Web方式：基于AD单点登录的用户身份识别与管理典型配置

使用版本

本举例是在M9000-X06的E9671版本上进行配置和验证的。

组网需求

如下图所示，用户将用户名和密码发送给AD（Active Directory）服务器进行认证，认证通过后，AD服务器将用户的身份信息（如用户名、IP地址等）同步给Device，使Device能够获得用户名和IP地址的对应关系。

用户通过AD服务器的认证后，即可直接访问网络资源（设备安全策略中对该用户配置了放行策略），而无需Device再次认证。

具体需求如下：

• 在安全策略规则中放行域用户test1的报文，此时，域用户test1通过AD单点登录后可以访问外网111.1.1.2

• 在安全策略规则中未放行域用户test2的报文时，域用户test2通过AD单点登录后不可以访问外网111.1.1.2

• 在安全策略规则中放行域用户test2的报文时，域用户test2通过AD单点登录后可以访问外网111.1.1.2

图-1 AD单点登录组网图

配置步骤

配置AD单点登录服务

1. 打开H3C AD单点登录服务软件，单击左上角的修改配置，选择“修改H3C AD单点登录服务参数”，如下图所示。

2. 配置AD单点登录服务参数，如下图所示。配置完成后单击<确定>按钮。

3. 单击<启动>按钮启动服务。

4. 单击<添加>按钮，进入<添加设备>页面，具体配置参数如下图所示，单击<确定>按钮，完成添加设备。

5. 添加成功后，设备状态为先为不可达，待设备相关配置完成后，设备状态将转换为可达，如下图所示。

配置Device

1. 配置接口IP地址和安全域

# 选择“网络 > 接口 > 接口”，进入接口配置页面。

# 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

• 安全域：Trust

• 选择“IPV4地址”页签，配置IP地址/掩码：192.168.200.102/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

# 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

• 安全域：Untrust

• 选择“IPV4地址”页签，配置IP地址/掩码：111.2.1.1/24

• 其他配置项使用缺省值

# 单击<确定>按钮，完成接口IP地址和安全域的配置。

2. 配置路由

本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

# 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

# 新建IPv4静态路由，并进行如下配置：

• 目的IP地址：111.1.1.2

• 掩码长度：24

• 下一跳IP地址：111.2.1.2

• 其他配置项使用缺省值

# 单击<确定>按钮，完成静态路由的配置。

3. 配置安全策略

# 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

# 新建安全策略，并进行如下配置：

• 名称：trust-local

• 源安全域：Trust

• 目的安全域：Local

• 类型：IPv4

• 动作：允许

• 源IPv4地址：192.168.200.247

• 目的IPv4地址：192.168.200.102

• 其他配置项使用缺省值

# 按照同样的步骤新建安全策略，配置如下。

• 名称：local-trust

• 源安全域：Local

• 目的安全域：Trust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：192.168.200.102

• 目的IPv4地址：192.168.200.247

• 其他配置项使用缺省值

# 按照同样的步骤新建安全策略，配置如下。

• 名称：untrust-trust

• 源安全域：Untrust

• 目的安全域：Trust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：111.1.1.2

• 目的IPv4地址：192.168.200.201

• 其他配置项使用缺省值

# 按照同样的步骤新建安全策略，配置如下。

• 名称：trust-untrust

• 源安全域：Trust

• 目的安全域：Untrust

• 类型：IPv4

• 动作：允许

• 源IPv4地址：192.168.200.201

• 目的IPv4地址：111.1.1.2

• 用户：[email protected]

• 其他配置项使用缺省值

# 单击<确定>按钮，完成安全策略的配置。

4. 选择“系统 > 管理员 > 管理员”，进入管理员页面，单击<新建>按钮创建超级管理员test，设置密码，并勾选HTTP、HTTPS服务。

图-2 新建管理员信息

5. 选择“系统 > 维护 > SNMP”，进入SNMP页面，配置SNMP参数，配置完成后，单击<应用>按钮。配置参数如下图所示。

图-3 配置SNMP

6. 选择“对象 > 用户 > 认证管理 > LDAP > LDAP属性映射表”，进入LDAP属性映射表页面，单击<新建>按钮，进入新建LDAP属性映射表页面，配置参数如下图所示。

