07-用户和用户认证
本章节下载: 07-用户和用户认证 (622.91 KB)
目 录
用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。
根据用户的认证状态,可以将用户分为三类:匿名用户、静态绑定用户、认证用户。
· 匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户IP作为匿名用户的用户名。
· 静态绑定用户,是指系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。
· 认证用户, 是指根据系统配置,需要进行认证的用户。认证用户所使用的IP地址可以是IPv4地址也可以是IPv6地址。。
根据不同的用户分类,可以采取不同的用户策略,对用户的网络访问等进行权限限制和监控。
通过用户组织结构可以清晰的将每个用户按照组织架构进行分类处理,方便管理和维护。属性组则是为每个用户附加一个或者多个属性,这样可以通过属性组的方式将某一类用户进行管控。
· 组织结构组包含用户和用户组,用户组可以包含用户和用户组,支持8级层级,每个层级支持1024个节点。
· 属性组没有层级结构,全部属性组组使用并列的形式。
· 同一用户在组织结构组中仅可出现一次。
· 属性组中相同用户可以同时存在于多个属性组。
在导航栏中选择“用户管理 > 用户组织结构”,选择用户显示页面,如图1-1所示。
页面的详细说明如表1-1所示。
项目 |
说明 |
组织结构 |
以树形结构的方式展示所有用户的组织结构信息,最大支持8级的组织结构 |
名称 |
该用户组下的用户或者下一级用户组的名称,1-63字符 |
描述 |
用户组或者用户的描述信息,没有则为空 |
类型 |
此行对应的是用户组或用户 |
所属用户组 |
上一级用户组的名称,如果该用户组的所属用户组为“/”,则表示该用户的上一级用户组为根组 |
绑定范围 |
显示该用户绑定的IP或者MAC地址 |
状态 |
该用户是否生效 |
引用 |
该用户在系统中被策略引用的次数 |
操作 |
可以修改或者删除该用户或者用户组,被引用或者预定义的用户和用户组不能被删除 |
选择“用户管理 > 用户组织结构”,将鼠标移至<新建>按钮,在下拉框中选择“组”,进入用户组的新建页面,如图1-2所示。
页面的详细说明如表1-2所示。
项目 |
说明 |
名称 |
用户组的名称 |
描述 |
用户组的描述 |
路径 |
用户组所属的路径 |
IP/IP地址 |
用户组所属的IP地址或IP地址段 |
按照需求输入对应的项目后,单击<提交>,即可将该用户组加入到选择的路径下。
选择“用户管理>用户”,将鼠标移至<新建>按钮,在下拉框中选择“用户”,进入用户的新建页面,如图1-3所示。
页面的详细说明如表1-3所示。
项目 |
说明 |
启用 |
用户是否启用 |
登录名 |
用户的名称 |
描述 |
关于用户的描述 |
所属组 |
用户所属于的用户组 |
本地密码 |
勾选之后设置用户的本地密码,不勾选代表此用户为无密码或者为第三方服务器认证用户,密码记录在第三方服务器 |
确认密码 |
重新确认一次密码,防止误操作 |
允许修改密码 |
允许本地认证用户修改登录密码 |
初次认证修改密码 |
强制本地认证用户在初次登录时修改密码 |
绑定范围 |
用户登录的地址范围,支持: · IPv4/IPv6主机 · IPv4/IPv6地址范围 · 网络和mac地址的绑定 |
排除IP |
用户登录的地址范围内排除IP,只支持IPv4地址 |
账户过期时间 |
账号有效期,可选择永不过期或者在某天后过期 |
点击“高级配置”页签,切换到用户的高级选项配置页面,如下图所示。
图1-4 用户高级配置页面
表1-4 用户高级配置页面详细说明
项目 |
说明 |
用户登录唯一性检查 |
是否启用用户唯一性检查的配置方式,勾选为启用 |
单一账号登录 |
同一时间只允许同一账号登录一次 启用单一账号登录后,可针对已登录用户做如下2种处理方式: · 踢出已登录用户:如果新用户登录,老的用户将会被踢下线 · 禁止同名用户再次登录:如果老用户已经登录,新用户将不能以此用户名登录 |
允许重复登录 |
同一时间允许同一账号登录多次,启用允许重复登录后,允许个数支持:无限制和限制登录个数 |
账户过期时间 |
账号有效期,可选择永不过期或者在某天后过期 |
按照需求输入对应的项目后,单击<提交>,即可将该用户加入到选择的用户组下。
在组信息显示页面,勾选中用户或者用户组后,单击列表上方的<删除>按钮,或者单击对应用户或用户组操作中的<删除>按钮,如图1-5所示,可以删除对应的用户组或者用户。
在用户显示页面,勾选需要导出的用户和用户组信息,再单击页面上方的<导出>按钮,可以将所选的本地用户和用户组导出成csv文件。
