- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-用户同步典型配置举例
本章节下载 (529.03 KB)
本文档介绍设备用户同步配置举例,用户同步包含LDAP同步、ARP扫描、SNMP同步。同步成功录入设备的用户支持策略调用、QOS控制、策略路由等模块的引用控制。本文档主要针对用户同步中的LDAP同步和SNMP同步进行典型配置举例介绍。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解用户同步特性。
针对SNMP同步在配置前,需要做如下准备:
· 交换机上已开启SNMP代理功能。
· 设备与交换机网络可达。
· LDAP同步条目128。
· SNMP同步条目64。
· Arp扫描条目64。
· LDAP仅支持简单模式的联动认证,不支持匿名和通用模式的联动认证。
· LDAP服务器用户名长度大于63字符后无法录入。
· LDAP服务器同步目前支持389明文传输,不支持636密文传输(不能与加密服务器交互,无法进行身份验证)。
· 只支持Windows AD域用户同步,不支持匿名同步用户。只支持OpenLdap服务器用户同步,不支持OpenLdap认证(OpenLdap同步的用户没有dn属性无法参与认证)。
· AD服务器上用户名超长(大于63字符),含有异常字符(汉字数字字母以及@._-()[]|以外的特殊字符)可以同步,不能录入到本地用户结构,同步过程中会依次在本地用户结构添加用户、用户组,本地满规格时无法录入,同步规格和本地用户规格相同。
· LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
· 多个用户同步条目存在时,同步任务为串行,上面同步条目同步完成后在进行下面同步条目的同步。
· LDAP同步周期起始时间(0-23),间隔时间(1-24),例如起始时间8,间隔2,代表该同步条目每天8点开始同步,每隔2小时同步一次,晚上12点结束当天的同步任务。
· AD域用户更新密码后,使用同步的LDAP认证时,新旧密码都可以认证。在server 2008级别的AD下,旧密码生存期为5分钟,在server 2003级别的AD下,旧密码生存期为60分钟。
这个5分钟就是为了防止AD同步延时问题,防止DC数量比较多时,用户登录所在的站点内还没有成功的更新到密码的修改的情况。这样,即使新密码没有生效,旧密码依然可用。
测试2003的服务器,旧密码有效期为60分钟,自测60分钟后密码失效,此为AD域服务器的保护机制,不修改。
· 手动创建用户组、用户创建为本地用户,和LDAP服务器上组、用户名称一样,点LDAP同步,这个用户没法用LDAP认证,LDAP同步当存在重名用户时,只移动用户,不覆盖。
· LDAP组里第一个LDAP服务器密码不对,用户在第二个服务器,此时用户认证浏览器无响应,目前不能处理跨域的LDAP组认证,需要保障LDAP组下地址可达,服务器密码正确。
· arp扫描只支持扫描设备同网段用户。
· 新建SNMP同步条目的MAC地址是与设备相连的交换机的地址。
· 设备的配置的团体名需要跟交换机上的团体名一致,团体字中不能包含中文。
· 开启SNMP同步及IP-MAC绑定后,交换机下的新用户IP-MAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。
· 在配置多个交换机时扫描开始后串行逐个扫描,待所有交换机扫描完毕后等待配置的更新时间后再开始下一轮扫描。
· 对于每次扫描结果如何处理:如果旧表中有对应MAC,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的MAC,等老化后删除。
· SNMP同步分两步:
1. SNMP协议跟交换机交互报文,来学习IP-MAC条目,并将IP-MAC条目存到文件中(网络好时报文交互快,学的也快)。
2.从文件中读IP-MAC,进行新旧对比并更新老化时间。
· 正常情况下,开启SNMP同步功能后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,判断当前时间-上次快速老化时间小于10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
· 快速老化机制:
1.IP-MAC表达到59000条时触发快速老化,将已经老化的IP-MAC全清掉,规格满直接丢新的条目。
