hc用戶管理與認(rèn)證技術(shù)

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031034USG6000V1R11.0開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型（新開發(fā)/優(yōu)化）周常青2014-08-25姚傳哲新開發(fā)本頁不打印講師授課建議：1、xxxHC13031034用戶管理及認(rèn)證技術(shù) 前言在企業(yè)網(wǎng)應(yīng)用中場景中，用戶是訪問網(wǎng)絡(luò)資源的主體，為了保證網(wǎng)絡(luò)資源的安全性，應(yīng)該對(duì)用戶進(jìn)行適當(dāng)?shù)恼J(rèn)證和合理的授權(quán)。華為防火墻支持對(duì)上網(wǎng)用戶和接入用戶進(jìn)行分別管理，并且支持本地認(rèn)證、服務(wù)器認(rèn)證、單點(diǎn)登陸等用戶認(rèn)證方式。本節(jié)主要講解防火墻用戶管理和認(rèn)證的基本原理、應(yīng)用場景、配置方法及故障排除方法等知識(shí)。 目標(biāo)學(xué)完本課程后，您將能夠:列舉防火墻支

2、持的用戶類別和認(rèn)證方法描述防火墻上用戶認(rèn)證的流程描述防火墻上用戶單點(diǎn)登陸的原理配置防火墻上網(wǎng)用戶本地認(rèn)證配置防火墻上網(wǎng)用戶單點(diǎn)登陸 目錄用戶與認(rèn)證基本概念用戶與認(rèn)證應(yīng)用場景用戶與認(rèn)證配置3.1 配置用戶與用戶組3.2 配置認(rèn)證服務(wù)器3.3 使用本地認(rèn)證實(shí)現(xiàn)用戶上網(wǎng)3.4 使用單點(diǎn)登陸實(shí)現(xiàn)用戶上網(wǎng)處理用戶與認(rèn)證故障 目錄用戶與認(rèn)證基本概念用戶與認(rèn)證應(yīng)用場景用戶與認(rèn)證配置處理用戶與認(rèn)證故障用戶與認(rèn)證基本概念用戶指的是訪問網(wǎng)絡(luò)資源的主體，表示“誰”在進(jìn)行訪問，是網(wǎng)絡(luò)訪問行為的重要標(biāo)識(shí)，用戶的兩種形式：上網(wǎng)用戶接入用戶防火墻通過認(rèn)證來驗(yàn)證訪問者的身份，防火墻對(duì)訪問者進(jìn)行認(rèn)證的方式包括：本地認(rèn)證服務(wù)器認(rèn)

3、證單點(diǎn)登陸用戶認(rèn)證的目的基于用戶實(shí)現(xiàn)精細(xì)化管理基于用戶進(jìn)行策略的可視化制定，提高策略的易用性?；谟脩暨M(jìn)行威脅、流量的報(bào)表查看和統(tǒng)計(jì)分析，實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)訪問行為的追蹤審計(jì)。解決了IP地址動(dòng)態(tài)變化帶來的策略控制問題，即以不變的用戶應(yīng)對(duì)變化的IP地址。用戶的基本屬性登錄名（必須）顯示名描述所屬組密碼（必須）賬號(hào)過期時(shí)間允許多人同時(shí)使用該賬號(hào)登錄IP/MAC綁定樹形用戶組織結(jié)構(gòu)用戶按樹形結(jié)構(gòu)組織，用戶隸屬于組（部門）。管理員可以根據(jù)企業(yè)的組織結(jié)構(gòu)來創(chuàng)建部門和用戶。這種方式易于管理員查詢、定位，是常用的用戶組織方式。樹形組織結(jié)構(gòu)如圖所示：用戶/組的來源防火墻上的用戶可以通過如下方式創(chuàng)建手工創(chuàng)建從CSV

