置>认证模板设置>二维码认证模板”,点击操作中的<编辑>按钮进入二维码认证模板配置页面,页面显示了当前的二维码认证模板配置,如图2-23所示。
页面的详细说明如表2-12所示。
项目 |
说明 |
标签页名称 |
二维码认证Portal页面显示的标签名称。 |
欢迎词 |
二维码认证模板欢迎词。 |
免责声明 |
二维码认证免责声明。 |
按钮颜色 |
登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
二维码认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-24所示。
图2-24 二维码认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-25所示。
在导航栏中选择“用户管理>认证设置>认证模板设置>混合认证模板”,点击操作中的<编辑>按钮进入混合认证模板配置页面,页面显示了当前的混合认证模板配置,如图2-26所示。
页面的详细说明如表2-13所示。
项目 |
说明 |
标签页名称 |
混合认证模板Portal页面显示的标签名称。 |
欢迎词 |
混合认证模板欢迎词。 |
免责声明 |
混合认证模板免责声明。 |
登录按钮颜色 |
混合认证模板登录按钮颜色。 |
Logo图片 |
Logo图片设置 。 |
背景图片 |
混合认证模板Portal页面背景图片,同时支持3张背景图片混合认证显示。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击操作中的<高级配置>按钮进入混合认证模板高级配置,页面显示了当前的混合认证模板高级配置,如图2-27所示。
页面详细说明如表2-14所示。
项目 |
说明 |
发送按钮颜色 |
短信认证发送短信验证码的按钮颜色。 |
免认证描述 |
免认证描述信息。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览 图标查看PC终端预览效果,如图2-28所示。
图2-28 混合认证模板PC终端预览效果
点击预览图标查看移动终端预览效果,如图2-29所示
在导航栏中选择“用户管理 > 认证设置 > 本地WEB认证”,进入本地WEB认证配置页面,页面显示了当前的本地WEB认证配置,如图2-30所示。
图2-30 本地WEB认证配置页面(单一账号登录)
系统选择单一账号登录,如果选择允许重复登录点选框,页面如图2-31所示。
图2-31 本地WEB认证配置页面(允许多账号登录)
页面的详细说明如表2-15所示。
表2-15 本地WEB认证配置详细说明
项目 |
说明 |
用户唯一性检查 |
用户唯一性检查的配置方式。 |
单一账户登录 |
同一时间只允许同一账号登录一次。 |
踢出已登录用户 |
如果新用户登录,老的用户将会被踢下线。 |
禁止同名用户再次登录 |
如果老用户已经登录,新用户将不能以此用户名登录。 |
允许重复登录 |
同一时间允许同一账号登录多次。 |
允许个数 |
允许同一账号登录的次数,可以选择无限制,也可以设定2到1000的数值。 |
客户端超时 |
配置客户端超时方式和超时时间,超时方式包含:心跳超时、流量超时。 心跳超时:用户认证上线后的页面会定期发心跳报文,如果页面关闭心跳报文会停止发送,如果超过超时时间设备未收到心跳报文会将用户踢下线发送; 流量超时:设备检测用户产生流量,如果超过超时时间都未检测到用户流量会将用户踢下线 ; 不勾选超时时间默认不超时 |
强制重登录间隔 |
WEB强制重新认证时间。如果开启无感知,用户被强制重登录踢下线后,会重新匹配无感知上线。 |
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户上线后会将用户MAC加入无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会直接匹配无感知列表上线,无需再次认证。 |
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理 >认证设置>Portal Server”,进入Portal Server服务器配置页面,如图2-32所示。
图2-32 Portal Server服务器配置页面
页面的详细说明如表2-16所示。
表2-16 Port Server服务器创建页面详细说明
项目 |
说明 |
认证服务器 |
Portal认证使用的radius服务器或radius服务器组名称。 |
Portal服务器 |
Portal服务器的IP地址。 |
快速无感知 |
用户快速无感知认证功能及超时时间,当认证用户上线后会将用户MAC加入到IMC无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会根据用户MAC去匹配IMC服务器无感知列表,如果匹配上,则无需再次认证。 |
超时时间 |
用户认证的超时时间,在时间段内没有流量设备会强制用户下线。 |
认证URL |
Portal认证时重定向的URL。 |
