- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-用户配置指导
本章节下载: 05-用户配置指导 (261.56 KB)
用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。
本系统的用户类型有:匿名用户、静态绑定用户、认证用户。
· 匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户I作为匿名用户的用户名。
· 静态绑定用户,是指根据系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。
· 认证用户,是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证。
根据不同的用户分类,系统可采取不同的用户策略,对用户的网络访问等进行权限限制和监控。
|
配置任务 |
说明 |
详细配置 |
|
配置本地用户 |
必选 |
|
|
配置用户组 |
可选 |
|
|
配置用户识别属性 |
可选 |
|
|
配置静态绑定用户 |
可选 |
|
|
配置用户认证 |
可选 |
|
|
配置用户策略 |
必选 |
|
|
配置认证服务器 |
可选 |
按照表1-2步骤配置本地用户。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
— |
|
添加本地用户并且进入用户视图 |
user username |
必选 |
|
配置用户描述信息 |
description desc |
可选 缺省情况下,没有用户描述信息 |
|
启用本地用户 |
enable |
可选 缺省会自动启用本地用户 |
按照表1-3步骤配置用户组。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
添加本地用户组并且进入用户组视图 |
user-group groupname |
必选 |
|
添加组成员 |
member name |
可选 缺省情况下,用户组没有用户成员 |
|
验证用户是否匹配用户 |
match user username |
可选 验证过程 |
· 用户组成员可以是另外一个用户组。
· 配置用户组加入另外一个用户组时,注意不要发生相互包含。
按照表1-4步骤配置用户识别属性。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置用户识别范围和识别模式 |
user-param recognition scope name[ heuristic|strict ] |
可选 缺省情况下,识别范围是私有地址, 缺省情况下,识别方式为heuristic |
|
配置可识别的用户个数上限 |
user-param recognition thresholdcount |
可选 缺省情况下,可识别的用户个数上限为60000个 |
· 识别模式分为“启发模式”和“严格模式”两种。
· “启发模式”指的是,优先将属于识别范围的IP地址识别为用户。
· “严格模式”指的是,当一个IP地址属于识别范围时,一定会被识别为用户;反之当一个IP地址不属于识别范围时,一定不会识别为用户。
首先需要配置要绑定的用户。
按照表1-5步骤配置静态绑定用户。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入用户视图 |
user username |
— |
|
启用静态绑定 |
enable bind |
必选 |
|
配置绑定的IP地址 |
bind ip{ address ip-address | range start_ipend_ip } |
必选 |
|
配置例外IP地址 |
bind exclude ip{ address ip-address | range start_ipend_ip } |
可选 |
· 绑定IP地址可以配置多条,但是条目之间不能有冲突现象。
· 用户和用户组的名称不能相同。
首先需要配置要认证的用户。
按照表1-6步骤配置本地用户。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入用户视图 |
user username |
— |
|
启用认证 |
enable authenticate |
必选 |
|
设置用户认证密码 |
authenticate local password |
必选 |
认证用户和静态绑定用户只能选择其中一种。
按照表1-7步骤配置本地WEB认证属性。
表1-7 配置本地WEB认证属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置WEB本地认证的强制重认证时间 |
user-webauth force-timeout timeout |
可选 |
|
配置WEB本地认证的重定向时间 |
user-webauth hello-url url |
可选 |
|
配置WEB本地认证的心跳超时时间 |
user-webauth keepalive-timeout timeout |
可选 缺省情况下,WEB本地认证的心跳超时时间为10分钟 |
|
配置WEB本地认证允许重复登录的次数 |
user-webauth login-multi number[ count] |
二选一 缺省情况下,是单用户登录,会剔除老的用户。 |
|
配置WEB本地认证的单用户登录方式 |
user-webauth login-single mode { kick-old|forbid-new } |
· 配置要认证的用户。
· 配置LDAP认证服务器。
按照表1-8步骤配置LDAP用户。
表1-8 配置LDAP认证用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入用户视图 |
user username |
— |
|
启用认证 |
enable authenticate |
必选 |
|
配置LDAP认证服务器 |
authenticate ldap server |
二者必选其一 |
|
配置LDAP认证组 |
authenticate group group-name |
· 配置要认证的用户。
· 配置RADIUS认证服务器。
按照表1-9步骤配置RADIUS用户。
表1-9 配置RADIUS认证用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入用户视图 |
user username |
— |
|
启用认证 |
enable authenticate |
必选 |
|
