- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
13-用户和用户认证
本章节下载 (2.49 MB)
目 录
用户作为系统的一个重要资源,在安全策略、认证等功能上都会相应使用。
根据用户的认证状态,可以将用户分为三类:匿名用户、静态绑定用户、认证用户。
· 匿名用户,是指系统未有效识别出来的用户,匿名用户不用配置,系统自动将未识别的用户IP作为匿名用户的用户名。
· 静态绑定用户,是指系统根据静态配置识别出的用户;系统支持以CSV文件的方式,将静态绑定用户批量导入和导出。
· 认证用户, 是指根据系统配置,需要进行认证的用户。其中认证方式,支持本地用户数据库、短信认证、RADIUS服务器/服务器组、LDAP服务器/服务器组的用户认证,认证用户所使用的IP地址可以是IPv4地址也可以是IPv6地址。。
根据不同的用户分类,可以采取不同的用户策略,对用户的网络访问等进行权限限制和监控。
通过用户组织结构可以清晰的将每个用户按照组织架构进行分类处理,方便管理和维护。属性组则是为每个用户附加一个或者多个属性,这样可以通过属性组的方式将某一类用户进行管控。
· 组织结构组包含用户和用户组,用户组可以包含用户和用户组,支持8级层级,每个层级支持1024个节点。
· 属性组没有层级结构,全部属性组组使用并列的形式。
· 同一用户在组织结构组中仅可出现一次。
· 属性组中相同用户可以同时存在于多个属性组。
在导航栏中选择“用户管理 > 用户组织结构”,选择用户显示页面,如图1-1所示。
页面的详细说明如表1-1所示。
|
项目 |
说明 |
|
组织结构 |
以树形结构的方式展示所有用户的组织结构信息,最大支持8级的组织结构。 |
|
名称 |
该用户组下的用户或者下一级用户组的名称,1-63字符。 |
|
描述 |
用户组或者用户的描述信息,没有则为空。 |
|
类型 |
此行对应的是用户组或用户。 |
|
所属用户组 |
上一级用户组的名称,如果该用户组的所属用户组为“/”,则表示该用户的上一级用户组为根组。 |
|
绑定范围 |
显示该用户绑定的IP或者MAC地址。 |
|
状态 |
该用户是否生效。 |
|
引用 |
该用户在系统中被策略引用的次数。 |
|
操作 |
可以修改或者删除该用户或者用户组,被引用或者预定义的用户和用户组不能被删除。 |
选择“用户管理 > 用户组织结构”,将鼠标移至<新建>按钮,在下拉框中选择“组”,进入用户组的新建页面,如图1-2所示。
页面的详细说明如表1-2所示。
|
项目 |
说明 |
|
名称 |
用户组的名称。 |
|
描述 |
用户组的描述。 |
|
路径 |
用户组所属的路径。 |
按照需求输入对应的项目后,单击<提交>,即可将该用户组加入到选择的路径下。
选择“用户管理>用户”,将鼠标移至<新建>按钮,在下拉框中选择“用户”,进入用户的新建页面,如图1-3所示。
页面的详细说明如表1-3所示。
|
项目 |
说明 |
|
启用 |
用户是否启用。 |
|
登录名 |
用户的名称。 |
|
描述 |
关于用户的描述。 |
|
所属组 |
用户所属于的用户组。 |
|
本地密码 |
勾选之后设置用户的本地密码,不勾选代表此用户为无密码或者为第三方服务器认证用户,密码记录在地三方服务器。 |
|
确认密码 |
重新确认一次密码,防止误操作。 |
|
允许修改密码 |
允许本地认证用户修改登录密码。 |
|
初次认证修改密码 |
强制本地认证用户在第一登录时修改密码。 |
|
绑定范围 |
用户登录的地址范围,支持IPv4/IPv6主机,IPv4/IPv6地址范围,网络和mac地址的绑定。 |
|
排除IP |
用户登录的地址范围内排除IP,只支持IPv4地址。 |
|
账户过期时间 |
账号有效期,可选择永不过期或者在某天后过期。 |
点击“高级选项”页签,切换到用户的高级选项配置页面,如下图所示。
图1-4 用户高级配置页面
表1-4 用户高级配置页面详细说明
|
项目 |
说明 |
|
用户登录唯一性检查 |
是否启用用户唯一性检查的配置方式,勾选为启用。 |
|
单一账号登录 |
同一时间只允许同一账号登录一次。 启用单一账号登录后,可针对已登录用户做如下2种处理方式: · 踢出已登录用户:如果新用户登录,老的用户将会被踢下线; · 禁止同名用户再次登录:如果老用户已经登录,新用户将不能以此用户名登录。 |
|
允许重复登录 |
同一时间允许同一账号登录多次。 启用允许重复登录后,允许个数支持无限制和限制登录个数。 |
|
账户过期时间 |
账号有效期,可选择永不过期或者在某天后过期。 |
按照需求输入对应的项目后,单击<提交>,即可将该用户加入到选择的用户组下。
在组信息显示页面,勾选中用户或者用户组后,单击列表上方的<删除>按钮,或者单击对应用户或用户组操作中的<删除>按钮,如图1-5所示,可以删除对应的用户组或者用户。
在用户显示页面,勾选需要导出的用户和用户组信息,再单击页面上方的<导出>按钮,可以将所选的本地用户和用户组导出成csv文件。
图1-6 导出用户组
导出的文件中只包含勾选的用户或者用户组信息,用户组内的用户或者下一级用户组信息不能导出。
在用户显示页面单击<导入>按钮,弹出导入用户弹窗,在弹窗的左下角单击“下载模板”,可以下载用户导入模板,将用户和用户组信息录入模板后,在弹窗的上传文件名称中选择修改后的模板,并勾选需要的选项,单击<提交>按钮即可将用户或者用户组导入到系统中。
图1-7 导入用户组
导入用户的详细说明如所示。
表1-5 导入用户详细说明
|
项目 |
说明 |
|
上传文件名称 |
选择本地已经录入用户的模板文件。 |
|
当用户所属组不存在时,自动创建 |
勾选后,如所填写的所属用户组在本地不存在,则自动创建该用户组。 |
|
对本地已经存在的用户 |
可以选择继续覆盖本地用户或者跳过该用户的导入。 |
|
对有本地密码的用户,要求初次登录时修改初始密码 |
勾选后,有本地密码的用户首次登录时要求修改初始密码。 |
通过用户和用户组移动功能,可以同时将多个用户或者用户组以及用户组中的子用户组和用户移动到指定的用户组中。
通过菜单“用户管理 > 用户组织结构”,选择勾选需要移动的用户或者用户组(也可以通过选择按钮快捷选择用户和用户组),单击<移动>,在用户组选择弹窗中单击目标用户组,即可将选中的用户和用户组移动到目标用户组中。如图1-8所示。
使用用户批量编辑功能,可以同时对多个用户属性进行编辑。
仅用户支持批量编辑功能,用户组不支持批量编辑。
选择“用户管理>用户组织结构”,进入用户列表,勾选需要批量修改的用户,单击列表上方的<批量编辑>按钮,即可进入批量编辑用户页面。如图1-9所示。
批量编辑用户页面的详细说明如下表所示。
表1-6 批量编辑用户页面说明
|
标题项 |
说明 |
|
用户 |
进行批量编辑的用户 |
|
用户状态 |
勾选则修改用户状态,不勾选则不修改用户状态 勾选后,选择启用则选择的用户状态批量修改为启用;选择禁用则批量修改为禁用。 |
|
密码设置 |
选择用户的密码统一重置密码。 勾选允许修改密码则用户允许自行修改密码 勾选初次认证修改密码则用户初次登录是强制修改密码。 |
用户认证配置的推荐步骤如表2-1所示。
|
配置任务 |
说明 |
详细配置 |
|
配置用户和用户组 |
必选 |
|
|
配置认证服务器 |
可选(使用第三方认证服务器时选择。) |
|
|
第三方用户同步 |
可选(使用第三方认证服务器时选择。) |
|
|
配置高级选项 |
必选 |
|
|
配置认证设置 |
必选 |
|
|
配置认证策略 |
可选 |
本小节中的认证服务器是指第三方的Radius、LDAP、POP3、数据库认证服务器,主要用于第三方用户同步和认证。
LDAP是轻量目录访问协议,英文全称是lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,与X.500不同,LDAP支持TCP/IP。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,LDAP其实是一电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。
在一些存在众多分支机构的大企业等网络中,往往存在LDAP(轻量级目录访问协议)系统,用户信息都由LDAP系统进行管理,如果分支机构间的人员出差频繁而又不符合漫游策略,为方便管理员开户操作,可以从LDAP系统中同步用户信息。