4、文件導(dǎo)入從服務(wù)器導(dǎo)入設(shè)備自動(dòng)發(fā)現(xiàn)并創(chuàng)建用戶認(rèn)證總體流程防火墻上的認(rèn)證過程由多個(gè)環(huán)節(jié)組成，各個(gè)環(huán)節(jié)的處理存在先后順序。根據(jù)不同的部署方式和網(wǎng)絡(luò)環(huán)境，防火墻提供了多種用戶認(rèn)證方案供管理員選擇，如右圖所示：上網(wǎng)用戶認(rèn)證觸發(fā)方式AD域單點(diǎn)登陸TSM單點(diǎn)登陸免認(rèn)證會(huì)話認(rèn)證事前認(rèn)證單點(diǎn)登陸原理在企業(yè)網(wǎng)中可能同時(shí)部署了AD域服務(wù)器（或TSM服務(wù)器）對(duì)用戶進(jìn)行身份認(rèn)證。訪問者通常希望經(jīng)過AD服務(wù)器（或TSM服務(wù)器）的認(rèn)證后，就會(huì)自動(dòng)通過防火墻的認(rèn)證，然后可以訪問所有的網(wǎng)絡(luò)資源。此種情況下，訪問者可以使用AD單點(diǎn)登錄（或TSM單點(diǎn)登陸）的方式來觸發(fā)防火墻上的認(rèn)證。AD域單點(diǎn)登陸實(shí)現(xiàn)為了實(shí)現(xiàn)AD單點(diǎn)登錄，管理員需

5、要在AD服務(wù)器（AD域控制器）上部署AD單點(diǎn)登錄服務(wù)，設(shè)置登錄腳本和注銷腳本，同時(shí)在防火墻上配置AD單點(diǎn)登錄參數(shù)，接收AD服務(wù)器發(fā)送的用戶登錄/注銷消息。AD域單點(diǎn)登陸示意圖TSM單點(diǎn)登陸實(shí)現(xiàn)為了實(shí)現(xiàn)TSM單點(diǎn)登錄，管理員需要在TSM服務(wù)器（TSM控制器）上配置與防火墻的通信參數(shù)，確保TSM服務(wù)器可以將用戶的登錄信息發(fā)送至防火墻。同時(shí)在防火墻上配置TSM服務(wù)器以及TSM單點(diǎn)登錄參數(shù)，接收TSM控制器發(fā)送的用戶登錄/注銷消息。TSM域單點(diǎn)登陸示意圖免認(rèn)證對(duì)于企業(yè)的高級(jí)管理者，他們希望可以簡化操作過程，不輸入用戶名和密碼就可以完成認(rèn)證并訪問網(wǎng)絡(luò)資源，同時(shí)對(duì)安全要求又更加嚴(yán)格。此種情況下，這類訪問者

6、可以使用免認(rèn)證的方式來觸發(fā)防火墻上的認(rèn)證。防火墻通過識(shí)別IP/MAC和用戶的雙向綁定關(guān)系，確定訪問者的身份。進(jìn)行免認(rèn)證的訪問者只能使用特定的IP/MAC地址來訪問網(wǎng)絡(luò)資源。會(huì)話認(rèn)證如果實(shí)際網(wǎng)絡(luò)環(huán)境中訪問者只使用單一的HTTP業(yè)務(wù)訪問網(wǎng)絡(luò)資源，建議使用會(huì)話認(rèn)證方式來觸發(fā)防火墻上的認(rèn)證。會(huì)話認(rèn)證是指訪問者不主動(dòng)進(jìn)行身份認(rèn)證，先進(jìn)行HTTP業(yè)務(wù)訪問，在訪問過程中進(jìn)行認(rèn)證。認(rèn)證通過后，再進(jìn)行業(yè)務(wù)訪問。會(huì)話認(rèn)證示意圖事前認(rèn)證事前認(rèn)證是指訪問者在訪問網(wǎng)絡(luò)資源之前，先主動(dòng)進(jìn)行身份認(rèn)證，認(rèn)證通過后，再訪問網(wǎng)絡(luò)資源。事前認(rèn)證示意圖接入用戶觸發(fā)認(rèn)證的方式SSL VPN接入用戶L2TP VPN接入用戶IPSec V