图1-6 导出用户组
导出的文件中只包含勾选的用户或者用户组信息,用户组内的用户或者下一级用户组信息不能导出。
在用户显示页面单击<导入>按钮,弹出导入用户弹窗,在弹窗的左下角单击“下载模板”,可以下载用户导入模板,将用户和用户组信息录入模板后,在弹窗的上传文件名称中选择修改后的模板,并勾选需要的选项,单击<提交>按钮即可将用户或者用户组导入到系统中。
图1-7 导入用户组
导入用户的详细说明如所示。
表1-5 导入用户详细说明
项目 |
说明 |
上传文件名称 |
选择本地已经录入用户的模板文件 |
当用户所属组不存在时,自动创建 |
勾选后,如所填写的所属用户组在本地不存在,则自动创建该用户组 |
对本地已经存在的用户 |
可以选择继续覆盖本地用户或者跳过该用户的导入 |
对有本地密码的用户,要求初次登录时修改初始密码 |
勾选后,有本地密码的用户首次登录时要求修改初始密码 |
通过用户和用户组移动功能,可以同时将多个用户或者用户组以及用户组中的子用户组和用户移动到指定的用户组中。
通过菜单“用户管理 > 用户组织结构”,勾选需要移动的用户或者用户组(也可以通过<选择>按钮快捷选择用户和用户组),单击<移动>按钮,在用户组选择弹窗中单击目标用户组,即可将选中的用户和用户组移动到目标用户组中。如图1-8所示。
使用批量编辑功能,可以同时对多个用户属性进行编辑。
仅用户支持批量编辑功能,用户组不支持批量编辑。
选择“用户管理 > 用户组织结构”,进入用户列表,勾选需要批量修改的用户,单击列表上方的<批量编辑>按钮,即可进入批量编辑用户页面。如图1-9所示。
批量编辑用户页面的详细说明如下表所示。
表1-6 批量编辑用户页面说明
标题项 |
说明 |
用户 |
进行批量编辑的用户 |
用户状态 |
勾选则修改用户状态,不勾选则不修改用户状态。勾选用户状态后: · 选择启用则选择的用户状态批量修改为启用 · 选择禁用则批量修改为禁用 |
密码设置 |
所选用户的密码统一重置密码: · 允许修改密码:用户允许自行修改密码 · 初次认证修改密码:用户初次登录是强制修改密码。 |
WCG系列无线中控网关ACG组件暂不支持启用第三方认证。
在导航栏中选择“用户管理 > 认证管理 > 高级选项 > 全局配置”,进入全局配置页面,页面显示了当前的识别配置和认证配置,如图2-1所示。
页面的详细说明如表2-1所示。
项目 |
说明 |
识别范围 |
标示用户识别范围的地址对象或者地址对象组 · 用户只有同时在用户识别范围内和相应的认证网段中,使用流量的时候才会触发认证过程 · 如果该用户不在用户识别范围内,则不会触发认证过程,也不会识别为匿名用户 · 如果该用户在用户识别范围内,但不在任何一个认证网段中,则该用户被识别为匿名用户 |
识别模式 |
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段 · 启发模式: ¡ 优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户 ¡ 使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确 · 强制模式 ¡ 只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS ¡ 使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现 |
启用第三方认证 |
(暂不支持)是否启用第三方认证 |
认证方式 |
(暂不支持)第三方认证服务器是Radius服务器或者Ldap服务器 |
RADIUS |
(暂不支持)选择已配置的Radius服务器或服务器组 |
Ldap |
(暂不支持)选择已配置的Ldap服务器或服务器组 |
https弹portal |
勾选后,用户在访问HTTPS网站时也可以弹出认证页面 |
用户MAC感知 |
开启用户MAC感知后,如检测到用户的MAC地址发生变化,则强制用户重新认证 开启跨三层MAC地址学习功能时会发生用户MAC地址变更的情况 |
伪Portal抑制 |
对于Portal重定向支持HTTP302方式和Html-refresh方式 · 选择HTTP302方式时对所有请求都响应,伪Portal抑制不生效 · 选择Html-refresh方式时,只响应浏览器的请求,伪Portal抑制生效 |
用户认证验证码 |
(暂不支持)只对本地认证、免认证、POP3认证、混合认证(本地认证、免认证)生效 |
绑定范围与密码同时校验 |
开启后会同时校验用户绑定的IP/MAC和用户名密码 |
完成配置后,点击<提交>按钮,应用配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!