- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-用户配置指导
本章节下载: 05-用户配置指导 (298.29 KB)
用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。
本系统的用户类型有:匿名用户、静态绑定用户、认证用户。
· 匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户I作为匿名用户的用户名。
· 静态绑定用户,是指根据系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。
· 认证用户,是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证。
根据不同的用户分类,系统可采取不同的用户策略,对用户的网络访问等进行权限限制和监控。
|
配置任务 |
说明 |
详细配置 |
|
配置本地用户 |
必选 |
|
|
配置用户组 |
可选 |
|
|
配置用户识别属性 |
可选 |
|
|
配置静态绑定用户 |
可选 |
|
|
配置用户认证 |
可选 |
|
|
配置用户策略 |
必选 |
|
|
配置认证服务器 |
可选 |
按照表1-2步骤配置本地用户。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
— |
|
添加本地用户并且进入用户视图 |
user username |
必选 |
|
配置用户描述信息 |
description desc |
可选 缺省情况下,没有用户描述信息 |
|
启用本地用户 |
enable |
可选 缺省会自动启用本地用户 |
按照表1-3步骤配置用户组。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
添加本地用户组并且进入用户组视图 |
user-group groupname |
必选 |
|
添加组成员 |
member name |
可选 缺省情况下,用户组没有用户成员 |
|
验证用户是否匹配用户 |
match user username |
可选 验证过程 |
· 用户组成员可以是另外一个用户组。
· 配置用户组加入另外一个用户组时,注意不要发生相互包含。
按照表1-4步骤配置用户识别属性。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置用户识别范围和识别模式 |
user-param recognition scope name [ heuristic|strict ] |
可选 缺省情况下,识别范围是私有地址, 缺省情况下,识别方式为strict |
|
配置可识别的用户个数上限 |
user-param recognition threshold count |
可选 缺省情况下,识别用户的个数是因设备内存大小不同会有差异。 (1)内存大于等于8G 的规格为60000; (2)内存大于等于4G而小于8G的规格为40000; (3)内存小于4G的规格为10000 |
· 识别模式分为“启发模式”和“强制模式”两种。
· “启发模式”指的是,优先将属于识别范围的IP地址识别为用户,并且先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为用户。
· “强制模式”指的是,只有源IP或目的IP地址属于识别范围时,才会被识别为用户;否则不识别,该IP地址不受系统转发流程中用户识别后的所有功能模块限制,如:不受用户策略限制,也不会出现在在线用户当中。
首先需要配置要绑定的用户。
按照表1-5步骤配置静态绑定用户。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入用户视图 |
user username |
— |
|
启用静态绑定 |
enable bind |
必选 |
|
配置绑定的IP地址 |
bind ip{ address ip-address | range start_ipend_ip } |
必选 |
|
配置例外IP地址 |
bind exclude ip{ address ip-address | range start_ipend_ip } |
可选 |
· 绑定IP地址可以配置多条,但是条目之间不能有冲突现象。
· 用户和用户组的名称不能相同。
首先需要配置要认证的用户。
按照表1-6步骤配置本地用户。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入用户视图 |
user username |
— |
|
启用认证 |
enable authenticate |
必选 |
|
设置用户认证密码 |
authenticate local password |
必选 |
认证用户和静态绑定用户只能选择其中一种。
按照表1-7步骤配置本地WEB认证。
表1-7 配置本地WEB认证属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置WEB本地认证的强制重认证时间 |
user-webauth force-timeout timeout |
可选 |
|
配置WEB本地认证的重定向时间 |
user-webauth hello-url url |
可选 |
|
配置WEB本地认证的心跳超时时间 |
user-webauth keepalive-timeout timeout |
可选 缺省情况下,WEB本地认证的心跳超时时间为10分钟 |
|
配置WEB本地认证允许重复登录的次数 |
user-webauth login-multi number[ count] |
二选一 缺省情况下,是单用户登录,会剔除老的用户。 |
|
配置WEB本地认证的单用户登录方式 |
user-webauth login-single mode { kick-old|forbid-new } |
· 配置要认证的用户。
· 配置LDAP认证服务器。
按照表1-8步骤配置LDAP用户。
表1-8 配置LDAP认证用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入用户视图 |
user username |
— |
|
启用认证 |
enable authenticate |
必选 |
|
配置LDAP认证服务器 |
authenticate ldap server |
二者必选其一 |
|
配置LDAP认证组 |
authenticate group group-name |
· 配置要认证的用户。
· 配置RADIUS认证服务器。
按照表1-9步骤配置RADIUS用户。
表1-9 配置RADIUS认证用户
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
进入用户视图 |
user username |
— |
|
启用认证 |
enable authenticate |
必选 |
|
配置RADIUS认证服务器 |
authenticate radius server |
二者必选其一 |
|
配置RADIUS认证组 |
authenticate group group-name |
按照表1-10步骤配置微信认证。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置微信公众号APPID |
user-wechat appid string |
必选 从微信公众平台获取appid |
|
配置微信公众号应用密钥 |
user-wechat secretkey string |
必选 |
|
配置微信认证token-url |
user-wechat token-url url |
可选 允许为空,当不配置token-url时直接从微信平台获取token,配置token-url后从token-url间接获取token)。当有多个网关使用同一个微信公众号时需要设置token-url,因为一旦微信公众号上的token更新后,老的token就失效了 |
|
配置微信认证强制关注 |
user-wechat force-concern {enable|disable} |
可选 |
|
配置微信认证用户名模式 |
user-wechat name-mode {openid|tid} |
可选 默认用户名取openid |
|
配置微信认证无感知功能 |
user-wechat without-awareness {enable|disable} |
可选 |
|
配置微信认证用户白名单 |
user-wechat white-list {A.B.C.D|A.B.C.D/M} |
可选 微信用户白名单只对微信认证有效 |
|
配置认证的超时时间 |
user-wechat timeout time-value |