7、PN接入用戶PPPoE接入用戶認(rèn)證策略認(rèn)證策略的作用是選出需要進(jìn)行免認(rèn)證或會(huì)話認(rèn)證的數(shù)據(jù)流對(duì)免認(rèn)證的數(shù)據(jù)流，防火墻根據(jù)用戶與IP/MAC地址的綁定關(guān)系來識(shí)別用戶對(duì)會(huì)話認(rèn)證的數(shù)據(jù)流，防火墻會(huì)推送認(rèn)證頁面認(rèn)證策略對(duì)單點(diǎn)登錄或事前認(rèn)證方式不起作用認(rèn)證策略的條件：源安全區(qū)域、目的安全區(qū)域源地址/地區(qū)、目的地址/地區(qū)認(rèn)證策略的動(dòng)作：認(rèn)證、不認(rèn)證認(rèn)證域用戶名中后面的字符為認(rèn)證域如用戶susansales屬于sales認(rèn)證域如果用戶名中無則用戶的缺省屬于default域如用戶susan屬于default域認(rèn)證域中可以配置的選項(xiàng)認(rèn)證方式：本地認(rèn)證或服務(wù)器認(rèn)證認(rèn)證服務(wù)器：服務(wù)器的地址地址池：L2TP用戶和PPP

8、oE用戶需要新用戶選項(xiàng)：單點(diǎn)登陸時(shí)需要新用戶處理方式NGFW根據(jù)新用戶選項(xiàng)來決定對(duì)新用戶的處理方式，包括：不允許新用戶登錄添加到指定的用戶組中僅作為臨時(shí)用戶，不添加到本地用戶列表中認(rèn)證服務(wù)器防火墻上用戶認(rèn)證支持的服務(wù)器類型有RADIUS服務(wù)器HWTACACS服務(wù)器LDAP服務(wù)器AD服務(wù)器SecurID服務(wù)器TSM服務(wù)器AD服務(wù)器示例HWTACACS協(xié)議與RADIUS協(xié)議的比較HWTACACSRADIUS使用TCP協(xié)議，網(wǎng)絡(luò)傳輸更可靠使用UDP協(xié)議除了標(biāo)準(zhǔn)的HWTACACS報(bào)文頭，對(duì)報(bào)文主體全部進(jìn)行加密只是對(duì)認(rèn)證報(bào)文中的密碼字段進(jìn)行加密認(rèn)證與授權(quán)分離認(rèn)證與授權(quán)一起處理適于進(jìn)行安全控制適于進(jìn)行計(jì)費(fèi)

9、支持對(duì)配置命令進(jìn)行授權(quán)不支持對(duì)配置命令進(jìn)行授權(quán) 目錄用戶與認(rèn)證基本概念用戶與認(rèn)證應(yīng)用場景用戶與認(rèn)證配置處理用戶與認(rèn)證故障用戶認(rèn)證的使用場景上網(wǎng)用戶認(rèn)證的使用場景有：本地認(rèn)證AD單點(diǎn)登陸TSM單點(diǎn)登陸服務(wù)器認(rèn)證接入用戶的使用場景有：SSL VPN接入后訪問資源L2TP VPN接入后訪問資源L2TP VPN接入后訪問資源IPSec VPN接入后訪問資源PPPoE接入后訪問資源上網(wǎng)用戶：本地認(rèn)證NGFW上存儲(chǔ)了用戶/組和密碼等信息。內(nèi)部網(wǎng)絡(luò)中的訪問者在訪問網(wǎng)絡(luò)資源之前，必須先通過NGFW的認(rèn)證。認(rèn)證成功后，NGFW記錄訪問者使用的用戶和IP地址之間的對(duì)應(yīng)關(guān)系。訪問者訪問網(wǎng)絡(luò)資源時(shí)，NGFW上基于此用