在导航栏中选择“用户管理 >认证设置>微信认证”,进入微信认证配置页面,如图2-33所示。
页面的详细说明如表2-17所示。
项目 |
说明 |
超时时间 |
微信认证用户超时时间,默认值为15分钟。 |
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
强制关注 |
强制微信用户关注公众号。 |
应用ID |
微信公众平台,开发者中心的开发者ID中的AppId项。 |
应用密钥 |
微信公众平台,开发者中心的开发者ID中的AppSecret项。 |
服务号 |
微信服务号,微信公众平台公众号设置查看。 |
门店ID |
微信公众平台,开发者中心的设备所在门店ID。 |
WiFi名称 |
AP设备信号名称,非必须,可不填。 |
SecretKey |
微信公众平台,开发者中心的Secretkey项,不同于AppSecret项。 |
在导航栏中选择“用户管理 >认证设置>短信认证”,进入短信认证配置页面,如图2-34所示。
页面的详细说明如表2-18所示。
项目 |
说明 |
启用 |
启用开关,开启后可配置页面其它参数。 |
超时时间 |
短信认证用户超时时间,默认值为15分钟。 |
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
厂商 |
短信网关厂商设置,目前支持凌凯、亿美软通、一信通、佳诺、阿里云、梦网科技。 |
短信内容前缀 |
短信网关发送短信验证码时的短信内容前缀。 |
网关地址 |
网关URL地址。 |
序列号 |
短信网关的授权接入序列号 。 |
密码 |
短信网关的授权接入密码。 |
短信key |
短信服务商提供的短信key。 |
短信内容 |
定制短信显示内容。 |
在导航栏中选择“用户管理 >认证设置>免认证”,进入免认证配置页面,如图2-35所示。
页面的详细说明如表2-19所示。
项目 |
说明 |
超时时间 |
免认证用户超时时间,默认值为15分钟。 |
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
访客二维码认证主要针对下列两种场景:
· 对于企业访客,联网时,终端弹出认证二维码,由公司内部审核人员(比如前台),扫描二维码,备注访客信息,然后实现访客上网;
· 对于酒店客户,手机可以通过微信认证上网,而笔记本无法进行微信认证,可以选择二维码认证,客户通过已经认证的手机,扫描笔记本二维码完成认证,最终实现笔记本上网。这种方式下,不需要弹出审核页面,直接以审核人身份上网。
在导航栏中选择“用户管理>认证设置>访客二维码认证”,进入访客二维码认证页面,页面显示了当前的访客二维码认证配置,如图2-36所示。
页面的详细说明如表2-20所示。
项目 |
说明 |
超时时间 |
二维码认证成功用户无流量的情况下超时时间。 |
二维码超时 |
二维码认证时二维码超时时间。 |
无感知 |
二维码认证成功用户无流量超时下线后,在无感知配置时间内,可以无需认证直接上线。 |
页面跳转 |
认证成功后,跳转页面,支持三种: l 之前访问的页面 l 重定向URL l 认证结果页面 |
审核人 |
审核人用户配置。 |
审核方式 |
支持两种审核方式: l 弹出审核页面,审核备注并授权。 l 不弹审核页面,以审核人身份登录。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>高级选项>第三方用户同步>第三方用户同步”,进入第三方用户同步配置页面,如图2-37所示。
页面的详细说明如表2-21所示。
项目 |
说明 |
第三方用户同步接口 |
|
服务器1/服务器2 |
是否启用第三方用户同步接口功能。开启第三方用户同步接口功能后,第三方认证服务器将用户上线下报文发送到设备的UDP9999端口,设备通过上下线报文来识别用户。支持同时配置两个对接服务器。 |
服务器名称 |
第三方认证服务器的名称。 |
服务器地址 |
第三方认证服务器的IP地址。 |
密钥 |
与第三方认证服务器之间对接的密钥,需要与对端保持一致。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>高级选项>第三方用户同步>Radius用户同步”,进入Radius用户同步配置页面,如图2-38所示。
图2-38 Radius用户同步配置页面
页面的详细说明如表2-22所示。
表2-22 Radius用户同步配置详细说明
项目 |
说明 |
RRadius用户同步 |
|
启用 |
是否启用Radius用户同步,启用该功能后,用户的Radius报文经过设备,即可通过Radius报文来识别用户。 |
Radius认证端口 |
Radius服务器上认证报文的接收端口,默认为1812。支持修改成其它使用的端口. |
Radius计费端口 |
Radius服务器上计费报文的接收端口,默认为1813。支持修改成其它使用的端口. |
用户组 |
用户同步的目的用户组。通过Radius报文识别的用户加入到配置的用户中。 |
配置完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>高级选项>第三方用户同步>web用户同步”,进入web用户同步配置页面,如图2-39所示。
