本举例是在M9000-AI-E8的R9071版本上进行配置和验证的。
本举例中的LDAP服务器是在Microsoft Windows Server 2008 R2的Active Directory中进行配置的。
本举例的AD单点登录软件使用的软件版本为V001R003。
如下图所示,用户将用户名和密码发送给AD(Active Directory)服务器进行认证,认证通过后,AD服务器将用户的身份信息(如用户名、IP地址等)同步给Device,使Device能够获得用户名和IP地址的对应关系。
用户通过AD服务器的认证后,即可直接访问网络资源(设备安全策略中对该用户配置了放行策略),而无需Device再次认证。
具体需求如下:
在安全策略规则中放行域用户test1的报文,此时,域用户test1通过AD单点登录后可以访问外网111.1.1.2
在安全策略规则中未放行域用户test2的报文时,域用户test2通过AD单点登录后不可以访问外网111.1.1.2
在安全策略规则中放行域用户test2的报文时,域用户test2通过AD单点登录后可以访问外网111.1.1.2
图-1 AD单点登录组网图
本文档假设您已了解LDAP特性,并安装好了AD单点登录服务软件及相关软件、插件和脚本。
打开H3C AD单点登录服务软件。单击左上角的修改配置,选择“修改H3C AD单点登录服务参数”,如下图所示。
图-2 AD单点登录服务
配置AD单点登录服务参数,如下图所示。配置完成后单击<确定>按钮。
图-3 配置AD单点登录服务参数
单击<启动>按钮启动服务。
图-4 启动AD单点登录服务
单击<添加>按钮,进入<添加设备>页面,具体配置参数如下图所示,单击<确定>按钮,完成添加设备。
添加的用户test必须是Device上创建好的超级管理员用户。
图-5 添加设备
添加成功后,设备状态为先为不可达,待设备相关配置完成后,设备状态将转换为可达,如下图所示。
图-6 查看设备状态
配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.200.102 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
配置安全域
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由。本举例假设设备到达外网服务器111.1.1.2/24的下一跳为111.2.1.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 111.1.1.2 24 111.2.1.2
配置安全策略放行Trust与Local安全域、Untrust与Trust安全域之间的流量,用于设备与AD Server互通,以及放通用户访问Server的流量。
# 配置名称为userlocalout1的安全策规则,使Device可以向AD Server发送报文,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name userlocalout1
[Device-security-policy-ip-1-userlocalout1] source-zone local
[Device-security-policy-ip-1-userlocalout1] destination-zone trust
[Device-security-policy-ip-1-userlocalout1] source-ip-host 192.168.200.102
[Device-security-policy-ip-1-userlocalout1] destination-ip-host 192.168.200.247
[Device-security-policy-ip-1-userlocalout1] action pass
[Device-security-policy-ip-1-userlocalout1] quit
# 配置名称为userlocalin1的安全策略规则,使AD Server可以向Device发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name userlocalin1
[Device-security-policy-ip-2-userlocalin1] source-zone trust
[Device-security-policy-ip-2-userlocalin1] destination-zone local
[Device-security-policy-ip-2-userlocalin1] source-ip-host 192.168.200.247
[Device-security-policy-ip-2-userlocalin1] destination-ip-host 192.168.200.102
[Device-security-policy-ip-2-userlocalin1] action pass
[Device-security-policy-ip-2-userlocalin1] quit
# 配置名称为trust-untrust的安全策规则,使用户可以访问Server,具体配置步骤如下。
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-3-untrust-trust] source-zone trust
[Device-security-policy-ip-3-untrust-trust] destination-zone untrust
[Device-security-policy-ip-3-untrust-trust] source-ip-subnet 192.168.200.201
[Device-security-policy-ip-3-untrust-trust] destination-ip-host 111.1.1.2
[Device-security-policy-ip-3-untrust-trust] user test1 domain ldap.com
[Device-security-policy-ip-3-untrust-trust] action pass
[Device-security-policy-ip-3-untrust-trust] quit
# 配置名称为untrust-trust的安全策略规则,使Server可以向用户发送报文,具体配置步骤如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-4-trust-untrust] source-zone untrust
[Device-security-policy-ip-4-trust-untrust] destination-zone trust
[Device-security-policy-ip-4-trust-untrust] source-ip-host 111.1.1.2
[Device-security-policy-ip-4-trust-untrust] destination-ip-subnet 192.168.200.201
[Device-security-policy-ip-4-trust-untrust] action pass
[Device-security-policy-ip-4-trust-untrust] quit
[Device-security-policy-ip] quit
配置用户身份识别
# 创建超级管理员test,配置用户导入策略,并开启用户身份识别功能。
[Device] local-user test class manage
[Device-luser-network-test] authorization-attribute user-role network-admin
[Device-luser-network-test] authorization-attribute user-role network-operator
[Device-luser-network-test] service-type http https
[Device-luser-network-test] password simple Admin!123456
[Device-luser-network-test] quit
配置设备SNMP功能
[Device] snmp-agent
[Device] snmp-agent community write private
[Device] snmp-agent community read public
[Device] snmp-agent sys-info version all
SNMPv1 and SNMPv2c are insecure because they transmit the community string and d
ata in plaintext form.