通过LDAP同步将AD服务器上的用户及用户组同步到设备上,对同步下来的用户及用户组可进行策略引用,同步方式为周期同步和触发同步两种:
· 设备周期向AD服务器发送LDAP同步请求。
· 可通过界面手动发起LDAP同步请求。
在导航栏中选择“用户管理>认证管理>认证服务器”,进入认证服务器配置页面,将鼠标移至<新建>按钮,在下拉框中选择“LDAP服务器”,进入LDAP服务器的配置界面,如图2-1所示。LDAP服务器详细参数如表2-2所示。
图2-1 LDAP服务器配置界面
表2-2 LDAP服务器界面的详细说明
|
参数 |
说明 |
|
服务器名称 |
LDAP服务器名称。 |
|
服务器IP |
LDAP服务器地址。 |
|
端口 |
LDAP服务器端口,默认389明文,暂时不支持636加密同步。 |
|
通用标识 |
cn:全称 common name,配置cn时,同步、认证都使用标识名。 sAMAccountName:同步和认证使用登录名。 |
|
Base DN |
用于获取同步信息的服务器域名路径。 |
|
管理员 |
拥有管理权限的域服务器管理员。 |
|
管理员密码 |
管理员对应密码。 |
在导航栏中选择“用户管理>认证管理>认证服务器>服务器组”,将鼠标移至<新建>按钮,在下拉框中选择“LDAP组”,进入LDAP组配置界面,如图2-2所示。LDAP组详细参数如表2-3所示。
图2-2 LDAP组新建界面
表2-3 LDAP组界面的详细说明
|
参数 |
说明 |
|
名称 |
LDAP组名称。 |
|
服务器列表 |
已配置的LDAP服务器名称,最多可加入5个服务器。 |
在“用户管理>认证管理>高级选项>全局配置>认证配置”处,选择LDAP组统一认证。
LDAP用户认证通用名标识有两种类型分别是CN和sAMAccountName,如图2-3所示。
图2-3 LDAP用户认证通用名标识类型
CN:使用的是标识名进行认证,标识名使用CN时服务器用户配置如图2-4所示。
图2-4 标识名使用CN时服务器用户配置
sAMAccountName:使用的是登录名进行认证,标识名使用sAMAcountName时服务器用户配置如图2-5所示。
图2-5 标识名使用sAMAcountName时服务器用户配置
在导航栏中选择“用户管理>认证管理>认证服务器”,将鼠标移至<新建>按钮,在下拉框中选择“RADIUS服务器”,进入RADIUS服务器的配置界面,如图2-6所示。RADIUS服务器详细参数如表2-4所示。
图2-6 RADIUS服务器配置页面
表2-4 RADIUS服务器创建页面详细说明
|
项目 |
说明 |
|
服务器名称 |
RADIUS服务器名称。 |
|
服务器地址 |
RADIUS服务器地址。 |
|
服务器密码 |
RADIUS服务器密码。 |
|
端口 |
RADIUS服务器端口,缺省为1812。 |
|
认证方式 |
可以选择pap或chap两种认证方式,chap比pap认证方式更安全,建议选择chap。 |
输入完毕后,点击<提交>按钮,应用配置。
在认证服务器显示页面,选中RADIUS服务器后,点击页面上上方的<删除>按钮,或者点击对应RADIUS服务器的<删除>按钮,如图2-7所示,可以删除对应的RADIUS服务器。
在导航栏中选择“用户管理>认证管理>认证服务器>服务器组”,将鼠标移至<新建>按钮,在下拉框中选择“RADIUS组”,进入RADIUS组配置界面,如图2-8所示。RADIUS组详细参数如表2-5所示。
图2-8 RADIUS服务器组配置页面
表2-5 RADIUS服务器组创建页面详细说明
|
项目 |
说明 |
|
名称 |
RADIUS服务器组名称。 |
|
服务器列表 |
已经配置的RADIUS服务器列表。 |
选中左边的服务器列表中的服务器,点击<添加>按钮,可以将选中服务器添加到服务器组中。
选中右边的服务器列表中的服务器,点击<删除>按钮,可以将选中服务器从服务器组中删除。
输入完毕后,点击<提交>按钮,应用配置。
在RADIUS服务器组显示页面,点击对应RADIUS服务器组的<删除>按钮,可以删除对应的RADIUS服务器。
在导航栏中选择“用户管理 > 认证管理 > 认证服务器”,进入认证服务器界面。将鼠标移至“新建”按钮,在下拉框中选择“POP3服务器”,进入POP3服务器的配置界面,如下图所示。
|
参数 |
说明 |
|
服务器名称 |
设备上用来唯一标识POP3服务器的名称,与POP3服务器本身的名称无关,可以相同也可以不同。 |
|
服务器地址 |
POP3服务器地址。输入提供认证服务的POP3服务器的IP地址。 |
|
服务器端口 |
POP3服务器端口,缺省为995。 |
|
SSL |
可以选择勾选SSL加密和不勾选SSL加密。默认勾选SSL加密方式,勾选SSL加密方式提高安全性,防止用户名和密码在传输中泄漏。 |
在导航栏中选择“用户管理 > 认证管理 > 认证服务器 > 服务器组”,将鼠标移至“新建”按钮,在下拉框中选择“POP3组”,进入POP3组配置界面,如下图所示。
表2-7 POP3服务器组界面的详细说明
|
参数 |
说明 |
|
名称 |
POP3服务器组名称。 |
|
服务器列表 |
已经配置的POP3服务器列表。 |
选中左边的服务器列表中的服务器,单击“添加”按钮,可以将选中服务器添加到服务器组中;选中右边的服务器列表中的服务器,单击“删除”按钮,可以将选中服务器从服务器组中删除。
在导航栏中选择“用户管理>认证管理>认证服务器”,将鼠标移至<新建>按钮,在下拉框中选择“数据库服务器”,进入数据库服务器的配置界面,如图2-6所示。数据库服务器详细参数如表2-4所示。
图2-11 数据库服务器配置页面
表2-8 数据库服务器创建页面详细说明
|
项目 |
说明 |
|
服务器名称 |
数据库服务器名称。 |
|
类型 |
数据库服务器类型,如PostgreSQL。 |
|
服务器IP |
数据库服务器的IP地址。 |
|
端口 |
数据库服务器端口,一般为5432。 |
|
数据库编码 |
数据库服务器存储内容的编码方式,支持UTF-8\GBK\BIG5。 |
|
用户名 |
数据库服务器的合法用户名 |
|
密码 |
数据库服务器的合法密码 |
|
数据库名 |
数据库服务器中的数据库表名称 |
|
超时时间 |
设备与数据库交互信息的超时时间 |
|
测试有效性 |
测试设备与数据库服务器是否能正常通信 |
输入完毕后,点击<提交>按钮,应用配置。
在认证服务器显示页面,选中数据库服务器后,点击页面上上方的<删除>按钮,或者点击对应数据库服务器的<删除>按钮,如图2-7所示,可以删除对应的数据库服务器。
图2-12 删除数据库服务器
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置”,进入认证模板显示页面,页面显示了当前所有认证模板的类型,如图2-13所示。
表2-9 认证模板设置页面详细说明
|
项目 |
说明 |
|
名称 |
认证模板名称,不支持编辑。 |
|
描述 |
认证模板描述,不支持编辑。 |
|
预览 |
模板设置完成后支持PC端和移动端效果预览。 |
|
操作 |
对认证模板进行编辑、重置等操作。 |
|
导入 |
可以导入自定义的portal页面,默认隐藏,通过命令“portal_pages_edit enable”可以开启。 |
|
导出 |
可以将认证页面样式导出,默认隐藏,通过命令“portal_pages_edit enable”可以开启。 |
|
重置 |
将认证页面的样式恢复默认,默认隐藏,通过命令“portal_pages_edit enable”可以开启。 |
在命令行的config视图输入命令“portal_pages_edit enable”可以开启认证模板的导入导出功能,开启后在认证模板设置页面的左上方显示“导入”、“导出”及“重置”按钮(默认为隐藏),如下图所示。
图2-14 导入导出认证模板配置页面
点击“导出”会在浏览器下载zip压缩文件到本地,可以把当前认证模板文件导出到本地,对前端文件进行自编辑,再将编辑后的文件打包为zip压缩文件,导入到设备,实现自定义修改认证页面。同时通过导出功能也对当前认证模板进行备份。
导出格式为zip压缩文件,导出后的zip文件解压缩后的目录如下所示:
图2-15 导出认证模板文件目录
单击<导入>按钮,弹出导入模板窗口,用于将本地的认证页面模板文件(zip格式)导入到设备。
单击“选择文件”,选择本地zip格式的认证页面模板文件,单击“提交”,上传选择好的认证页面模板文件,上传过程中会有加载框,上传结束后提示上传结果。