图2-39 web用户同步配置页面
页面的详细说明如表2-23所示。
表2-23 web用户同步配置详细说明
项目 |
说明 |
web用户同步 |
|
启用 |
是否启用web用户同步,启用该功能后,用户的http认证报文经过设备,即可通过http认证报文来识别用户。 |
web服务器 |
配置web服务器,支持域名、IP地址、IP地址加端口。 |
类型 |
支持从URL请求参数、Cookie值、post表单中获取认证用户名。 |
url请求参数 |
对应的报文字段中查询配置的用户名关键字,配置用户名获取类型为url请求参数时配置对应url参数名;配置用户名获取类型为Cookie值时配置对应Cookie名;配置用户名获取类型为POST表单时配置对应用户表单名称。 |
用户组 |
用户默认属于web用户组,可以修改所属用户组。 |
启用认证关键字 |
是否启用认证关键字,启用该功能后,支持校验服务器响应。 |
认证成功关键字 |
启用认证成功关键字后,响应报文匹配到配置的认证成功关键字后用户才可上线,否则用户上线失败。 |
认证失败关键字 |
启用认证失败关键字后,响应报文匹配到配置的认证失败关键字后用户上线失败,否则用户上线。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>高级选项>第三方用户同步>其它用户同步”,进入其它用户同步配置页面,如图2-40所示。
页面的详细说明如表2-24所示。
项目 |
说明 |
其它用户同步 |
|
深澜 |
勾选表示与深澜认证服务器对接。开启此功能后,配置深澜服务器发送相应的报文到设备,即可识别用户。 |
城市热点 |
勾选表示与城市热点认证服务器对接。开启此功能后,配置城市热点服务器发送相应的报文到设备,即可识别用户。 |
PPPOE |
勾选表示与PPPOE服务器用户同步。通过PPPoE报文识别用户并在本地用户界面创建相应的用户PPPOE账号。 |
安美 |
勾选表示与安美认证服务器对接。开启此功能后,配置安美服务器发送相应的报文到设备,即可识别用户。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>高级选项>全局配置”,进入全局配置页面,页面显示了当前的识别配置和认证配置,如图2-41所示。
页面的详细说明如表2-25所示。
项目 |
说明 |
识别范围 |
标示用户识别范围的地址对象或者地址对象组。 |
识别模式 |
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。 “启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。 “启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。 “强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。 “强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。 |
启用第三方认证 |
是否启用第三方认证。 |
认证方式 |
第三方认证服务器是Radius服务器或者Ldap服务器。 |
RADIUS |
选择已配置的Radius服务器或服务器组。 |
Ldap |
选择已配置的Ldap服务器或服务器组。 |
输入完毕后,点击<提交>按钮,应用配置。
认证策略录入配置主要针对第三方用户,目的是将存在于第三方的用户加入设备,便于做策略限制等。
图2-42 用户认证策略流程图
在导航栏中选择“用户管理 >认证策略”,进入认证策略的显示页面,如图2-43所示。
认证策略参数详细说明,如表2-26所示
标题 |
说明 |
启用 |
认证策略启用或禁用。 |
名称 |
认证策略的名称。 |
描述 |
认证策略描述信息填写。 |
源接口 |
认证策略源接口。 |
源地址 |
认证策略源地址对象或地址组,可直接新建地址对象。 |
目的接口 |
认证策略目的接口。 |
目的地址 |
认证策略目的地址对象或地址组,可直接新建地址对象。 |
认证方式 |
认证策略认证方式可选WEB认证、Portal Server认证、短信认证、免认证、微信认证、混合认证、单点登录、二维码认证。 |
时间 |
认证策略时间对象,时间对象有效期内策略生效,时间对象无效的时候认证策略为禁用状态。 |
用户录入 |
默认不选择用户组,第三方用户认证成功后不录入用户;选择用户组后,第三方用户认证成功后录入指定的用户组。 |
用户有效时间 |
用户有效期指的是第三方用户录入方式: · 永久录入:第三方用户认证成功后录入指定组,永久有效。 · 有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。 · 临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。 |