10、戶或用戶所屬組的策略決定了訪問者的權(quán)限和行為。上網(wǎng)用戶：AD單點(diǎn)登陸認(rèn)證時(shí)，由AD服務(wù)器對(duì)訪問者進(jìn)行認(rèn)證，并將認(rèn)證信息發(fā)送至NGFW，使NGFW能夠獲取用戶與IP地址的對(duì)應(yīng)關(guān)系。訪問者通過AD服務(wù)器的認(rèn)證后，就可以直接訪問網(wǎng)絡(luò)資源，無需再由NGFW進(jìn)行認(rèn)證，這種認(rèn)證方式也稱為“AD單點(diǎn)登錄”。上網(wǎng)用戶：TSM單點(diǎn)登陸認(rèn)證時(shí)，由TSM服務(wù)器對(duì)訪問者進(jìn)行認(rèn)證，并將認(rèn)證信息發(fā)送至NGFW，使NGFW能夠獲取用戶與IP地址的對(duì)應(yīng)關(guān)系。訪問者通過TSM服務(wù)器的認(rèn)證后，就可以直接訪問網(wǎng)絡(luò)資源，無需再由NGFW進(jìn)行認(rèn)證，這種認(rèn)證方式也稱為“TSM單點(diǎn)登錄”。上網(wǎng)用戶：服務(wù)器認(rèn)證認(rèn)證時(shí)，NGFW作為認(rèn)證服務(wù)器

11、的代理客戶端，將用戶名和密碼發(fā)送給認(rèn)證服務(wù)器進(jìn)行認(rèn)證。支持服務(wù)器有RADIUS、HWTACACS、或SecurID認(rèn)證服務(wù)器（需在防火墻上創(chuàng)建用戶組）AD、LDAP（可以導(dǎo)入用戶組）接入用戶：SSL VPN接入后訪問資源分支機(jī)構(gòu)員工或出差員工接入時(shí)，必須先通過NGFW的認(rèn)證。認(rèn)證成功后，對(duì)于使用網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)的訪問者，NGFW會(huì)為其分配私網(wǎng)IP地址，同時(shí)會(huì)記錄訪問者使用的用戶和私網(wǎng)IP地址之間的對(duì)應(yīng)關(guān)系。在訪問資源階段，由于NGFW已經(jīng)記錄了訪問者使用的用戶和私網(wǎng)IP地址的對(duì)應(yīng)關(guān)系，NGFW上基于此用戶或用戶所屬組的策略決定了訪問者的權(quán)限和行為，在這一階段無需對(duì)訪問者進(jìn)行二次認(rèn)證。 接入用戶：L

12、2TP VPN接入后訪問資源LAC自主撥號(hào)方式在接入階段，NGFW（LNS）對(duì)LAC進(jìn)行認(rèn)證。隧道一旦建立，分支機(jī)構(gòu)中的訪問者可以直接訪問總部的網(wǎng)絡(luò)資源。防火墻通過二次認(rèn)證對(duì)限定用戶的權(quán)限與行為接入用戶：L2TP VPN接入后訪問資源NAS-Initiated/Client-Initiated方式在接入階段，使用用戶名和密碼通過撥號(hào)方式來觸發(fā)L2TP隧道的建立。此時(shí)，NGFW（LNS）會(huì)記錄訪問者使用的用戶和私網(wǎng)IP地址之間的對(duì)應(yīng)關(guān)系。在訪問資源階段，NGFW可以直接根據(jù)接入階段記錄的用戶來控制訪問者的權(quán)限和行為，不需要對(duì)訪問者進(jìn)行二次認(rèn)證。接入用戶：IPSec VPN接入后訪問資源分支機(jī)構(gòu)與

13、總部建立IPSec VPN隧道。隧道成功建立后，分支機(jī)構(gòu)中的訪問者在訪問企業(yè)總部的網(wǎng)絡(luò)資源之前，必須先通過NGFW的認(rèn)證。認(rèn)證成功后，NGFW記錄訪問者使用的用戶和IP地址之間的對(duì)應(yīng)關(guān)系。分支機(jī)構(gòu)中的訪問者訪問總部網(wǎng)絡(luò)資源時(shí)，NGFW上基于此用戶或用戶所屬組的策略決定了訪問者的權(quán)限和行為。接入用戶：PPPoE接入后訪問資源NGFW作為PPPoE Server，訪問者作為PPPoE Client。在接入階段，訪問者使用用戶名和密碼通過撥號(hào)方式來觸發(fā)PPPoE協(xié)商。PPPoE連接建立過程中，NGFW會(huì)為訪問者分配私網(wǎng)IP地址，同時(shí)會(huì)記錄訪問者使用的用戶和私網(wǎng)IP地址之間的對(duì)應(yīng)關(guān)系。在訪問資源階段，