导入的认证页面模板文件必须为zip格式,压缩前的目录名称需要与导出的文件目录一致,且修改导入的portal页面的HTML文件的名称必须为默认名称,否则无法识别。文件夹名称对应的含义如下图所示:
导入自定义的认证模板文件需要开发对应认证页面的HTML前端文件,如有技术问题,可以将导出的认证模板文件保存后,联系售后工程师处理。
单击“重置”可以将当前认证页面模板恢复至默认的模板。
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>本地认证模板”,点击操作中的<编辑>按钮进入本地认证模板配置页面,页面显示了当前的本地认证模板配置,如图2-16所示。
页面的详细说明如表2-10所示。
|
项目 |
说明 |
|
标签页名称 |
本地认证Portal页面显示的标签名称。 |
|
欢迎词 |
本地认证模板欢迎词。 |
|
免责声明 |
本地认证模板免责声明。 |
|
按钮颜色 |
登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
本地认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-17所示。
图2-17 本地认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-18所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>短信认证模板”,点击操作中的<编辑>按钮进入短信认证模板配置页面,页面显示了当前的短信认证模板配置,如图2-19所示。
页面的详细说明如表2-11所示。
|
项目 |
说明 |
|
标签页名称 |
短信认证Portal页面显示的标签名称。 |
|
欢迎词 |
短信认证模板欢迎词。 |
|
免责声明 |
短信认证模板免责声明。 |
|
发送按钮颜色 |
发送短信验证码按钮颜色。 |
|
登录按钮颜色 |
点击认证登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
短信认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-20所示。
图2-20 短信认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-21所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>免认证模板”,点击操作中的<编辑>按钮进入免认证模板配置页面,页面显示了当前的免认证模板配置,如图2-22所示。
页面的详细说明如表2-12所示。
|
项目 |
说明 |
|
标签页名称 |
免认证Portal页面显示的标签名称。 |
|
欢迎词 |
免认证模板欢迎词。 |
|
免责声明 |
免认证模板免责声明。 |
|
免认证描述 |
免认证portal页面显示的描述信息。 |
|
按钮颜色 |
免认证登录按钮颜色。 |
|
Logo图片 |
免认证模板Logo图片 。 |
|
背景图片 |
免认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-23所示。
图2-23 免认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-24所示
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>钉钉认证模板”,点击操作中的<编辑>按钮进入钉钉认证模板配置页面,页面显示了当前的钉钉认证模板配置,如下图所示。
图2-25 钉钉认证模板配置页面
页面的详细说明如表2-17所示。
表2-13 钉钉认证模板配置详细说明
|
项目 |
说明 |
|
标签页名称 |
钉钉认证Portal页面显示的标签名称。 |
|
欢迎词 |
钉钉认证模板欢迎词。 |
|
免责声明 |
钉钉认证模板免责声明。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
钉钉认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如下图所示。
图2-26 钉钉认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如下图所示。
图2-27 钉钉认证模板移动终端预览效果
7. APP认证模板
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>APP认证模板”,点击操作中的<编辑>按钮进入APP认证模板配置页面,页面显示了当前的APP认证模板配置,如下图所示。
图2-28 APP认证模板配置页面
页面的详细说明如表2-14所示。
表2-14 APP认证模板配置详细说明
|
项目 |
说明 |
|
标签页名称 |
APP认证Portal页面显示的标签名称。 |
|
欢迎词 |
APP认证模板欢迎词。 |
|
按钮颜色 |
登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
APP认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如下图所示。
图2-29 APP认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如下图所示。
图2-30 APP认证模板移动终端预览效果
8. POP3认证模板
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>POP3认证模板”,点击操作中的<编辑>按钮进入POP3认证模板配置页面,页面显示了当前的POP3认证模板配置,如下图所示。
图2-31 POP3认证模板配置页面
页面的详细说明如表2-15所示。
表2-15 POP3认证模板配置详细说明
|
项目 |
说明 |
|
标签页名称 |
POP3认证Portal页面显示的标签名称。 |
|
欢迎词 |
POP3认证模板欢迎词。 |
|
免责声明 |
POP3认证模板免责声明。 |
|
按钮颜色 |
登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
POP3认证Portal页面背景图片。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如下图所示。
图2-32 POP3认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如下图所示。
图2-33 POP3认证模板移动终端预览效果
在导航栏中选择“用户管理>认证管理>认证方式>认证模板设置>混合认证模板”,点击操作中的<编辑>按钮进入混合认证模板配置页面,页面显示了当前的混合认证模板配置,如图2-34所示。
页面的详细说明如表2-16所示。
|
项目 |
说明 |
|
标签页名称 |
混合认证模板Portal页面显示的标签名称。 |
|
欢迎词 |
混合认证模板欢迎词。 |
|
免责声明 |
混合认证模板免责声明。 |
|
登录按钮颜色 |
混合认证模板登录按钮颜色。 |
|
Logo图片 |
Logo图片设置 。 |
|
背景图片 |
混合认证模板Portal页面背景图片,同时支持3张背景图片混合认证显示。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击操作中的<高级配置>按钮进入混合认证模板高级配置,页面显示了当前的混合认证模板高级配置,如图2-35所示。
页面详细说明如表2-17所示。
|
项目 |
说明 |
|
发送按钮颜色 |
短信认证发送短信验证码的按钮颜色。 |
|
免认证描述 |
免认证描述信息。 |
输入完毕后,点击<提交>按钮,应用配置,点击<取消>按钮,取消配置修改。
点击预览
图标查看PC终端预览效果,如图2-36所示。
图2-36 混合认证模板PC终端预览效果
点击预览
图标查看移动终端预览效果,如图2-37所示
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 本地WEB认证”,进入本地WEB认证配置页面,页面显示了当前的本地WEB认证配置,如图2-38所示。
图2-38 本地WEB认证配置页面(允许重复登录)
