SANGFOR_AC_v110_2016年度渠道初級認證培訓(xùn)05_基礎(chǔ)認證

1、基礎(chǔ)認證培訓(xùn)內(nèi)容培訓(xùn)目標認證方式介紹1. 了解AC設(shè)備支持的認證方式及適用場景認證功能配置1.掌握不需要認證的配置2.掌握AC設(shè)備用戶名密碼認證的配置3.了解AC設(shè)備DKEY認證的適用場景和配置4.掌握地址綁定的適用場景和配置密碼認證安全性1.掌握如何設(shè)置用戶密碼強度2.掌握如何強制客戶端初次認證修改密碼用戶注銷功能介紹1.掌握如何注銷已經(jīng)通過認證的用戶認證方式介紹認證功能配置深信服公司簡介SANGFOR AC&SG用戶注銷密碼認證安全性認證方式介紹認證方式介紹認證方式介紹概述：認證功能主要用于對經(jīng)過AC設(shè)備上網(wǎng)的用戶進行身份的驗證。通過認證功能可識別內(nèi)網(wǎng)上網(wǎng)用戶的身份，為后續(xù)的流量管

2、理、用戶上網(wǎng)權(quán)限策略及應(yīng)用審計提供基礎(chǔ)。SANGFORAC/SG認證方式不需要認證密碼認證單點登錄不允許認證(禁止上網(wǎng))本地密碼認證第三方服務(wù)器密碼認證短信認證微信認證二維碼認證LDAP單點登錄數(shù)據(jù)庫單點登錄Web單點登錄PPPOE單點登錄POP3單點登錄PROXY單點登錄第三方設(shè)備單點登錄（銳捷，H3C，城市熱點）深信服設(shè)備之間單點登錄Radius單點登錄(LOGON，域監(jiān)控單點登錄，IWA ,監(jiān)聽) ADSSO Dkey認證認證方式介紹認證方式介紹認證方式介紹認證方式介紹 1、不需要認證 設(shè)備根據(jù)數(shù)據(jù)包的源IP地址、VLANID、源MAC地址、上網(wǎng)PC的計算機名來標識用戶。 優(yōu)點：終端用戶

3、上網(wǎng)認證的過程是透明的，不會感知AC的存在。一般適用于對認證要求不嚴格的場景 認證方式介紹認證方式介紹當用戶首次通過AC上網(wǎng)時，AC會要求用戶提交用戶名密碼信息，如果用戶提交的用戶名密碼信息和AC本地（或第三方服務(wù)器）一致，則給予認證通過。 一般適用于對認證要求嚴格，希望上網(wǎng)日志記錄具體的帳號，或希望和客戶現(xiàn)有的第三方服務(wù)器結(jié)合認證的場景。 2、密碼認證認證方式介紹認證方式介紹 3、DKEY認證 SANGFOR AC&SG提供上網(wǎng)認證的DKEY有兩種，綠色的認證KEY和紫色的特權(quán)KEY。如下圖所示。 綠色的是認證KEY，提供給來賓使用，方便來賓用戶上網(wǎng)。紫色的是特權(quán)key，可以支持免控

4、制或免審計。認證功能配置典型應(yīng)用場景與配置典型應(yīng)用場景與配置不需要認證場景DKEY認證場景密碼認證場景 以下通過案例介紹不需要認證，用戶名和密碼認證，和dkey認證三種場景的配置 案例背景一案例背景一核心交換防火墻總經(jīng)理辦公區(qū)公共上網(wǎng)區(qū)IT部/24/24/24/24/24 mac:fe-fc-fe-e9-9e-95某集團公司內(nèi)部有多個部門，整體網(wǎng)絡(luò)情況如下案例背景一案例背景一現(xiàn)要求實現(xiàn)：（1）辦公區(qū)用戶不能修改IP地址上網(wǎng)。（2）公共上網(wǎng)區(qū)則需要輸入賬號和密碼才能上網(wǎng)，確保網(wǎng)絡(luò)行為能跟蹤到