14、NGFW可以直接根據(jù)接入階段記錄的用戶來控制訪問者的權(quán)限和行為，不需要對(duì)訪問者進(jìn)行二次認(rèn)證。 目錄原理：用戶與認(rèn)證基本概念場景：用戶與認(rèn)證應(yīng)用場景命令：配置用戶與用戶組命令：配置認(rèn)證服務(wù)器案例1：使用本地認(rèn)證實(shí)現(xiàn)用戶上網(wǎng)案例2：使用單點(diǎn)登陸實(shí)現(xiàn)用戶上網(wǎng)排障：處理用戶與認(rèn)證故障命令配置用戶和組步驟配置項(xiàng)目配置命令1、配置用戶名密碼user-manage user user001alias tom001password Huawei1232、（可選）配置過期時(shí)間expire-time 2015/12/313、（可選 ）配置多人登陸及IP綁定multi-ip online enablebind mo

15、de unidirectionalbind ipv4 14、配置用戶組user-manage group /researchuser-manage group /research/group1user-manage group /research/group25、（可選）組中添加用戶user-manage group /research/group1add user user001命令配置用戶和組步驟配置項(xiàng)目配置命令1、配置用戶名密碼user-manage user user001alias tom001password Huawei1232、（可選）配置過期時(shí)間expire-time exp

16、ired-date3、（可選 ）配置多人登陸及IP綁定multi-ip online enablebind mode unidirectionalbind ipv4 14、配置用戶組user-manage group /researchuser-manage group /research/group1user-manage group /research/group25、（可選）組中添加用戶user-manage group /research/group1add user user001命令導(dǎo)入或?qū)С鲇脩艉徒M步驟配置項(xiàng)目配置命令1、（可選）導(dǎo)出組中用戶到CSVuser-manage use

17、r-export from group /research/group1 to group1.csv2、（可選）導(dǎo)出單個(gè)用戶到CSVuser-manage user-export user user001 to user001.csv3、（可選）從CSV導(dǎo)入用戶user-manage user-import group2.csv auto-create-group override4、（可選）從服務(wù)器導(dǎo)入用戶user-manage import-policy policy_import from ad server template auth_server_ad server basedn d

18、estination-group root user-attribute sAMAccountName user-filter (&(|(objectclass=person)(objectclass=organizationalPerson)(cn=*)(!( puter) group-filter (|(objectclass=organizationalUnit)(ou=*) import-type all import-override enable CSV文件示例WEB配置組點(diǎn)擊“對(duì)象-用戶-用戶/組”，點(diǎn)“新建-新建組”WEB配置用戶點(diǎn)擊“對(duì)象-用戶-用戶/組”，選中組后點(diǎn)“新建-

19、新建用戶”WEB導(dǎo)入本地用戶點(diǎn)擊“對(duì)象-用戶-用戶導(dǎo)入”，點(diǎn)“本地導(dǎo)入”點(diǎn)“CSV模板下載”，下載用戶及組模板在模板里編輯用戶信息，修改好后保存最后點(diǎn)“瀏覽”，選中修改好的CSV文件，點(diǎn)“開始導(dǎo)入”WEB導(dǎo)入AD域用戶點(diǎn)擊“對(duì)象-用戶-用戶導(dǎo)入”，點(diǎn)“服務(wù)器導(dǎo)入”如下配置參數(shù)（選服務(wù)器類型為AD）其中服務(wù)器名稱里，需要新建一個(gè)AD服務(wù)器WEB導(dǎo)入TSM用戶點(diǎn)擊“對(duì)象-用戶-用戶導(dǎo)入”，點(diǎn)“服務(wù)器導(dǎo)入”如下配置參數(shù)（選服務(wù)器類型為TSM）其中服務(wù)器名稱里，需要新建一個(gè)TSM服務(wù)器 目錄用戶與認(rèn)證基本概念用戶與認(rèn)證應(yīng)用場景用戶與認(rèn)證配置3.1 配置用戶與用戶組3.2 配置認(rèn)證服務(wù)器3.3 案例1：