系统默认选择允许重复登录,如果选择单一账号登录点选框,页面如图2-39所示。
图2-39 本地WEB认证配置页面(单一账号登录)
页面的详细说明如表2-18所示。
表2-18 本地WEB认证配置详细说明
|
项目 |
说明 |
|
用户唯一性检查 |
用户唯一性检查的配置方式。 |
|
单一账户登录 |
同一时间只允许同一账号登录一次。 |
|
踢出已登录用户 |
如果新用户登录,老的用户将会被踢下线。 |
|
禁止同名用户再次登录 |
如果老用户已经登录,新用户将不能以此用户名登录。 |
|
允许重复登录 |
同一时间允许同一账号登录多次。 |
|
允许个数 |
允许同一账号登录的次数,可以选择无限制,也可以设定2到1000的数值。 |
|
加密认证 |
勾选后,认证过程中对终端与设备之间的认证报文进行加密处理。 如密码存储在LDAP、RADIUS等第三方服务器上,终端与设备之间的认证报文进行加密处理,但设备与服务器之间的交互报文不加密。 |
|
客户端超时 |
配置客户端超时方式和超时时间,超时方式包含:心跳超时、流量超时。 心跳超时:用户认证上线后的页面会定期发心跳报文,如果页面关闭心跳报文会停止发送,如果超过超时时间设备未收到心跳报文会将用户踢下线发送; 流量超时:设备检测用户产生流量,如果超过超时时间都未检测到用户流量会将用户踢下线 ; 不勾选超时时间默认不超时 |
|
强制重登录间隔 |
WEB强制重新认证时间。如果开启无感知,用户被强制重登录踢下线后,会重新匹配无感知上线。 |
|
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户上线后会将用户MAC加入无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会直接匹配无感知列表上线,无需再次认证。 |
|
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
输入完毕后,点击<提交>按钮,应用配置。
在短信认证中,通过手机获取短信认证码方式认证上网。认证通过后用手机号填充用户名请求,设备收到后进行对比,对比成功完成用户认证,用户名为手机号。
与其他认证方式相同,终端访问外网的流量都会被重定向到认证页面,用户通过认证页面提交获取验证码的请求。设备收到请求后,生成验证码,并将手机号和带验证码的短信内容,通过短信服务商提供的接口,向短信服务器发出发送验证码的请求。短信服务器收到请求后,向指定手机号发送验证码。用户根据收到的验证码,提交认证。
短信网关是当终端与设备对接时,给认证终端指定的手机号下发授权验证码的设备。目前设备已支持与多家短信厂商的对接,并支持基于http协议及soap协议的短信网关通用框架,实现与预定义之外的短信厂商服务器对接。
配置短信认证,需要先根据对接的短信厂商不同,配置对应的短信服务网关。
(1) 配置预定义短信厂商
在导航栏中选择“系统管理>服务器管理>短信服务”,单击新建进入短信服务设置页面,单击厂商列表选择对接的短信厂商名称,如下图所示。
图2-40 短信服务设置页面
页面的详细说明如下表所示。
表2-19 短信服务配置说明
|
项目 |
说明 |
|
名称 |
短信服务对象的名称 |
|
描述 |
可输入该短信服务对象的作用等信息 |
|
厂商 |
通过下拉框方式选择系统内置的不同短信厂商(不同厂商需要填写信息各不相同,实际情况请根据所选厂商进行填写,此处以“亿美软通”为例说明)。 |
|
短信内容前缀 |
短信内容前面部分的描述信息 |
|
网关地址 |
短信厂商提供的通信地址 |
|
序列号 |
短信厂商提供的产品序列号 |
|
密码 |
短信厂商提供的产品密码 |
|
短信key |
短信厂商提供的产品key值 |
|
扩展号段 |
短信厂商提供的扩展功能号码 |
(2) 配置http短信网关
在导航栏中选择“系统管理 >服务器管理 >短信服务”,厂商选择“http协议”,进入http短信网关配置页面,如下图所示。
图2-41 http短信网关配置页面
页面的详细说明如下表所示。
表2-20 http短信网关配置页面详细说明
|
项目 |
说明 |
|
名称 |
创建的http短信网关名称。 |
|
描述 |
创建的http短信网关的描述信息。 |
|
厂商 |
创建的短信网关厂商信息,此处选择http协议。 |
|
网关地址 |
对接的http短信网关服务器的地址信息。 |
|
Content-type |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
|
报文主体 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档格式填写。比如:如上图,填入企业编号、用户编号、用户密码、短信内容、短信类型等信息 |
|
报文内容运算 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写,如果接口文档中对报文内容有运算要求,勾选相应的运算方式。支持:转json、Unicode编码、base64编码三种方式。 |
|
报文格式 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。支持:json、formdata两种方式。 |
|
响应头 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。支持:json、xml、text三种方式。 |
|
响应标记 |
需要短信网关厂商提供相关接口文档,此处按照发送短信接口的文档填写。 |
(3) 配置soap短信网关
在导航栏中选择“系统管理 >服务器管理 >短信服务”,厂商选择“soap”,进入soap短信网关配置页面,如下图所示。
图2-42 soap短信网关配置页面
页面的详细说明如下表所示。
表2-21 soap短信网关配置页面详细说明
|
项目 |
说明 |
|
名称 |
输入新建soap短信网关的名称 |
|
描述 |
新建的soap短信网关的描述信息。 |
|
厂商 |
选择短信网关的类型,此处选择soap。 |
|
网关地址 |
对接的soap短信网关服务器的地址信息。 |
|
报文内容 |
报文内容有2种方式可以输入:1、xml文件的方式,把需要交互的内容使用xml的各种保存问题标准的xml文件,上传该文件;2、手动输入方式,把需要和短信网关服务器交互的内容,按照xml文件的格式填入到手动输入框中。 |
|
响应标记 |
响应标记有三个字段信息,分别是:1、短信发送成功后的成功状态的标记字段名;2、短信发送成功后的成功返回的标记字段值;3、短信发送成功后的成功返回消息。 |
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 短信认证”,进入短信认证配置页面,如图2-43所示。
页面的详细说明如表2-22所示。
|
项目 |
说明 |
|
启用 |
启用开关,开启后可配置页面其它参数。 |
|
超时时间 |
短信认证用户超时时间,默认值为15分钟。 |
|
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
|
加密认证 |
勾选为使用加密方式进行认证,防止用户名和密码在传输过程中泄露,如果关闭加密认证会存在安全风险,默认为勾选。 |
|
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证后跳转到认证登录结果页面。 |
|
短信对象 |
通过下拉框选中创建的短信对象。比如:此处创建的是“东航短信认证”。 |
|
短信内容 |
定制短信显示内容。长度为1-256个字符,必须包含标签 <identifying-code>,表示验证码。 |
在导航栏中选择“用户管理>认证管理>认证策略”,单击新建进入认证策略配置页面,启用认证策略,认证方式选择“短信认证”,如下图所示。
图2-44 认证策略配置页面
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > Portal Server”,进入Portal Server服务器配置页面,如图2-45所示。
图2-45 Portal Server服务器配置页面
页面的详细说明如表2-23所示。
表2-23 Port Server服务器创建页面详细说明
|
项目 |
说明 |
|
认证服务器 |
Portal认证使用的radius服务器或radius服务器组名称。 |