图-4 新建LDAP属性映射表

7. 选择“对象 > 用户 > 认证管理 > LDAP > LDAP服务器”，单击<新建>按钮，进入新建LDAP服务器页面，配置参数如下图所示。

图-5 新建LDAP服务器

8. 选择“对象 > 用户 > 认证管理 > LDAP > LDAP方案”，单击<新建>按钮，进入新建LDAP方案页面，配置参数如下图所示。

图-6 新建LDAP方案

9. 选择“对象 > 用户 > 用户管理 > 用户导入策略”，单击<新建>按钮，进入新建导入策略页面，配置参数如下图所示。

图-7 新建导入策略

10. 在用户导入策略页面，单击<导入>按钮导入身份识别用户，如下图所示。

图-8 用户导入策略

11. 通过命令行方式开启NETCONF、RESTful、HTTP、HTTPS服务。

<Device> system-view

[Device] netconf soap http enable

[Device] netconf soap https enable

[Device] restful http enable

[Device] restful https enable

[Device] ip http enable

[Device] ip https enable

12. 通过命令行方式开启身份识别。

[Device] user-identity enable

验证配置

1. 在已加入域ldap.com的PC上，使用域用户test1登录，如下图所示。

图-9 输入用户凭证

2. 域用户test1登录成功后，查看AD服务器在线人数，如下图所示。

图-10 AD单点登录服务

3. 登录Device的Web页面，选择“对象 > 用户 > 用户管理 > 在线用户”，进入在线用户页面，查看Device上的在线用户，如下图所示。

图-11 在线用户

4. 在test1用户登录的PC上Ping外网地址111.1.1.2，可以Ping通，表示用户test1可以访问外网111.1.1.2，满足组网需求，如下图所示。

图-12 命令行

5. 登录Device的Web页面，选择“策略 > 安全策略 > 安全策略”，进入安全策略页面，查看安全策略，安全策略中仅放行LDAP域用户的报文，如下图所示：

图-13 安全策略

6. 在已加入域ldap.com的PC上，使用域用户test2登录，如下图所示。

图-14 域账号登录

7. 域用户test2登录成功后，查看AD服务器的在线人数，如下图所示。

图-15 AD单点登录服务

8. 登录Device的Web页面，选择“对象 > 用户 > 用户管理 > 在线用户”，进入在线用户页面，查看Device上的在线用户，如下图所示。

图-16 在线用户

9. 在PC上Ping外网地址111.1.1.2，无法Ping通，表示用户test2不可以访问外网，满足组网需求，如下图所示。

图-17 命令行

10. 登录Device的Web页面，选择“策略 > 安全策略 > 安全策略”，进入安全策略页面，查看安全策略，如下图所示。安全策略中仅放行用户test1的报文，所以域用户test2的报文被丢弃，不能访问外网。

图-18 安全策略

11. 如要求域用户test2也可以访问外网111.1.1.2，可以在安全策略中加入test2域用户，如下图所示。

图-19 安全策略

12. 再次在PC上Ping外网地址111.1.1.2，可以Ping通，表示用户test2也可以访问外网，如下图所示。

图-20 命令行

配置文件

#

interface GigabitEthernet1/0/1

 ip address 192.168.200.102 255.255.255.0

#

interface GigabitEthernet1/0/2

 ip address 111.2.1.1 255.255.255.0

#

security-zone name Trust

 import interface GigabitEthernet1/0/1

#

security-zone name Untrust

 import interface GigabitEthernet1/0/2

#

 ip route-static 111.1.1.2 24 111.2.1.2

#

 snmp-agent

 snmp-agent community write private

 snmp-agent community read public

 snmp-agent sys-info version all

 snmp-agent target-host trap address udp-domain 192.168.200.201 params securityn

ame public v2c

#

ldap server ldap

 login-dn cn=administrator,cn=users,dc=ldap,dc=com

 search-base-dn dc=ldap,dc=com

 ip 192.168.200.247

 login-password cipher $c$3$2+rcrU5+NSBl/J0LF+0J3dTgDchtsjq7Kv/fNbs=

 user-parameters user-name-format with-domain

#

ldap scheme ldap

 authentication-server ldap

 attribute-map ldap

#

ldap attribute-map ldap

 map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group

#

local-user test class manage

 password hash $h$6$VbQ64tb4EzB/JDUA$4rtTet6SdxU6DD2WfRCKRYlu8blOFlfC23sFaVp7ebe

h8fLRmDUFQp4hSb73b/vTLGY8cvVRtRyMlIZhvNqR0w==

 service-type http https

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

 netconf soap http enable

 netconf soap https enable

 restful http enable

 restful https enable

#

 ip http enable

 ip https enable

#

 user-identity enable

 user-identity user-account auto-import policy policy1

#

user-identity user-import-policy policy1

 account-update-interval 1

 ldap-scheme ldap

#

security-policy ip

 rule 1 name userlocalout1

  action pass

  source-zone Local

  destination-zone Trust

  source-ip-host 192.168.200.102

  destination-ip-host 192.168.200.247

 rule 2 name userlocalin1

  action pass

  source-zone Trust

  destination-zone Local

  source-ip-host 192.168.200.247

  destination-ip-host 192.168.200.102

 rule 3 name trust-untrust

  action pass

  source-zone Trust

  destination-zone Untrust

  source-ip-host 192.168.200.201

  destination-ip-host 111.1.1.2

  user test1 domain ldap.com

  user test2 domain ldap.com

 rule 4 name untrust-trust

  action pass

  source-zone Untrust

  destination-zone Trust

  source-ip-host 111.1.1.2

  destination-ip-host 192.168.200.201

#