20、使用本地認(rèn)證實(shí)現(xiàn)用戶上網(wǎng)3.4 案例2：使用單點(diǎn)登陸實(shí)現(xiàn)用戶上網(wǎng)處理用戶與認(rèn)證故障命令配置認(rèn)證選項(xiàng)步驟配置項(xiàng)目配置命令1、配置密碼策略password-policylevel highfirstmodify enablelefttime 90 alarmtime 102、配置認(rèn)證頁面user-manage web-authentication enableuser-manage web-authentication security port 8088user-manage redirectuser-manage local-authentication authentication-fail

21、ed-times 3 locked-time locked-time 5user-manage online-user aging-time 240WEB配置認(rèn)證選項(xiàng)點(diǎn)擊“對(duì)象-用戶-認(rèn)證選項(xiàng)-全局配置”，如下參數(shù)：命令配置單點(diǎn)登陸步驟配置項(xiàng)目配置命令1、配置AD域單點(diǎn)登陸user-manage single-sign-on ad shared-key Huawei123user-manage single-sign-on ad add-temporary group /researchuser-manage single-sign-on ad enable2、配置TSM單點(diǎn)登陸user-ma

22、nage single-sign-on tsm add-temporary group /researchuser-manage single-sign-on tsm enableWEB配置單點(diǎn)登陸點(diǎn)擊“對(duì)象-用戶-認(rèn)證選項(xiàng)-單點(diǎn)登陸”，如下參數(shù)： 目錄用戶與認(rèn)證基本概念用戶與認(rèn)證應(yīng)用場景用戶與認(rèn)證配置3.1 配置用戶與用戶組3.2 配置認(rèn)證服務(wù)器3.3 案例1：使用本地認(rèn)證實(shí)現(xiàn)用戶上網(wǎng)3.4 案例2：使用單點(diǎn)登陸實(shí)現(xiàn)用戶上網(wǎng)處理用戶與認(rèn)證故障命令配置RADIUS服務(wù)器步驟配置項(xiàng)目配置命令1、創(chuàng)建服務(wù)器模板radius-servertemplateradius0012、配置認(rèn)證服務(wù)器地址rad

23、ius-server authentication 00 18123、（可選 ）配置計(jì)費(fèi)服務(wù)器地址radius-server accounting 00 18134、配置shared-keyradius-server shared-key Huawei1235、（可選 ）配置用戶名格式radius-server user-name domain-included6、（可選）配置服務(wù)器的重傳次數(shù)radius-server retransmit 37、（可選）配置服務(wù)器的重傳超時(shí)radius-server timeout 58、測試服務(wù)器radius-server test user huawei

24、123WEB配置RADIUS服務(wù)器點(diǎn)擊“對(duì)象-認(rèn)證服務(wù)器-RADIUS-新建”,按如下參數(shù)配置命令配置配置AD服務(wù)器步驟配置項(xiàng)目配置命令1、創(chuàng)建AD服務(wù)器模板ad-server template ad0012、配置AD認(rèn)證服務(wù)器ad-server authentication 00 883、配置AD服務(wù)器的根區(qū)別名ad-server authentication base-dn 4、配置AD服務(wù)器的管理員區(qū)別名和管理員密碼ad-server authentication manager cn=Administrator Huawei1235、配置AD認(rèn)證服務(wù)器的主機(jī)名ad-server aut

25、hentication host-name 6、配置AD服務(wù)器的LDAP端口 ad-server authentication ldap-port 3897、配置管理員DN附帶Base DNad-server authentication manager-with-base-dn enablead-server user-filter sAMAccountNamead-server group-filter ouWEB配置配置AD服務(wù)器點(diǎn)擊“對(duì)象-認(rèn)證服務(wù)器-AD-新建”,按如下參數(shù)配置命令配置配置TSM服務(wù)器步驟配置項(xiàng)目配置命令1、創(chuàng)建TSM服務(wù)器模板tsm-server template