配置RADIUS认证服务器 |
authenticate radius server |
二者必选其一 |
|
配置RADIUS认证组 |
authenticate group group-name |
按照表1-10步骤配置用户策略。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置用户策略 |
user-policy {if_in| any } { if_out| any } {sip | any } { dip | any } { schedule | always } { permit | local-webauth | portal-server-webauth| wechat-webauth} |
必选 |
按照表1-11步骤配置RADIUS认证服务器。
表1-11 配置RADIUS认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置RADIUS服务器配置 |
radius-server name server-ipsecret[port ] |
必选 |
按照表1-12步骤配置LDAP认证服务器。
表1-12 配置LDAP认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置LDAP服务器名并进入LDAP配置模式 |
ldap name |
必选 |
|
配置LDAP服务器地址 |
ldap server-ip[ port ] |
端口为可选项 缺省情况下,LDAP服务器端口为389 |
|
配置绑定类型 |
bindtype{ anonymous | simple | regular user name passwd password } |
必选 |
|
配置通用标识名 |
cnid cnid |
必选 |
|
区别名 |
dn dn |
必选 |
|
过滤 |
filter option |
可选 缺省情况下,无过滤配置 |
按照表1-13步骤配置RADIUS认证服务器组。
表1-13 配置RADIUS认证服务器组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置RADIUS服务组 |
server-group name radius firewall |
必选 |
|
配置RADIUS服务器加入服务器组 |
radius-server name group groupname |
可选 缺省情况下,服务器组中没有服务器 |
按照表1-14步骤配置LDAP认证服务器组。
表1-14 配置LDAP认证服务器组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置LDAP服务组 |
server-group name ldap firewall |
必选 |
|
配置LDAP服务器加入服务器组 |
ldap name group groupname |
可选 缺省情况下,服务器组中没有服务器 |
按照表1-15步骤配置Port Server认证。
表1-15 配置Port Server认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置Port Server认证的RADIUS服务器 |
user-portal-server radius name |
必选 |
|
配置认证的重定向URL |
user-portal-server portal-url url-name |
必选 |
|
配置Port Server服务器的IP地址 |
user-portal-server server server-ip |
必选 |
|
配置认证的超时时间 |
user-portal-server timeout time-value |
可选 缺省情况,超时时间为15分钟 |
按照表1-16步骤配置微信认证。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置微信认证重定向模式 |
user-wechat portal-mode { local | custom} |
可选 缺省情况,为local模式 |
|
配置认证的重定向URL |
user-wechat portal-url url-name |
必选 |
|
配置微信认证弹出URL |
user-wechat follow-host host-name |
必选 |
|
配置认证的超时时间 |
user-wechat timeout time-value |
可选 缺省情况,超时时间为15分钟 |
按照表1-17的命令查看维护用户的配置。
|
操作 |
命令 |
|
显示本地用户 |
display user [username ] |
|
显示用户组 |
display user-group [usergroupname ] |
|
显示在线用户状态 |
display user-recognition |
|
显示用户策略 |
display user-policy |
|
清除所有动态识别出的在线用户 |
clear user-recognition |
强制A部门(192.168.1.0/24)必须做本地WEB认证后才能正常上网。
(1) 为部门A配置一个统一的用户A。
hostA(config)# user A
hostA(config-user)# enable authenticate
hostA(config-user)# authenticate local 123456
hostA(config)# display user
Flags: E--Enabled, F--Frozen-Enabled, A--Authenticate-Need, B--Bind-Address
Name Ref Status Frozen-EndTime Account Bind-Address
any 0 E---
A 0 E-A- [LOCAL]
(2) 配置用户认证属性,允许多用户同时登录。
hostA(config)# user-webauth login-multi 100
(3) 为部门A分配一个地址对象。
hostA (config)# address A部门
hostA (config-address)# ipsubnet 192.168.1.0/24
hostA (config-address)# exit
(4) 配置用户策略。
hostA (config)# user-policy ge1 ge0 A部门 any always local-webauth
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