如图2-44所示,某公司内网搭建有第三方Radius服务器,用户名全部存放在radius服务器上,要求内网用户使用radius服务器上的用户进行认证,认证成功后用户录入设备进行其它策略控制。具体要求如下:
· 内网用户进行Web认证上网,用户名和密码存储在Radius服务器上,认证成功后用户永久录入设备。
· 其它移动终端连接wifi后使用微信认证上网,认证策略用户录入为临时录入,用户下线后删除录入用户。
(1) 添加Radius服务器
通过菜单“用户管理>认证服务器>”,选择“新建>Radius服务器”,配置“服务器地址”为10.0.53.85,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>,如图2-45所示。
通过菜单进入“用户管理>认证设置>微信认证”,配置微信认证相关参数后,点击<提交>,如图2-46所示。
(3) 配置地址对象
通过菜单“上网行为管理>对象管理 > 地址对象”,点击<新建>地址对象,配置内网用户和无线wifi地址对象。如图2-47、图2-48所示。
(4) 配置用户组对象
通过菜单“用户管理>用户”,单击<新建>用户组,配置radius用户组和无线wifi用户组,如图2-49、图2-50所示。
通过菜单“上网行为管理>IPv4控制策略”,点击<新建>IPv4控制策略,进入如图2-51所示的页面。
图2-51 IPV4控制策略配置
(6) 全局配置启用第三方认证选择radius服务器
在导航栏中选择“用户管理>高级选项”,进入全局配置页面,启用第三方认证选择radius服务器,如图2-52所示。
(7) 配置用户策略
(8) 配置内网用户认证策略,用户永久录入。
通过菜单进入“用户管理>认证策略”,点击<新建>,源地址配置为“内网用户地址对象”,相关行为配置为“本地Web认证”,用户录入选择创建的“Radius-group”,有效期为永久录入,点击<提交>。如图2-53所示。
(9) 配置无线wifi用户认证策略,用户临时录入。
通过菜单进入“用户管理>认证策略”,点击<新建>,源地址配置为“无线wifi地址对象”,相关行为配置为“微信认证”,用户录入选择创建的“无线wifi”,用户有效期为临时录入,点击<提交>。如图2-54所示。
图2-54 配置无线wifi用户认证后临时录入用户策略
(1) 内网用户用户录入验证
如图2-55所示,内网终端进行HTTP访问,弹出如下本地Web认证页面,使用radius服务器上用户名、密码进行认证。
图2-55 内网用户使用第三方radius用户认证成功
如图2-56所示,设备在线用户显示第三方radius用户认证。
图2-56 Radius联动用户Web认证成功
通过菜单“用户管理>用户”,查看Radius-group用户组下,winradiusuer17用户已录入,如图2-57所示。
图2-57 Radius用户组下录入用户
如图2-58所示,编辑用户查看用户永不过期。
图2-58 radius录入用户显示为永不过期
如图2-59所示,移动终端连接wifi后浏览器弹出微信认证页面,点击一键打开微信连接进行认证。
图2-59 移动终端连接wifi后弹出微信认证页面
如图2-60所示,设备在线用户显示微信认证。
通过菜单“用户管理>用户”,查看无线wifi用户组下,微信用户已录入,如图2-61所示。
图2-61 无线wifi用户组下录入微信用户
如图2-62所示,在线用户处踢出微信认证用户。
通过菜单“用户管理>用户”,查看无线wifi用户组下,微信用户已删除,如图2-63所示。
图2-63 无线wifi用户组下录入的微信用户已删除
如图2-64所示,在公司你搭建有LDAP服务器,LDAP服务器上用户是以标识名的方式进行创建的,要求内网用户使用AD-ldap服务器同步下来的用户进行认证后上网。
图2-64 LDAP认证拓扑图
(1) 新建LDAP服务器,通用名称标识为cn,并同步。
在导航栏中选择“用户管理>认证服务器”,进入认证服务器的配置界面,选择“新建>LDAP服务器”,配置LDAP服务器,如图2-65所示。
图2-65 标识为CN的LDAP服务器配置
配置完成后如图2-66所示。
图2-66 LDAP服务器配置效果图
(2) 新建LDAP同步
在导航栏中选择“用户管理>用户同步”,选择“新建>LDAP同步”,配置LDAP同步,如图2-67所示。
(3) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图2-68所示。
图2-68 启用第三方ldap配置界面
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图2-69所示。
图2-70 PC访问网页弹出本地认证界面后,使用同步下来的LDAP用户进行认证
图2-71 认证成功效果图
如图2-72所示,在公司内网搭建有LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD—ldap服务器同步下来的用户进行认证上网。
图2-72 LDAP认证拓扑图
(1) 新建LDAP服务器,通用名称标识为sAMAccountName,并同步。
在导航栏中选择“用户管理>认证服务器”,选择“新建LDAP服务器”,如图2-73所示。