|
Portal服务器 |
Portal服务器的IP地址。 |
|
快速无感知 |
用户快速无感知认证功能及超时时间,当认证用户上线后会将用户MAC加入到IMC无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会根据用户MAC去匹配IMC服务器无感知列表,如果匹配上,则无需再次认证。 |
|
超时时间 |
用户认证的超时时间,在时间段内没有流量设备会强制用户下线。 |
|
认证URL |
Portal认证时重定向的URL。 |
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 免认证”,进入免认证配置页面,如图2-46所示。
页面的详细说明如表2-24所示。
|
项目 |
说明 |
|
超时时间 |
免认证用户超时时间,默认值为15分钟。 |
|
页面跳转设置 |
之前访问的页面:WEB认证成功后跳转到用户认证之前访问的页面。 重定向URL:WEB认证成功后将重定向到指定的URL资源页面。 认证结果页面:WEB认证成功后跳转到认证登录结果页面。 |
IC卡认证是在一些上网管控要求严格的场景,用户在使用网络服务时需要使用自己的IC卡进行认证等操作后,才允许用户访问网络。设备支持安装包导入,管理员导入安装包后,用户可以在认证页面下载IC卡认证程序,进行IC卡认证。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > IC卡认证”,进入IC卡认证配置界面,如图2-47所示。
表2-25 IC认证配置界面详细说明
|
参数 |
说明 |
|
本地检查 |
用户刷卡时,设备识别IC卡信息,与IC卡卡号信息校验,如果没有对应的IC卡卡号,则认证失败。 |
|
超时时间 |
IC认证用户超时时间,默认值为15分钟。在时间段内没有流量设备会强制用户下线。 |
|
安装包导入 |
管理员导入IC卡安装程序,导入后用户认证时可以下载,导入名称必须为ic_card.exe,点击上传导入成功后即可生效(不需要单击提交)。 |
|
提交 |
下发配置。 |
单击选择“IC卡卡号信息”标签页,进入IC卡卡号信息配置页面,在该页面可以查询、导入、导出IC卡卡号信息,如图2-48所示。
导入IC卡卡号信息后,当用户完成认证后,在线用户显示的用户名为导入的IC卡卡号对应的用户名,否则显示为IC卡卡号。
图2-48 IC卡卡号信息页面
单击“查询”按钮,可以根据用户名和卡号查询IC卡卡号信息。
单击“导出”按钮,可以导出IC卡卡号信息,下载后的文件为csv格式,文件的内容如图2-49所示。
图2-49 导出的IC卡卡号信息文件
如需导入IC卡信息,可以在导出的IC卡信息文件中,录入需要导入的IC卡卡号信息后保存文件,导入信息字段的说明如表2-26所示。
表2-26 IC卡卡号信息字段说明
|
参数 |
说明 |
|
IC card number |
用户刷卡认证时使用的IC卡卡号,最大长度63字符 |
|
Name |
与IC卡卡号对应的用户名,最大长度63字符 |
单击“导入”按钮,弹出导入IC卡卡号信息页面,单击“选择文件”选择修改后的IC卡卡号信息文件,单击“提交”即可将IC卡卡号信息导入到系统中。导入后的IC卡信息会覆盖已存在的数据。
图2-50 导入IC卡卡号信息页面
随着手机的普及,手机的使用已是人们生活中不可分割的一部分。手机APP已成为时下的主流,不仅为我们的生活带来了极大的便利,还使移动办公成为了可能。因此,在客户场景中使用用户认证功能与APP进行联动,从而使认证用户才能使用网络服务。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > APP认证”,进入APP认证配置界面,如图2-51所示。
界面详细说明如表2-27所示。
|
参数 |
说明 |
取值建议 |
|
超时时间 |
APP认证用户超时时间,在时间段内没有流量设备会强制用户下线。 |
默认值为15分钟,可输入的范围为10-144000分钟。 |
|
无感知 |
用户无感知认证功能及超时时间,当认证用户首次认证下线后,在超时时间内再次上网无需认证,可以无感知上线。 |
默认值为10分钟,可输入的范围为10-144000分钟。 |
|
服务器白名单 |
添加APP软件下载的服务器地址。 |
可以输入IP格式或域名格式的地址,单击“添加到列表”。 |
|
规则一 |
添加在app登录url请求中用户名称位置,在规则中填写用户名起始符和用户名终止符,规则一为必填项。 |
APP账号登录支持GET和POST两种方式。首先使用抓包软件抓整个APP应用登录过程的报文,然后过滤找到包含登录账号的GET报文或POST表单报文,根据报文内容用户名提取规则配置用户名起始符。 |
|
规则二 |
添加在app登录url请求中用户名称位置,在规则中填写用户名起始符和用户名终止符,规则二为非必填项。 |
- |
|
PC下载地址 |
填写PC端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为http或https,且仅可设置一条URL。 |
|
IOS下载地址 |
填写IOS端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为http或https,且仅可设置一条URL。 |
|
Android下载地址 |
填写Android端下载APP应用的连接地址。 |
长度为1-512字符,前缀必须为http或https,且仅可设置一条URL。 |
POP3认证是指用户在使网络服务时,可以在认证页面中输入内网或外网邮箱服务器中的邮箱账号和密码进行认证,从而使认证用户接入使用网络。
在导航栏中选择“用户管理 > 认证管理 > 认证服务器 > 认证服务器”,进入认证服务器界面。将鼠标移至“新建”按钮,在下拉框中选择“POP3服务器”,进入POP3服务器的配置界面,如图2-9所示。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > POP3认证”,进入POP3认证配置界面,如图2-52所示。
表2-28 POP3认证配置界面详细说明
|
参数 |
说明 |
|
认证服务器 |
用户唯一性检查的配置方式。 |
|
超时时间 |
用户认证的超时时间,在时间段内没有流量设备会强制用户下线。 |
|
无感知 |
用户无感知认证功能及超时时间,默认值10080分钟,当认证用户上线后会将用户MAC加入无感知列表,如果用户因超时下线,在无感知周期内,用户再次上网产生流量时,会直接匹配无感知列表上线,无需再次认证。 |
|
页面跳转设置 |
之前访问的页面:认证成功后跳转到认证前访问的页面。 重定向URL:认证成功后将重定向到指定的URL资源页面。 认证结果页面:认证成功后停留在认证结果页面。 |
POP3服务器的配置请参见 2.2.3 配置POP3服务器。
用户通过钉钉认证授权的方式进行验证身份后上网。主要应用于企业网络场景,便于企业网络人员通过钉钉应用进行上网行为的管理。
钉钉认证的认证流程如下:
(1) 在设备上配置认证策略。
(2) 对用户PC访问外网的流量进行劫持并触发用户认证弹portal。
(3) 用户获取钉钉授权登录的二维码。
(4) 用户使用手机扫描获取到的二维码,并向钉钉服务器发送确认信息。
(5) 服务器会将确认后的相关信息返回给用户PC,此时PC再通过回调地址将数据发送给设备。
(6) 设备使用用户通过回调地址提供的信息向钉钉服务器获取用户的认证信息。
(7) 用户认证信息获取成功,使用获取到的信息将用户上线。
(8) 用户上线成功后放通后续用户的所有流量。
在导航栏中选择“用户管理>认证管理>认证方式>钉钉认证”,进入钉钉认证配置页面,如下图所示。
图2-53 钉钉认证配置页面
页面的详细说明如下表所示。
表2-29 钉钉认证配置页面详细说明
|
项目 |
说明 |
|
启用 |
是否启用钉钉认证。 |
|
超时时间 |
钉钉认证的超时时间,默认值为15分钟,在时间段内没有流量设备会强制用户下线。 |
|
页面跳转设置 |
设置认证成功之后页面跳转情况。 |
|
回调地址 |
在钉钉服务器用来指定跳转回设备的URL地址,输入格式为:设备管理地址IP+指定端口,目前只支持http。 例如:http://192.168.1.1:8000/ 配置必须和钉钉服务器配置保持一致。 即在钉钉服务器用来指定跳转回设备的URL地址。 |
|
AppID |