2.两次快速老化的时间间隔是10分钟。
如图1所示,某公司的财务部、工程部员工实行固定设备使用静态绑定IP/MAC的方式上网,生产部员工使用LDAP服务器配置的用户账号认证上网,其网段分别是172.16.1.0/24、172.16.2.0/24和172.16.3.0/24,LDAP服务器的地址为172.16.0.20/24。工程部SNMP服务器地址为172.16.0.10/24。使用设备以旁挂方式部署于核心设备旁边,将用户上网的流量通过端口镜像的方式镜像至设备的旁路接口,在设备上配置用户同步。
(1) 按照组网图组网。
(2) 配置旁路认证
(3) 添加LDAP服务器
(4) 配置用户组
(5) 配置用户同步任务
(6) 配置用户认证地址对象
(7) 配置WEB认证参数
(8) 配置控制策略
(9) 全局配置启用第三方LDAP服务器
(10) 配置用户策略
本举例是在E6501版本上进行配置和验证的。
如图2所示,进入“网络配置>基础网络>部署方式>高级配置”,开启旁路认证。
图2 配置旁路认证和旁路阻断
通过菜单“用户管理>认证管理>认证服务器”,点击<新建>LDAP服务器。进入如图3所示的页面。
图3 LDAP服务器配置
通过菜单“用户管理>用户组织结构”,单击选择“新建>用户组”,配置财务部和工程部用户组,如图4、图5所示。
(1) 配置LDAP同步
通过菜单“用户管理>用户同步”,单击选择“新建>LDAP同步”,进入LDAP同步配置页面。配置LDAP同步任务名称,选择LDAP服务器,选择开启同步周期并配置同步周期(每天的某个整点),或者选择关闭周期同步,如图6所示。
(2) 配置SNMP同步
通过菜单“用户管理>用户同步”,单击选择“新建>SNMP同步”,进入SNMP配置页面。配置SNMP同步任务名称,IP地址和MAC地址配置为SNMP server的IP地址和MAC地址,配置团体名和SNMP的版本号,选择开启周期同步并配置同步周期或者关闭周期同步(只在配置成功后同步一次),选择开启自动录入并配置同步结果的录入用户组,或者关闭自动录入由后期用户手动添加。如图7所示。
(3) 配置ARP扫描
通过菜单“用户管理>用户同步”,单击选择“新建>ARP扫描”,进入ARP扫描配置页面。配置“扫描网段”为财务部网段,选择配置是否开启周期同步,是否开启自动录入并选择录入用户的组织结构的用户组。如图8所示。
通过菜单“策略配置 > 对象管理 > 地址对象”,单击“新建>地址对象”,配置生产部地址对象。如图9所示。
通过菜单“用户管理>认证管理>认证方式 > 本地WEB认证”,勾选“允许重复登录”,配置“允许登录数”为无限制,单击<提交>。如图10所示。
通过菜单“策略配置>控制策略”,单击<新建>配置控制策略。如图11所示。配置用户组财务部、工程部和生产部(LDAP同步下来的用户组)允许访问外网。
在导航栏中选择“用户管理>认证管理>高级选项”,进入全局配置页面,启用第三方认证,选择LDAP服务器,如图12所示。
图12 全局模式启用第三方Ldap配置
通过菜单进入“用户管理>认证管理>认证策略”,单击<新建>,源地址配置为“生产部地址对象”,认证方式配置为“Web认证”,其它选项保持默认,单击<提交>。如图13所示。
(1) 进入“用户管理>用户组织结构”,查看“财务部”用户组。财务部ARP同步成功后,财务部固定设备的用户全部自动录入,用户静态绑定对应的IP,固定设备直接可以上网。如图14所示。
图14 财务部ARP同步用户
(2) 进入“用户管理>用户组织结构”,查看“工程部”用户组。工程部SNMP同步成功后,生产部固定设备的用户全部自动录入,用户静态绑定对应的IP/MAC,固定设备直接可以上网。如图15所示。
图15 工程部SNMP同步用户
(3) 进入“用户管理>用户组织结构”,查看“生产部”用户组。从LDAP成功同步了生产部的用户,同步了用户组“生产部”以及用户组的直属用户user1,user2,user3。如图16所示。
图16 生产部LDAP同步用户
(4) 在生产部网段(172.16.3.0/24)使用PC终端进行HTTP访问,弹出本地Web认证页面,使用LDAP联动用户user3(此用户在LDAP服务器上真实存在且已经通过LDAP同步功能录入到了设备本地用户组)认证成功,认证成功后可以正常访问外网。如图17所示。
图17 生产部LDAP用户认证页面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