图2-73 标识名为sAMAccountName的LDAP服务器配置
配置完成后如图2-74所示。
图2-74 LDAP服务器配置效果图
(2) 新建LDAP同步
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图2-75所示。
(3) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,,如图2-76所示。
图2-76 启用第三方ldap配置界面
(4) 新建用户认证策略
在导航栏中选择“用户管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图2-77所示。
图2-78 PC访问网页弹出本地认证界面后,使用同步下来的LDAP用户进行认证
图2-79 认证成功效果图
如图2-80所示,在公司内网搭建有LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD—ldap服务器同步下来的用户进行认证上网。
图2-80 LDAP认证拓扑图
(1) 新建LDAP服务器,通用名称标识为sAMAccountName,并同步。
在导航栏中选择“用户管理>认证服务器”,单击<新建>按钮,配置LDAP服务器,如图2-81所示。
图2-81 标识名为UPN的LDAP服务器配置
配置完成后如图2-82所示。
图2-82 LDAP服务器配置效果图
(2) 新建LDAP同步
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图2-83所示。
(3) 查看LDAP同步用户
在导航栏中选择“用户管理>用户”,查看LDAP同步用户,如图2-84所示。
图2-84 LDAP同步的用户
(4) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,,如图2-85所示。
图2-85 式启用第三方ldap配置界面
(5) 新建用户认证策略
在导航栏中选择“用户管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图2-86所示。
(6) 启用LDAP认证用户名不区分大小写,如图2-87所示。
图2-87 LDAP认证用户名不区分大小写配置图
默认情况下设备认证过程中用户名称不区分大小写,而LDAP服务器在检验用户名时不区分大小写,如在LDAP服务器上配置用户名为aaa,用户在认证时输入AAA,也可以认证通过,但在设备侧上线时记录的用户名是AAA,由于设备从LDAP服务器同步下来的用户名是aaa,其它策略在调用aaa做控制后,由于上线时的用户为AAA,导致策略无法匹配上,为了解决这一问题,设备侧开启认证用户名称区分大小写,即使用户输入了AAA,上线时也会显示为aaa,与本地存的用户名一模一样,保证了后续用户对象正常匹配。
PC访问网页弹出本地认证页面,后使用同步下来的LDAP 用户进行认证。(原同步下来的用户为upntest1,启用ldap认证用户名区分大小写后,认证用户名输入UPNtest1进行认证)
(1) 关闭LDAP认证用户区分大小写
关闭ldap认证用户名区分大小写,认证页面显示如图2-88所示。
关闭ldap认证用户名区分大小写,设备在线用户显示如图2-89所示。
(2) 开启LDAP认证用户区分大小写
开启ldap认证用户名区分大小写,认证页面显示如图2-90所示。
开启ldap认证用户名区分大小,设备在线用户显示如图2-91所示。
如图2-92所示,在公司内网搭建有LDAP服务器上用户是以用户登录名的方式进行创建的,要求内网用户使用AD—ldap服务器同步下来的用户进行认证上网。
图2-92 LDAP认证拓扑图
(1) 新建LDAP服务器,通用名称标识为cn。
在导航栏中选择“用户管理>认证服务器”,选择“新建>LDAP服务器”,配置LDAP服务器,如图2-93所示。
图2-93 标识名为cn的LDAP服务器配置
(2) 新建LDAP同步,同步类型为按安全组同步。
在导航栏中选择“用户管理>用户同步”,选择“新建> LDAP同步”,配置LDAP同步,如图2-94所示。
(3) 查看LDAP同步用户
在导航栏中选择“用户管理>用户”,查看LDAP同步用户,如图2-95所示。
图2-95 LDAP同步的用户
(4) 全局模式启用第三方ldap配置
在导航栏中选择“用户管理>高级选项”,进入全局配置页面,启用第三方认证选择Ldap服务器,如图2-96所示。
(5) 新建用户认证策略
在导航栏中选择“用户管理>认证策略”,进入用户认证策略的配置页面,单击<新建>按钮,配置认证策略,如图2-97所示。
如图2-98所示,PC访问www.qq.com,弹出本地认证界面。输入LDAP同步下来的安全组用户的用户名和密码进行认证。
图2-98 PC访问网页弹出本地认证页面,后使用同步下来的LDAP 安全组用户进行认证。
如图2-99所示,安全组用户的LDAP认证效果图。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!