5、，且認證通過后，自動跳轉(zhuǎn)至內(nèi)網(wǎng)服務(wù)器上的公告頁（）。（3）總經(jīng)理的上網(wǎng)數(shù)據(jù)要保證安全，不能被審計。（4）IT部電腦IP不固定，認證不受限制。解決方案解決方案根據(jù)客戶需求，我們可以將AC部署在防火墻與核心交換機之間，并通過如下認證設(shè)置來滿足需求：（1）辦公區(qū)用戶采用不需要認證，自動錄入IP和MAC的綁定關(guān)系（2）公共上網(wǎng)區(qū)采用密碼認證，設(shè)置用戶名和密碼，并設(shè)置認證后跳轉(zhuǎn)到服務(wù)器公告頁面（3）總經(jīng)理使用免審計KEY上網(wǎng)，確保數(shù)據(jù)不被記錄（4）IT部采用不需要認證，不綁定任何地址配置思路配置思路1、配置認證策略 認證策略決定了某個IP/網(wǎng)段/MAC地址的計算機的

6、認證方式。通過認證策略可設(shè)置內(nèi)網(wǎng)用戶的認證方式。 2、手動新建用戶或者自動添加新用戶 新建用戶，可編輯用戶屬性，定義用戶具體的認證信息。包括用戶名密碼信息， 以及IP/MAC綁定等。也可以通過認證策略自動添加新用戶 3、配置跨三層MAC識別 因為三層環(huán)境，要綁定終端電腦的IP和MAC，需要配置跨三層MAC識別才能綁定，如是二層環(huán)境，則無需此步。AC幾種認證方式，DKEY認證在“認證高級選項”Dkey用戶設(shè)置即可，不需要設(shè)置認證策略，且DKEY認證的優(yōu)先級最高。其它認證（如不需要認證、密碼認證、單點登錄，短信認證和微信認證）這幾種認證方式需要到認證策略中設(shè)置。場景一配置（辦公區(qū)用戶上網(wǎng)禁止改場景

7、一配置（辦公區(qū)用戶上網(wǎng)禁止改IP/MAC）1、首先為辦公區(qū)的用戶建一個用戶組，在【用戶認證與策略】-【用戶管理】【組/用戶】中，點新增，選擇【組】，定義組名：辦公區(qū)，設(shè)置完后點提交。 2、配置認證策略 新增認證策略，設(shè)置認證范圍、認證方式及認證后處理，本案例的需求是不需要認證，并且同時綁定IP和MAC。注意1、非本地用戶指的是認證之前不在用戶組的用戶；域用戶指的是微軟的域用戶如AD域。2、認證后處理，自動錄入用戶到本地組織結(jié)構(gòu)”如勾選則用戶認證后會錄入用戶信息到本地組【用戶管理】【組/用戶】可以查到用戶信息。如不勾選則不會錄入到本地組。一般不建議錄入。 3、核心交換機開啟SNMP 本場景中，因

8、為AC需要綁定終端電腦的IP和MAC，所以需要能獲取到電腦真實的IP和MAC地址，但電腦的上網(wǎng)的數(shù)據(jù)流是經(jīng)過核心交換機轉(zhuǎn)到AC，所以數(shù)據(jù)包的源MAC是核心交換機的MAC，AC無法從經(jīng)核心交換機的流量中獲取終端真實MAC。 電腦的網(wǎng)關(guān)有電腦真實的MAC地址，本案例中，電腦的網(wǎng)關(guān)是核心交換機，所以AC需要通過SNMP協(xié)議從核心交換機獲取終端真實的MAC。核心交換機（電腦網(wǎng)關(guān)設(shè)備）需要支持并開啟SNMP協(xié)議，SNMP協(xié)議設(shè)置支持所有版本即可。4、設(shè)備配置跨三層MAC識別 注意 此案例中，因為網(wǎng)絡(luò)環(huán)境是三層環(huán)境，所以需要配置第3步和第4步。如果是二層環(huán)境，AC收到上網(wǎng)數(shù)據(jù)流的源MAC就是終端電腦真實的

9、MAC，所以不需要配置第3步和第4步，即可實現(xiàn)綁定終端電腦的IP和MAC，達到不能任意修改IP的需求。5、效果展示 （1）【系統(tǒng)管理】【在線用戶管理】可以看到用戶認證上線的身份。（2）【用戶管理】【IP/MAC綁定】可以查看到IP和MAC綁定成功。辦公區(qū)認證策略，“認證后處理”沒有勾選“自動錄入用戶到本地組織結(jié)構(gòu)”用戶認證通過后是不會加入本地組的。一般不需要認證也無需錄入。6、注意1、首先為辦公區(qū)的用戶建一個用戶組，在【用戶與策略管理】【用戶管理】【組/用戶】中，點新增，選擇【組】，定義組名：公共區(qū)，設(shè)置完后點提交。場景二配置（公共用戶上網(wǎng)需要密碼認證）場景二配置（公共用戶上網(wǎng)需要密碼認證）