可选 缺省情况,超时时间为15分钟 |
按照表1-11步骤配置短信认证。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置短信认证无感知功能 |
user-sms without-awareness {enable|disable} |
可选 缺省情况为关闭状态 |
|
配置认证的超时时间 |
user-sms timeout time-value |
可选 缺省情况,超时时间为15分钟 |
按照表1-12步骤配置免认证。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置免认证超时时间 |
user-free timeout time-value |
可选 缺省情况,超时时间为15分钟 |
按照表1-13步骤配置单点登录。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置AD域单点登录会话密钥 |
user-adsso key key |
必选 |
按照表1-14步骤配置Port Server认证。
表1-14 配置Port Server认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置Port Server认证的RADIUS服务器 |
user-portal-server radius name |
必选 |
|
配置认证的重定向URL |
user-portal-server portal-url url-name |
必选 |
|
配置Port Server服务器的IP地址 |
user-portal-server server server-ip |
必选 |
|
配置认证的超时时间 |
user-portal-server timeout time-value |
可选 缺省情况,超时时间为15分钟 |
按照表1-15步骤配置用户策略。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置用户策略 |
user-policy { if_in | any } { if_out | any } { sip | any } { dip | any } { schedule | always } {free-webauth|sms-webauth|mix-webauth|local-webauth|portal-server-webauth|wechat-webauth|sso-no-authen-ip|sso-match-other } [ id ] [ head | { before | after } [ compare-id ] ] |
必选 |
|
配置混合认证策略 |
user-policy { if_in | any } { if_out | any } { sip | any } { dip | any } { schedule | always } mix-webauth {free/local/sms/wechat} [ id ] [ head | { before | after } [ compare-id ] ] |
可选 |
按照表1-16步骤配置RADIUS认证服务器。
表1-16 配置RADIUS认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置RADIUS服务器配置 |
radius-server name server-ipsecret[port ] |
必选 |
按照表1-17步骤配置LDAP认证服务器。
表1-17 配置LDAP认证服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置LDAP服务器名并进入LDAP配置模式 |
ldap name |
必选 |
|
配置LDAP服务器地址 |
ldap server-ip[ port ] |
端口为可选项 缺省情况下,LDAP服务器端口为389 |
|
配置绑定类型 |
bindtype{ anonymous | simple | regular user name passwd password } |
必选 |
|
配置通用标识名 |
cnid cnid |
必选 |
|
区别名 |
dn dn |
必选 |
|
过滤 |
filter option |
可选 缺省情况下,无过滤配置 |
按照表1-18步骤配置RADIUS认证服务器组。
表1-18 配置RADIUS认证服务器组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置RADIUS服务组 |
server-group name radius firewall |
必选 |
|
配置RADIUS服务器加入服务器组 |
radius-server name group groupname |
可选 缺省情况下,服务器组中没有服务器 |
按照表1-19步骤配置LDAP认证服务器组。
表1-19 配置LDAP认证服务器组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置LDAP服务组 |
server-group name ldap firewall |
必选 |
|
配置LDAP服务器加入服务器组 |
ldap name group groupname |
可选 缺省情况下,服务器组中没有服务器 |
按照表1-20步骤配置域名白名单。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置域名白名单 |
user-policy white-list host host |
可选 支持设置IP或域名 |
|
配置白名单排除地址 |
user-policy white-list exclude host host |
可选 支持设置IP或域名 |
按照表1-21步骤配置用户白名单。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置用户白名单 |
user-policy user-whitelist {A.B.C.D|A.B.C.D/M} |
可选 用户白名单对所有认证方式生效,白名单中的用户不受认证策略限制 |
用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。
说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。
表1-22 配置用户白名单
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置用户MAC敏感 |
user mac-sensitive{enable|disable} |
可选 |
按照表1-23的命令查看维护用户的配置。
|
操作 |
命令 |
|
显示本地用户 |
display user [username ] |
|
显示用户组 |
display user-group [usergroupname ] |
|
显示在线用户状态 |
display user-recognition |
|
显示用户策略 |
display user-policy |
|
清除所有动态识别出的在线用户 |
clear user-recognition |
强制A部门(192.168.1.0/24)必须做本地WEB认证后才能正常上网。
(1) 为部门A配置一个统一的用户A。
hostA(config)# user A
hostA(config-user)# enable authenticate
hostA(config-user)# authenticate local 123456
hostA(config)# display user
Flags: E--Enabled, F--Frozen-Enabled, A--Authenticate-Need, B--Bind-Address
Name Ref Status Frozen-EndTime Account Bind-Address
any 0 E---
A 0 E-A- [LOCAL]
(2) 配置用户认证属性,允许多用户同时登录。
hostA(config)# user-webauth login-multi 100
(3) 为部门A分配一个地址对象。
hostA (config)# address A部门
hostA (config-address)# ipsubnet 192.168.1.0/24
hostA (config-address)# exit
(4) 配置用户策略。
hostA (config)# user-policy ge1 ge0 A部门 any always local-webauth
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