钉钉服务器配置的AppID。在钉钉开放平台https://open-dev.dingtalk.com设置扫码登录应用授权,钉钉服务器自动生成的个人钉钉的唯一标识 |
|
AppSecret |
钉钉服务器配置的AppSecret,钉钉服务器自动生成的应用秘钥。 |
|
企业ID |
钉钉服务器配置的企业ID,从钉钉认证服务器获取的enterpriseid(企业id)唯一标识。 |
|
Appkey |
钉钉服务器配置的Appkey,自动获取用户组时,需要和钉钉服务器端建立连接,由钉钉服务器端生成的公钥。 |
|
自动获取所属组 |
选择是否自动获取所属组。 |
|
路径 |
开启自动获取所属组时,会将认证用户自动获取并在“数据中心>系统监控>在线用户>属性组>认证用户”中显示;同时可以手动配置认证用户所属路径。 |
点击导航栏的“用户管理 > 认证管理 > 认证方式 > 酒店会员认证”,进入酒店会员认证配置页面。
图2-54 酒店会员认证配置页面
页面的详细说明如下表所示。
表2-30 酒店会员认证配置页面详细说明
|
项目 |
说明 |
|
设备ID |
配置设备ID。 |
|
超时时间 |
认证的超时时间,默认值为15分钟,在时间段内没有流量设备会强制用户下线。 |
|
Portal URL |
对接酒店服务器提供的Portal认证时重定向的URL。 |
|
认证URL |
对接酒店服务器提供的Portal认证时重定向的URL。 |
|
公钥 |
公钥(Public Key)是通过一种算法得到的一个密钥,公钥是密钥对中公开的部分 |
|
私钥 |
私钥(Private Key)是通过一种算法得到的一个密钥,私钥是密钥对中非公开的部分 |
通过第三方小程序认证,设备接收第三方小程序推送过来的用户信息,解析后将用户以第三方小程序认证的方式上线,支持配置在线用户超时时间和加密秘钥。
点击导航栏的“用户管理 > 认证管理 > 认证方式 > 第三方小程序认证”,进入第三方小程序认证的显示页面,如图2-55所示。在“超时时间”输入框中,输入用户上线超时时间(默认是15分钟),在“加密秘钥”输入框中,输入秘钥字符串(只支持数字和字母的输入)。
|
配置项 |
说明 |
|
超时时间 |
取值范围是10-144000分钟,默认是15分钟。 |
|
加密秘钥 |
只支持数字和字母,支持的长度范围是0-63字符;加密秘钥由第三方小程序的开发者提供。 |
企业微信认证是用户在客户端上网时,可通过移动端的企业微信扫描设备推送的二维码,实现认证,通过认证后用户即可在设备侧上线,通过设备进行上网。
在设备上配置企业微信认证前,需要先登录企业微信管理后台进行相关配置,也可以在设备的企业微信认证配置页面,单击<配置指导>查看详细说明。配置步骤如下:
(1) 登录企业微信管理后台,地址如下:
https://work.weixin.qq.com/wework_admin/loginpage_wx?from=myhome
(2) 选择“我的企业>企业信息”,获取企业ID,对应设备企业微信认证配置参数中的AppID。
(3) 选择“应用管理>应用”,在自建下点击“创建应用”,应用名称填“我要上网”。
(4) 点击进入“我要上网”应用(此时企业微信服务器会给这个应用颁发一个AgentID和Secret。AgentID是授权方的网页应用ID;Secret用于Client向认证服务器获取access token时加密使用的)。
(5) 获取AgentID和Secret,对应设备企业微信认证配置参数中的AgentID、AppSecret。
(6) 点击进入“网页授权及JS-SDK”,填入回调地址域名,例如:lgtest.com:8000。
(7) 启用“企业微信授权登录”,在“web网页”下面填入授权回调域名,例如:lgtest.com:8000。
(8) 启用“工作台应用主页”,填入https://open.weixin.qq.com/connect/oauth2/authorize?appid=ww84b3066845e835b6&redirect_uri=http://lgtest.com:8000/wxwork_auth.php?action=miniprogram_wxcode&response_type=code&scope=snsapi_base&state=qywechat-#wechat_redirect。
其中appid替换为步骤2获取的AppID(即企业ID),direct_uri替换为回调地址。
(1) 点击导航栏的“用户管理 > 认证管理 > 认证方式 >企业微信认证”,进入企业微信认证的配置页面,如下图所示。
图2-56 企业微信认证配置页面
页面的详细说明如下表所示。
表2-32 企业微信认证配置页面详细说明
|
配置项 |
说明 |
|
启用 |
勾选复选框启用企业微信认证功能。 |
|
超时时间 |
设置企业微信认证的超时时间。如果在该时间段内无任何来自客户端的流量,用户将会被强制下线。 |
|
页面跳转设置 |
认证成功后继续访问的页面。 · 之前访问的页面:用户认证前访问的页面。 · 重定向URL:自定义的重定向URL。 · 认证结果页面。 |
|
接口参数配置 |
点击<配置指导>,根据指导信息配置接口参数。接口参数需要与企业微信管理后台保持一致。 · 回调地址:为管理IP地址+指定端口,只支持HTTP。 · AppID:填入在企业微信管理后台配置的企业ID。 · AppSecret:填入在企业微信管理后台获取的Secret。 · AgentId:填入在企业微信管理后台获取的AgentId。 |
|
自动获取所属组 |
勾选复选框,自动获取用户所属的用户组。 |
|
路径 |
设置获取到的用户所属组信息在本地指定路径下创建用户组,并将用户录入到该组下。 |
· 由于需要与第三方平台(服务器)进行交互,所以必须确保设备可以访问外网。
· 需要配置DNS服务器,用以域名解析。
· 使用前请先到第三方平台(服务器)进行注册并获取对接参数相关信息。
· 因为流量放通时间默认是1分钟,所以需要认证用户在1分钟内完成扫码认证。
(2) 配置认证策略
在导航栏中选择“用户管理>认证管理>认证策略”,单击新建进入认证策略配置页面,启用认证策略,认证方式选择“企业微信认证”,详细配置请参考 认证策略配置。
图2-57 企业微信认证策略配置页面
混合认证是指认证策略中认证方式为混合认证,混合方式可以选择一种或者多种认证,在用户弹出的认证页面中可以选择其中一种进行认证即可。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 混合认证”,进入混合认证配置界面。
图2-58 混合认证配置页面
表2-33 混合认证配置界面详细说明
|
参数 |
说明 |
|
页面跳转设置 |
之前访问的页面:认证成功后跳转到认证前访问的页面; 重定向URL:认证成功后将重定向到指定的URL资源页面; 认证结果页面:认证成功后停留在认证结果页面。 |
在导航栏中选择“用户管理 > 认证管理 > 认证策略”,进入认证策略配置界面,勾选启用,认证方式选择“混合认证”,并勾选一个或多个认证方式。认证方式支持本地WEB认证、短信认证等。
图2-59 混合认证配置页面
认证方式的配置请参考相关认证方式的配置章节。
设备可以读取认证服务器的认证数据库,获取用户上线信息,并将用户信息同步到设备本地完成策略管理。
· 应用场景
当用户有自己的认证系统进行认证,后台数据库为Postgresql数据库,且数据库中存在在线用户信息列表时,可以使用设备结合数据库进行单点登录完成自动认证。
· 原理描述
客户已有一套存储用户认证信息和组织结构信息的数据库系统,可以通过使用设备的数据库用户同步功能在Web界面上配置SQL查询语句,去主动查询数据库系统中的已认证用户列表,并同步到设备的在线用户列表中,从而实现用户通过数据库认证时,即通过设备的用户认证,同样的,用户从数据库认证系统中注销,也自动完成了在设备上的注销(即数据库方式的单点登录/注销)。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>数据库用户同步”,进入数据库用户同步配置页面,如图2-61所示。
图2-60 数据库用户同步配置页面
页面的详细说明如表2-35所示。
表2-34 数据库用户同步配置详细说明
|
项目 |
说明 |
|
数据库用户同步 |
|
|
启用 |
是否启用数据库用户同步功能。开启数据库用户同步功能后,设备会根据同步间隔定期通过数据库select语句去目标服务器上获取表中的用户信息(用户名+IP),动态缓存到设备本地特定目录下,后续对应的IP产生流量过设备时,则会直接加入在线用户,显示为对应的用户名。 |