10、2、新增用戶名密碼認證的用戶，設(shè)置用戶名密碼注意 此案例中，為了演示，本地密碼認證的帳號采用手動創(chuàng)建方式，而在實際客戶中，密碼認證的帳號很多，手動每個創(chuàng)建麻煩費時，所以采用把密碼認證的帳號按要求格式做成csv表格，一次性導(dǎo)入設(shè)備，如下圖。3、配置認證策略：在【用戶與策略管理】【用戶認證】【認證策略】中，點擊【新增】，如圖，配置完成后點提交。4、檢查認證選項配置，以下選項需要啟用5、效果展示 公共區(qū)用戶首次上網(wǎng)時，會彈出如下圖所示的portal頁面，要求提交帳號驗證，認證成功后，先跳轉(zhuǎn)至內(nèi)網(wǎng)公告頁面，如下圖“記住登錄狀態(tài)”功能，當認證用戶從設(shè)備上自動下線注銷后，下次再上網(wǎng)時，無需再次輸入用戶名和

11、密碼，直接上線密碼認證成功后，先跳轉(zhuǎn)到了內(nèi)網(wǎng)公告頁面注意：(1)客戶內(nèi)網(wǎng)使用密碼認證，想實現(xiàn)認證過程加密處理 (2)客戶申請了自己的域名，希望認證頁面URL以域名呈現(xiàn)(3)認證策略設(shè)置密碼認證，默認https網(wǎng)站是不會觸發(fā)彈密碼認證頁面的，如客戶想實現(xiàn)內(nèi)網(wǎng)未通過認證之前訪問https頁面也重定向到認證頁面 ？ 1、使用DKEY認證的用戶，需下載并安裝DKEY客戶端場景三配置（總經(jīng)理上網(wǎng)使用DKEY認證） 2、新增DKEY認證的用戶，手動生成DKEY【用戶認證與管理】【用戶管理】【認證高級選項】選擇Dkey用戶3、使用DKEY客戶端進行認證（1）用戶安裝完DKEY客戶端后，會在桌面生成圖標。 啟

12、用保存密碼，只需要dkey第一次認證時輸入密碼，后續(xù)再認證，直接插key即自動認證，無需再輸入密碼（2）電腦USB接口插入免審計key，并輸入密碼，如下圖所示 （3）DKEY認證成功后，客戶端會有如下提示注意 認證Dkey有兩種類型分別為免認證Key（綠色）、特權(quán)Key（紫色）；特權(quán)Key又分免控制和免審計場景四配置（IT部使用不需要認證上網(wǎng)）1、首先為辦公區(qū)的用戶建一個用戶組，在【用戶與策略管理】【用戶管理】【組/用戶】中，點新增，選擇【組】，定義組名：IT部，設(shè)置完后點提交。 2、配置認證策略 新增認證策略，選擇認證方式，本案例的要求不需要認證，不綁定任何地址。 3、效果展示 IT部員工通

13、過AC上網(wǎng)時，在AC在線用戶管理可以看到用戶已在AC上線。如下圖。案例背景二案例背景二（1）IT部上網(wǎng)，認證不受限制，但是要求認證之前彈出來提醒頁面。某集團公司內(nèi)部有多個部門，現(xiàn)各個部門的上網(wǎng)要求如下：（2）公共上網(wǎng)區(qū)需要輸入賬號和密碼才能上網(wǎng)，現(xiàn)管理員要求初次認證時自動綁定終端的MAC，保證每個賬號只能在固定的1臺電腦上登陸；且已經(jīng)認證的用戶下次上網(wǎng)無需輸入賬號密碼可直接上網(wǎng)場景一解決方案場景一解決方案1、設(shè)置認證策略，配置認證范圍、認證方式選擇不需要認證、認證后處理高級選項選擇顯示免責申明頁面。1、設(shè)置認證策略，配置認證范圍、認證方式選擇密碼認證，認證后處理選擇自動錄入用戶和IP/MAC的