[Device] snmp-agent target-host trap address udp-domain 192.168.200.201 params securityname public v2c
配置LDAP,用于认证用户
[Device] ldap server ldap
[Device-ldap-server-ldap] ip 192.168.200.247
[Device-ldap-server-ldap] login-dn cn=administrator,cn=users,dc=ldap,dc=com
[Device-ldap-server-ldap] login-password simple admin!123456
[Device-ldap-server-ldap] search-base-dn dc=ldap,dc=com
[Device-ldap-server-ldap] user-parameters user-name-format with-domain
[Device-ldap-server-ldap] quit
[Device] ldap attribute-map ldap
[Device-ldap-attr-map-ldap] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-ldap] quit
[Device] ldap scheme ldap
[Device-ldap-ldap] authentication-server ldap
[Device-ldap-ldap] attribute-map ldap
[Device-ldap-ldap] quit
配置用户导入策略
# 配置用户导入策略,并开启用户身份识别功能。
[Device] user-identity enable
[Device] user-identity user-account auto-import policy policy1
[Device-identity-user-impt-policy-polic1] account-update-interval 1
[Device-identity-user-impt-policy-polic1] ldap-scheme ldap
[Device-identity-user-impt-policy-polic1] quit
开启NETCONF、RESTful、HTTP、HTTPS服务
[Device] netconf soap http enable
[Device] netconf soap https enable
[Device] restful http enable
[Device] restful https enable
[Device] ip http enable
[Device] ip https enable
在已加入域ldap.com的PC上,使用域用户test1登录,如下图所示。
图-7 输入用户凭证
域用户test1登录成功后,查看AD服务器在线人数,如下图所示。
图-8 AD单点登录服务
登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图-9 在线用户
在test1用户登录的PC上Ping外网地址111.1.1.2,可以Ping通,表示用户test1可以访问外网111.1.1.2,满足组网需求,如下图所示。
图-10 命令行
登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,安全策略中仅放行LDAP域用户test1的报文,如下图所示:
图-11 安全策略
在已加入域ldap.com的PC上用域用户test2登录,如下图所示。
图-12 域账号登录
域用户test2登录成功后,查看AD服务器的在线人数,如下图所示。
图-13 AD单点登录服务
登录Device的Web页面,选择“对象 > 用户 > 用户管理 > 在线用户”,进入在线用户页面,查看Device上的在线用户,如下图所示。
图-14 在线用户
在PC上Ping外网地址111.1.1.2,无法Ping通,表示用户test2不可以访问外网,满足组网需求,如下图所示。
图-15 命令行
登录Device的Web页面,选择“策略 > 安全策略 > 安全策略”,进入安全策略页面,查看安全策略,如下图所示。策略中仅放行用户test1的报文,所以域用户test2的报文被丢弃,不能访问外网。
图-16 安全策略
如需域用户test2也可以访问外网111.1.1.2,可在安全策略中加入test2域用户,如下图所示。
图-17 安全策略
再次在PC上Ping外网地址111.1.1.2,可以Ping通,表示用户test2也可以访问外网,如下图所示。
图-18 命令行
#
interface GigabitEthernet1/0/1
ip address 192.168.200.102 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 111.2.1.1 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/1
#
security-zone name Untrust
import interface GigabitEthernet1/0/2
#
ip route-static 111.1.1.2 24 111.2.1.2
#
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent target-host trap address udp-domain 192.168.200.201 params securityn
ame public v2c
#
ldap server ldap
login-dn cn=administrator,cn=users,dc=ldap,dc=com
search-base-dn dc=ldap,dc=com
ip 192.168.200.247
login-password cipher $c$3$2+rcrU5+NSBl/J0LF+0J3dTgDchtsjq7Kv/fNbs=
user-parameters user-name-format with-domain
#
ldap scheme ldap
authentication-server ldap
attribute-map ldap
#
ldap attribute-map ldap
map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
#
local-user test class manage
password hash $h$6$VbQ64tb4EzB/JDUA$4rtTet6SdxU6DD2WfRCKRYlu8blOFlfC23sFaVp7ebe
h8fLRmDUFQp4hSb73b/vTLGY8cvVRtRyMlIZhvNqR0w==
service-type http https
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
netconf soap http enable
netconf soap https enable
restful http enable
restful https enable
#
ip http enable
ip https enable
#
user-identity enable
user-identity user-account auto-import policy policy1
#
user-identity user-import-policy policy1
account-update-interval 1
ldap-scheme ldap
#
security-policy ip
rule 1 name userlocalout1
action pass
source-zone Local
destination-zone Trust
source-ip-host 192.168.200.102
destination-ip-host 192.168.200.247
rule 2 name userlocalin1
action pass
source-zone Trust
destination-zone Local
source-ip-host 192.168.200.247
destination-ip-host 192.168.200.102
rule 3 name trust-untrust
action pass
source-zone Trust
destination-zone Untrust
source-ip-host 192.168.200.201
destination-ip-host 111.1.1.2
user test1 domain ldap.com
user test2 domain ldap.com
rule 4 name untrust-trust
action pass
source-zone Untrust
destination-zone Trust
source-ip-host 111.1.1.2
destination-ip-host 192.168.200.201