|
用户同步IP范围 |
同步数据库用户的过滤条件,在IP范围内的用户信息才会同步到本地。 |
|
数据库服务器 |
显示已配置的数据库服务器,根据需要选择正确的服务器即可。 |
|
获取已认证用户列表的SQL语句 |
通过配置正确的SQL语句从数据库中的特定表中获取特定的字段内容(用户名+IP)。 如:select username,ip from usertable; |
|
同步间隔 |
设备周期性跟数据库服务器同步用户信息的时间间隔 |
|
测试有效性 |
测试设备是否能从数据库服务器获取到用户信息 |
输入完毕后,点击<提交>按钮,应用配置。
配置数据库同步的前提需要已具备Postgresql数据库,且用户认证信息会存储在数据库中。设备端数据库服务器的配置请参考2.2.4 章节。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>第三方用户同步接口”,进入第三方用户同步配置页面,如图2-61所示。
页面的详细说明如表2-35所示。
|
项目 |
说明 |
|
第三方用户同步接口 |
|
|
服务器1/服务器2 |
是否启用第三方用户同步接口功能。开启第三方用户同步接口功能后,第三方认证服务器将用户上线下报文发送到设备的UDP9999端口,设备通过上下线报文来识别用户。支持同时配置两个对接服务器。 |
|
服务器名称 |
第三方认证服务器的名称。 |
|
服务器地址 |
第三方认证服务器的IP地址。 |
|
密钥 |
与第三方认证服务器之间对接的密钥,需要与对端保持一致。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>Radius用户同步”,进入Radius用户同步配置页面,如图2-62所示。
图2-62 Radius用户同步配置页面
页面的详细说明如表2-36所示。
表2-36 Radius用户同步配置详细说明
|
项目 |
说明 |
|
RRadius用户同步 |
|
|
启用 |
是否启用Radius用户同步,启用该功能后,用户的Radius报文经过设备,即可通过Radius报文来识别用户。 |
|
Radius认证端口 |
Radius服务器上认证报文的接收端口,默认为1812。支持修改成其它使用的端口. |
|
Radius计费端口 |
Radius服务器上计费报文的接收端口,默认为1813。支持修改成其它使用的端口. |
|
用户组 |
用户同步的目的用户组。通过Radius报文识别的用户加入到配置的用户中。 |
配置完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>web用户同步”,进入web用户同步配置页面,如图2-63所示。
图2-63 web用户同步(http流量经过设备)配置页面
页面的详细说明如表2-37所示。
表2-37 web用户同步(http流量经过设备)配置详细说明
|
项目 |
说明 |
|
web用户同步(http流量经过设备) |
|
|
启用 |
是否启用web用户同步,启用该功能后,用户的http认证报文经过设备,即可通过http认证报文来识别用户。 |
|
web服务器 |
配置web服务器,支持域名、IP地址、IP地址加端口。 |
|
类型 |
支持从URL请求参数、Cookie值、post表单中获取认证用户名。 |
|
url请求参数 |
对应的报文字段中查询配置的用户名关键字,配置用户名获取类型为url请求参数时配置对应url参数名;配置用户名获取类型为Cookie值时配置对应Cookie名;配置用户名获取类型为POST表单时配置对应用户表单名称。 |
|
用户组 |
用户默认属于web用户组,可以修改所属用户组。 |
|
启用认证关键字 |
是否启用认证关键字,启用该功能后,支持校验服务器响应。 |
|
认证成功关键字 |
启用认证成功关键字后,响应报文匹配到配置的认证成功关键字后用户才可上线,否则用户上线失败。 |
|
认证失败关键字 |
启用认证失败关键字后,响应报文匹配到配置的认证失败关键字后用户上线失败,否则用户上线。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>web用户同步”,进入web用户同步配置页面,如下图所示。
图2-64 web用户同步(http流量到达设备)配置页面
页面的详细说明如表2-37所示。
表2-38 web用户同步(http流量到达设备)配置详细说明
|
项目 |
说明 |
|
web用户同步(http流量到达设备) |
|
|
启用 |
是否启用web用户同步,启用该功能后,用户的http认证报文达到设备,即可通过http认证报文来识别用户。 |
|
URL |
配置url,http请求的资源路径。 |
|
服务器端口 |
配置用于接收第三方认证报文的设备服务端口。 |
|
用户组 |
用户默认属于web用户同步,可以修改所属用户组。 |
|
启用上线信息同步 |
是否启用上线信息同步,启用该功能后,支持匹配到配置上线信息后用户上线。 |
|
上线标记 |
认证上线请求报文匹配到上线标记后用户才可上线,否则用户上线失败。 |
|
上线用户名 |
认证上线请求报文匹配到上线用户名起始及终止符后用户才可上线,否则用户上线失败。 |
|
上线用户IP |
认证上线请求报文匹配到上线用户ip的起始及终止符后用户才可上线,否则用户上线失败。 |
|
上线用户MAC |
认证上线请求报文匹配到上线用户mac起始及终止符后用户才可上线,否则用户上线失败。 |
|
启用下线信息同步 |
是否启用下线信息同步,启用该功能后,支持匹配到配置下线信息后用户下线。 |
|
下线标记 |
认证下线请求报文匹配到上线标记后用户才可下线,否则用户下线失败。 |
|
下线用户名 |
认证下线请求报文匹配到下线用户名起始及终止符后用户才可下线,否则用户下线失败。 |
|
下线用户IP |
认证下线请求报文匹配到下线用户ip的起始及终止符后用户才可下线,否则用户下线失败。 |
|
下线用户MAC |
认证下线请求报文匹配到下线用户mac起始及终止符后用户才可下线,否则用户下线失败。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理>认证管理>高级选项>第三方用户同步>其它用户同步”,进入其它用户同步配置页面,如图2-65所示。
页面的详细说明如表2-39所示。
|
项目 |
说明 |
|
其它用户同步 |
|
|
深澜 |
勾选表示与深澜认证服务器对接。开启此功能后,配置深澜服务器发送相应的报文到设备,即可识别用户。 |
|
城市热点 |
勾选表示与城市热点认证服务器对接。开启此功能后,配置城市热点服务器发送相应的报文到设备,即可识别用户。 |
|
PPPOE |
勾选表示与PPPOE服务器用户同步。通过PPPoE报文识别用户并在本地用户界面创建相应的用户PPPOE账号。 |
|
安美 |
勾选表示与安美认证服务器对接。开启此功能后,配置安美服务器发送相应的报文到设备,即可识别用户。 |
|
ddi终端用户 |
勾选表示与ddi服务器对接。开启此功能后,配置ddi服务器发送相应的报文到设备,即可识别用户终端类型。 |
输入完毕后,点击<提交>按钮,应用配置。
在导航栏中选择“用户管理 >认证管理>高级选项>全局配置”,进入全局配置页面,页面显示了当前的识别配置和认证配置,如图2-66所示。
页面的详细说明如表2-40所示。
|
项目 |
说明 |
|
识别范围 |
标示用户识别范围的地址对象或者地址对象组。 用户只有同时在用户识别范围内和相应的认证网段中,使用流量的时候才会触发认证过程。如该用户不在用户识别范围内,则不会触发认证过程,也不会识别为匿名用户;如该用户在用户识别范围内,但不在任何一个认证网段中,则该用户被识别为匿名用户。 |
|
识别模式 |
