• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

08-认证策略典型配置举例

本章节下载 08-认证策略典型配置举例  (584.83 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587533_30005_0.htm

08-认证策略典型配置举例


1  简介

本文档介绍ACG1000设备用户认证策略配置举例,认证策略页面实现对策略的新增、删除、导入、导出等操作,对于非本地/域用户支持认证后加入指定用户组功能,仅支持组织结构,暂不支持属性组。

用户有效时间指的是第三方用户录入方式:

·     永久录入:第三方用户认证成功后录入指定组,永久有效。

·     有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。

·     临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解用户认证特性。

3  使用限制

·     ACG1000 设备R6611P01版本仅支持简单模式的LDAP联动认证,不支持匿名和通用模式的LDAP联动认证,在配置时请使用简单模式的LDAP联动认证。

·     认证策略录入配置主要针对第三方用户,目的是将存在于第三方的用户加入设备,便于做策略限制等。此功能不影响本地已有用户,只会新增用户,不会修改已有用户信息。

·     认证策略用户录入未配置用户组时不会录入用户。

·     第三方录入用户,如果用户未下线,该用户无法编辑,在线用户注销后,用户可以编辑。

·     认证策略有效期录入用户,当认证策略里用户有效期过期后用户状态变为未启用状态,如果重新启用用户的话需要更换用户有效期为有效时间。

4  配置举例

4.1  组网需求

图1所示,某公司内网搭建有第三方Radius服务器,用户名全部存放在radius服务器上,要求内网用户使用radius服务器上的用户进行认证,认证成功后用户录入设备做其它策略控制。具体要求如下:

·     内网用户进行Web认证上网,用户名和密码存储在Radius服务器上,认证成功后用户永久录入设备。

·     其它移动终端连接WIFI后使用微信认证上网,认证策略用户录入为临时录入,用户下线后删除录入用户。

图1 用户认证功能配置组网图

 

4.2  配置思路

·     配置Radius服务器对象,设备上的相关参数配置需要和服务器保持一致。

·     配置微信认证;

·     配置地址对象;

·     创建用户组,作为用户认证后的录入组;

·     配置IPv4控制策略允许上网;

·     全局配置启用第三方认证选择radius服务器;

·     配置用户策略触发认证。

4.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

4.4  配置注意事项

·     ACG1000设备配置Web认证时,允许用户的TCP三次握手报文通过,当检测到用户HTTP报文时拦截并弹出认证页面。所以,在使用Web认证功能时,需要保证终端可以进行正常的HTTP访问。

·     如果需要实现访问某些资源时免Web认证,请在对应用户策略的目的地址对象中配置排除地址,将需要免认证访问的IP地址排除。目前仅支持排除IP地址,不支持排除域名。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 添加服务器

通过菜单“用户管理>认证管理>认证服务器>Radius”,点击<新建>,配置“服务器地址”为10.0.53.85,“服务器密码”和“端口”需要和Radius服务器保持一致,点击<提交>。进入如图2所示的页面。

图2 添加radius服务器

 

2. 配置微信认证

通过菜单进入“用户管理>认证管理>认证方式>微信认证”,配置微信认证相关参数后,点击<提交>。进入如图3所示的页面。

图3 配置微信认证

 

3. 配置地址对象

通过菜单“策略配置>对象管理 > 地址对象”,点击<新建>地址对象,配置内网用户和无线wifi地址对象。如图4图5所示。

图4 添加内网用户地址对象

 

图5 添加无线wifi用户地址对象

 

4. 配置用户组对象

通过菜单“用户管理>用户组织结构”,单击<新建>用户组,配置radius用户组和无线wifi用户组,如图6图7所示。

图6 配置Radius用户组

 

图7 配置无线用户组

 

5. 配置IPv4控制策略

通过菜单“策略配置>IPv4控制策略”,点击<新建>IPv4控制策略,进入如图8所示的页面。

图8 IPV4控制策略配置

 

 

6. 全局配置启用第三方认证选择radius服务器

在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证选择radius服务器,如图9所示。

图9 全局模式启用第三方radius配置效果图

 

7. 配置用户策略

(1)     配置内网用户认证策略,用户永久录入。

通过菜单进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“内网用户地址对象”,相关行为配置为“本地Web认证”,用户录入选择创建的“Radius-group”,有效期为永久录入,点击<提交>。如图10所示。

图10 配置内网用户认证用户策略

 

(2)     配置无线wifi用户认证策略,用户临时录入。

通过菜单进入“用户管理>认证管理>认证策略”,点击<新建>,源地址配置为“无线wifi地址对象”,相关行为配置为“微信认证”,用户录入选择创建的“无线wifi”,用户有效期为临时录入,点击<提交>。如图11所示。

图11 配置无线wifi用户认证后临时录入用户策略

 

4.6  验证配置

4.6.1  内网用户使用radius用户认证

图12所示,内网终端进行HTTP访问,弹出如下本地Web认证页面,使用radius服务器上用户名、密码进行认证。

图12 内网用户使用第三方radius用户认证成功

 

图13所示,设备在线用户显示第三方radius用户认证。

图13 Radius联动用户Web认证成功

 

通过菜单“用户管理>用户组织结构”,查看Radius-group用户组下,winradiusuer17用户已录入,如图14所示。

图14 Radius用户组下录入用户

 

图15所示,编辑用户查看用户永不过期。

图15 radius录入用户显示为永不过期

 

4.6.2  移动终端用户使用微信认证,用户为临时录入

图16所示,移动终端连接wifi后浏览器弹出微信认证页面,点击一键打开微信连接进行认证。

图16 移动终端连接wifi后弹出微信认证页面

 

图17所示,设备在线用户显示微信认证。

图17 微信认证成功

 

通过菜单“用户管理>用户组织结构”,查看无线wifi用户组下,微信用户已录入,如图18所示。

图18 无线wifi用户组下录入微信用户

 

 

图19所示,在线用户处踢出微信认证用户。

图19 在线用户踢出微信认证用户

 

通过菜单“用户管理>用户组织结构”,查看无线wifi用户组下,微信用户已删除,如图20所示。

图20 无线wifi用户组下录入的微信用户已删除

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们