- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-身份识别用户
本章节下载: 04-身份识别用户 (278.90 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
通过用户身份识别与管理功能,设备可以将网络流量的IP地址识别为用户,并基于用户进行网络访问控制和网络权限分配。该功能具有以下优点:
· 基于用户进行其他业务策略的制定,可提高策略的易用性。
· 基于用户进行网络攻击行为以及流量的统计和分析,可实现对用户网络访问行为的追踪审计。
· 解决了用户IP地址动态变化带来的策略控制问题,即以不变的用户应对变化的IP地址。
身份识别用户用于存储和管理不同来源的网络接入用户的身份信息,包括用户名、用户组名以及所属身份识别域名。设备上,不同来源的身份识别用户被身份识别模块统一管理。
目前,支持以下方式生成身份识别用户:
· 从本地用户数据库学习:用户身份识别模块学习设备上的本地用户信息,将其保存为身份识别用户。
· 从CSV文件中导入:管理员将记录了用户信息的CSV文件导入到设备中,可批量创建身份识别用户。
· 从第三方服务器导入:通过向第三方服务器发起用户信息请求,将服务器上的网络接入用户账户信息直接导入本地,并生成对应的身份识别用户。如果实际网络环境中的用户信息存放在第三方认证服务器上,则可采用此方式统一管理。
身份识别用户账户将会由于以下原因被删除:
· 管理员手工删除身份识别用户。
· 本地用户数据库中删除某本地用户之后,用户身份识别模块会同步删除对应的身份识别用户账户。
在用户身份识别业务中,可以将用户加入到组中进行批量配置和层级式管理,这样的组称为身份识别用户组。设备上,不同来源的身份识别用户组被用户身份识别模块统一管理。
目前,支持以下方式生成身份识别用户组:
· 从本地用户数据库学习:当设备上创建本地用户组时,会通知用户身份识别模块生成相应的身份识别用户组。
· 从CSV文件中导入:设备在从CSV文件中导入身份识别用户账户的同时,可以根据管理员的配置自动生成相应的身份识别用户组。
· 从第三方服务器导入:设备在从第三方服务器上导入身份识别用户账户的同时,会根据账户中的组信息自动生成相应的身份识别用户组。
身份识别用户组被应用模块引用之后,该用户组将处于激活状态,所有基于该组的业务将会生效。当应用模块取消对该身份识别用户组的引用,该身份识别用户组将处于非激活状态。
身份识别用户组将会由于以下原因被删除:
· 管理员手工删除身份识别用户组。
· 本地用户数据库中删除本地用户组之后,用户身份识别模块会同步删除对应的身份识别用户组。
设备上的所有身份识别用户按树形结构组织,每一个身份识别用户隶属于一个或多个身份识别用户组,每个身份识别用户组也可以隶属于一个更高结构层次的身份识别用户组。这种树形组织结构易于管理员查询、定位,是企业内常用的用户组织方式。网络管理员可以根据企业的组织结构在设备上创建身份识别用户组和身份识别用户,分别对应不同管理级别的部门和员工,如图-1所示:
基于用户身份的访问控制流程主要包括如下步骤:
1. 用户身份认证:网络接入用户通过一定的认证方式(本地认证、远程服务器认证、单点登录)提供用户名和密码信息,完成身份验证,并成为在线用户。
2. 用户身份识别:设备记录在线用户的用户名和IP地址信息,并与本地存储的用户和用户组配置进行关联,实现IP地址和用户的映射。管理员也可以直接配置用户和IP地址的映射关系,便于无需认证的网络接入用户使用。
3. 业务策略执行:在线用户访问网络服务时,设备识别出用户流量的源IP地址,并根据已建立IP地址和用户的映射关系解析出对应的用户名以及所属的用户组,然后按照业务对用户/用户组的策略配置,对该用户的网络访问权限进行控制。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
查看身份识别用户的具体配置步骤如下:
1. 单击“对象模板 > 用户管理 > 身份识别用户”。
2. 在“身份识别用户”页面,选择<组织结构>内要查看的身份识别用户组的成员信息。
3. 在“身份识别用户”页面的成员信息如下表所示:
图-2 身份识别用户成员信息参数表
|
参数 |
说明 |
|
路径 |
表示当前所选的身份识别用户组在组织结构中的位置 |
|
成员 |
· 表示当前所选的身份识别用户组的直属子身份识别用户组的个数 · 表示当前所选的身份识别用户组的直属子身份识别用户的个数 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