识别模式分为“启发模式”和“强制模式”两种,默认配置为强制模式,识别范围默认配置均为private私网地址段。 “启发模式”指的是,优先将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,如果源IP和目的IP都不在识别范围中时则将源IP识别为在线用户。 “启发模式”使用场景:对用户识别要求不严格的情况下使用启发模式,在线用户中会出现非识别范围内的用户(如:同时出现私网IP和公网IP的用户),所以统计到的在线用户数量会比较多,在此模式下需要将识别范围修改成内网实际使用的地址网段,否则会导致用户识别不精确。 “强制模式”指的是,只将属于识别范围的IP地址识别为在线用户,并且根据流量发起方先识别源IP,再识别目的IP,只有源IP或目的IP地址中的一个属于识别范围时,才会被识别为在线用户;否则此IP地址流量不受系统转发流程中用户识别后的所有功能模块限制,如:用户策略、安全策略、应用识别和审计、入侵检测、病毒防护、QOS。 “强制模式”使用场景:对用户识别要求严格的情况下使用强制模式,在线用户中只会存在识别范围内的用户,过滤掉了不属于内网地址段的用户,精简了在线用户列表,只显示用户真正关心的数据,同时提升了设备性能,不在识别范围内的IP流量不走用户认证流程,避免了对用户不关心数据的处理,在此模式下务必将识别范围修改成内网实际使用的地址网段,避免因识别范围配置错误导致的用户关心的IP地址流量不受用户策略控制的情况出现。 |
|
启用第三方认证 |
是否启用第三方认证。 |
|
认证方式 |
第三方认证服务器是Radius服务器或者Ldap服务器。 |
|
RADIUS |
选择已配置的Radius服务器或服务器组。 |
|
Ldap |
选择已配置的Ldap服务器或服务器组。 |
|
https弹portal |
勾选后,用户在访问HTTPS网站时也可以弹出认证页面。 |
|
https弹portal告警消除 |
当用户访问https时,弹出portal前会有告警。勾选后则不弹出告警。 |
|
加密认证告警消除 |
本地web认证、短信认证有加密功能,当开启加密时,访问的所有http和https都被加密为https,该功能用于消除加密后的https站点的告警。 |
|
用户MAC感知 |
开启用户MAC感知后,如检测到用户的MAC地址发生变化,则强制用户重新认证。(开启跨三层MAC地址学习功能时会发生用户MAC地址变更的情况。) |
|
伪Portal抑制 |
对于Portal重定向支持HTTP302方式和Html-refresh方式,选择HTTP302方式时对所有请求都响应,伪Portal抑制不生效;选择Html-refresh方式时,只响应浏览器的请求,伪Portal抑制生效。 |
|
用户认证验证码 |
只对本地认证、免认证、pop3认证、混合认证(本地认证、免认证)生效。 |
|
绑定范围与密码同时校验 |
开启后会同时校验用户绑定的IP/MAC和用户名密码。 |
输入完毕后,点击<提交>按钮,应用配置。
认证策略录入配置主要针对第三方用户,目的是将存在于第三方的用户加入设备,便于做策略限制等。
图2-67 用户认证策略流程图
在导航栏中选择“用户管理 > 认证管理 > 认证策略”,单击<新建>按钮,进入认证策略的配置界面,如图2-68所示。
认证策略参数详细说明,如表2-41所示
|
标题 |
说明 |
|
启用 |
认证策略启用或禁用,认证策略只有启用才能生效。 |
|
名称 |
认证策略的名称。 |
|
描述 |
认证策略描述信息填写。 |
|
源接口 |
认证策略源接口。 |
|
源地址 |
认证策略源地址对象或地址组,可直接新建地址对象。 |
|
目的接口 |
认证策略目的接口。 |
|
目的地址 |
认证策略目的地址对象或地址组,可直接新建地址对象。 |
|
认证方式 |
认证策略认证方式可选本地WEB认证、短信认证、Portal Server认证、免认证、SAM认证、单点登录、混合认证、IC卡认证、APP认证、POP3认证、钉钉认证、酒店会员认证、第三方小程序认证、企业微信认证。 |
|
时间 |
认证策略时间对象,时间对象有效期内策略生效,时间对象无效的时候认证策略为禁用状态。 |
|
启用自注册 |
选择是否启用自注册,选择新建的自注册对象。 |
|
用户组 |
默认不选择用户组,第三方用户认证成功后不录入用户;选择用户组后,第三方用户认证成功后录入指定的用户组。 该功能主要针对于第三方认证的用户,目的将存储在第三方服务器的用户导入设备。如果需要对第三方认证的用户进行策略限制等,建议选择录入指定的用户组。 |
|
用户有效时间 |
用户有效期指的是第三方用户录入方式: · 永久录入:第三方用户认证成功后录入指定组,永久有效。 · 有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。 · 临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。 |
|
IP-MAC绑定 |
认证录入用户时对用户的IP和MAC进行绑定,保证终端一对一接入网络。 |
|
录入用户绑定 |
用户认证之后将用户名和IP或者MAC进行绑定,在有效期内,用户可以直接上线,不需要认证,也不需要一直有流量触发。 |
本地Web认证支持用户自注册功能,根据选择的用户自注册对象,在用户认证页面给用户提供自注册账号的功能。通过用户自注册代替管理员注册的方式来实现用户账号的获取,进而通过认证进行上网。用户自注册对象按照注册对象分为以下两种:
· 账号注册:通过申请账号,审批通过后可在任意终端上,通过账号进行认证登录。
终端注册:通过绑定IP或Mac来申请终端,审批通过后必须使用绑定的终端进行登录,并无需认证直接可以上网。
进入“用户管理>认证管理>用户自注册”,单击“新建>账号注册”,进入账号自注册对象配置页面。如下图所示。
图2-69 账号注册配置界面
表2-42 账号注册配置说明
|
项目 |
说明 |
|
名称 |
自注册对象的名称。 |
|
手机号、邮箱 |
单击 |
|
注册用户所属组 |
选择用户录入方式,可以指定注册用户所属用户组,也可以让注册的用户和认证策略用户在一个用户组,或让用户自己选择需要录入的用户组。 |
|
账号有效期 |
选择账号的有效时间,超过有效期后账号失效。 |
|
预览注册页面 |
查看注册提交的页面,预览页面布局。 |
选择“审批设置”,进入审批设置页面,如下图所示。
图2-70 审批设置页面
表2-43 审批设置页面说明
|
项目 |
说明 |
|
审批方式 |
选择是否需要审批,勾选需要审批后则需要选择审批人。 |
|
审批人设置 |
选择审批的管理员,其中设备审计员不能执行审批权限。 |
|
结果通知方式 |
是否需要邮箱通知,选择邮箱通知后需要配置邮箱服务器,自注册信息中邮箱默认变为必填项。 |
进入“用户管理>认证管理>用户自注册”,单击“新建>终端注册”,进入终端自注册对象配置页面。如下图所示。
图2-71 终端注册配置界面
表2-44 终端注册配置说明
|
项目 |
说明 |
|
名称 |
自注册对象的名称。 |
|
手机号、邮箱 |
单击 |
|
注册用户所属组 |
选择用户录入方式,可以指定注册用户所属用户组,也可以让注册的用户和认证策略用户在一个用户组,或让用户自己选择需要录入的用户组。 |
|
绑定方式 |
选择终端绑定的方式,IP或者Mac地址。 |
|
账号有效期 |
选择账号的有效时间,超过有效期后账号失效。 |
|
预览注册页面 |
查看注册提交的页面,预览页面布局。 |
选择“审批设置”,进入审批设置页面,如下图所示。
图2-72 审批设置页面
表2-45 审批设置页面说明
|
项目 |
说明 |
|
审批方式 |
选择是否需要审批,勾选需要审批后则需要选择审批人。 |
|
审批人设置 |
选择审批的管理员,其中设备审计员不能执行审批权限。 |
|
结果通知方式 |
是否需要邮箱通知,选择邮箱通知后需要配置邮箱服务器,自注册信息中邮箱默认变为必填项。 |
进入“用户管理>认证管理>认证策略”,单击<新建>,进入认证策略配置页面。选择是否启用自注册,选择新建的自注册对象,如下图所示。
图2-73 用户自注册认证策略配置页面
使用设置的审批管理员账号登录设备Web管理页面,进入“用户管理>认证管理>用户自注册>审批列表”,可以查看待审批的用户列表,如下图所示。
图2-74 审批列表
单击<详细>按钮可以查看申请审批的详细信息,如下图所示。
图2-75 审批列表详情页面
单击审批按钮
通过审批,可以输入通过意见,单击<提交>完成审批,如下图所示。审批通过的用户才可以使用注册的账号密码登录上网。
图2-76 审批通过页面
单击审批按钮
拒绝审批,可以输入拒绝意见,单击<提交>完成审批,如下图所示。审批未通过的用户不可以使用注册的账号密码登录上网。
图2-77 审批拒绝页面
在审批列表中选择多个审批记录,点击
或
,可以批量进行审批。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