14、綁定關(guān)系選擇綁定MAC；同時勾選開啟免認證設(shè)置免認證的有效期。場景二解決方案場景二解決方案 2、【用戶管理】【用戶綁定】高級設(shè)置，設(shè)置每個用戶終端數(shù)為“1”說明：用戶綁定指的是用戶和ip或mac的綁定關(guān)系，配置后全局生效，賬號可以是私有賬號可以是公有賬號。3、測試效果（1）終端打開網(wǎng)頁輸入賬號密碼認證成功（2）【用戶管理】【用戶綁定】可以看到自動添加了賬號和mac的綁定關(guān)系（3）已經(jīng)認證的用戶下次需要上網(wǎng)，無需認證直接就可上網(wǎng)。說明：如果希望密碼認證免認證用戶在上線時彈出免責申明頁面也可以設(shè)置。密碼認證安全性設(shè)置用戶密碼強度設(shè)置用戶密碼強度設(shè)置密碼強度主要為了滿足對WEB認證用戶的密碼安全的需

15、求。密碼強度限制僅對私有用戶在客戶端修改密碼有效，管理員在控制臺建立或修改密碼不受此限制。設(shè)置用戶密碼強度設(shè)置用戶密碼強度 配置步驟：【用戶與策略管理】【認證高級選項】設(shè)置用戶密碼強度設(shè)置用戶密碼強度客戶端登陸修改密碼：強制客戶端初次認證修改密碼強制客戶端初次認證修改密碼 應(yīng)用背景：用戶批量導(dǎo)入或者大量加入的時候，初始密碼是一致的，這樣很不安全，希望終端用戶首次認證時，自行修改密碼 解決思路：強制要求用戶初次認證時自行修改密碼。 注意事項：1. 僅對設(shè)備本地密碼認證的用戶有效2. 用戶認證后會自動跳轉(zhuǎn)到修改密碼窗口，若不修改則無法上網(wǎng)。配置方法：1. 添加用戶時：在【用戶與策略管理】【用戶管理

16、】【組/用戶】中，點擊 新增，在【本地密碼】設(shè)置的下方勾選“初次認證修改密碼”。強制客戶端初次認證修改密碼強制客戶端初次認證修改密碼2. 導(dǎo)入用戶時：【用戶與策略管理】【用戶管理】【用戶導(dǎo)入】，點擊 CSV格式文件導(dǎo)入時，勾選初次認證修改密碼。啟用了初次認證修改密碼，用戶第一次認證通過后會跳轉(zhuǎn)到修改密碼頁面，修改完成后出現(xiàn)如下頁面：提示：1.此頁面為靜態(tài)頁面，不會自動跳轉(zhuǎn)到之前訪問的internet頁面。2.修改密碼后生效可能有30秒的延遲，建議在30秒內(nèi)不要注銷或重新登錄。用戶注銷如何注銷已經(jīng)通過認證的用戶如何注銷已經(jīng)通過認證的用戶 當需要已經(jīng)認證成功的用戶從AC下線時，可以通過AC網(wǎng)關(guān)控制

17、臺注銷用戶或在客戶端手動注銷來實現(xiàn)。控制臺注銷用戶：1. 在線用戶列表強制注銷（不需要認證用戶，DKEY用戶，臨時用戶不能被注銷），（管理員可以通過此處強制注銷在線用戶，使用比較少）2. 無流量自動注銷用戶（適用于所有認證類型的用戶，且對下線實時要求不 高的用戶，默認是采用這種注銷方式） 3. 密碼認證用戶，關(guān)閉注銷窗口即下線（只適用于密碼認證用戶，且用戶要求實時注銷，即電腦關(guān)機就注銷）用戶認證成功后，自動跳轉(zhuǎn)到如下注銷頁面，用戶可以手動點擊頁面上的“注銷”按鈕完成注銷。終端關(guān)閉此頁面或手動點擊注銷按鈕即可完成自動注銷，使用戶下線。4. 客戶端手動注銷認證，通過輸入http:/ACIP打開認證和注銷的頁面，手動點擊注銷（只適用于密碼認證的用戶和單點登錄的用戶，使用的較少）。 5. 定時強制注銷所有在線用戶功能（適用于所有認證類型的用戶）練練手練練手 某酒店內(nèi)部是一個二層網(wǎng)絡(luò)（192.168.1