26、tsm0012、配置TSM服務(wù)器的IP地址tsm-server shared-key huawei1233、配置TSM服務(wù)器的共享密鑰tsm-server ip-address 50WEB配置配置TSM服務(wù)器點(diǎn)擊“對(duì)象-認(rèn)證服務(wù)器-TSM-新建”,按如下參數(shù)配置命令配置認(rèn)證域步驟配置項(xiàng)目配置命令1、配置aaaaaa2、配置認(rèn)證策略authentication-scheme ad authentication-mode ad3、配置認(rèn)證域 domain domain001 authentication-scheme ad ad-server ad001 service-type internet

27、access referenced by usergroup /sales referenced by usergroup /research new-user add-local group root auto-import ad001本配置中以AD認(rèn)證域?yàn)槭纠渌J(rèn)證類型參考備注WEB配置配置認(rèn)證域點(diǎn)擊“對(duì)象-用戶-認(rèn)證域-新建”,按如下參數(shù)配置命令配置配置認(rèn)證策略步驟配置項(xiàng)目配置命令1、進(jìn)入認(rèn)證策略視圖auth-policy2、配置不認(rèn)證策略 rule name ADSRV source-zone trust destination-zone untrust source-addres

28、s 00 32 action no-auth3、配置認(rèn)證策略 rule name AccessInternet source-zone trust destination-zone untrust source-address 24 action auth4、移動(dòng)策略rule move rule-name1 after | before rule-name2WEB配置認(rèn)證策略點(diǎn)擊“策略-認(rèn)證策略-新建”,按如下參數(shù)配置用戶登陸測試使用PC連接到trust區(qū)域，訪問任何untrust區(qū)域的IP地址在防火墻上監(jiān)控用戶點(diǎn)擊“對(duì)象-用戶-監(jiān)控”，可以完成用戶刷新、觀察用戶狀態(tài)強(qiáng)制注銷、全部強(qiáng)制注銷用戶

29、凍結(jié)、解凍 目錄用戶與認(rèn)證基本概念用戶與認(rèn)證應(yīng)用場景用戶與認(rèn)證配置3.1 配置用戶與用戶組3.2 配置認(rèn)證服務(wù)器3.3 案例1：使用本地認(rèn)證實(shí)現(xiàn)用戶上網(wǎng)3.4 案例2：使用單點(diǎn)登陸實(shí)現(xiàn)用戶上網(wǎng)處理用戶與認(rèn)證故障組網(wǎng)拓?fù)浼靶枨竽称髽I(yè)在網(wǎng)絡(luò)邊界處部署了USG作為出口網(wǎng)關(guān)，連接內(nèi)部網(wǎng)絡(luò)與Internet。企業(yè)內(nèi)部網(wǎng)絡(luò)中的訪問者角色包括高級(jí)管理者、研發(fā)部員工、市場部員工和來訪客戶。其中，高級(jí)管理者使用固定的IP地址；研發(fā)部員工、市場部員工和來訪客戶動(dòng)態(tài)獲取IP地址。配置思路針對(duì)組網(wǎng)需求，制定如下配置思路接口和安全域基本配置（略）創(chuàng)建用戶和組配置高級(jí)管理者用戶綁定IP配置default域，添加參考的用戶

30、組配置安全策略配置流程如右圖所示創(chuàng)建用戶組選擇“對(duì)象-用戶-用戶/組”點(diǎn)“新建”分別創(chuàng)建用戶組manager、research、marketing創(chuàng)建本地用戶在“成員管理”中，單擊“新建”，選擇“新建用戶”，按如下參數(shù)配置認(rèn)證全局配置選擇“對(duì)象-認(rèn)證-全局選項(xiàng)”，配置參數(shù)如下配置認(rèn)證策略-高級(jí)管理者不認(rèn)證選擇“策略-認(rèn)證策略”點(diǎn)“新建”，如下所示配置認(rèn)證策略-普通用戶認(rèn)證選擇“策略-認(rèn)證策略”點(diǎn)“新建”，如下所示配置認(rèn)證域選擇“對(duì)象 用戶 認(rèn)證域”，單擊“default”，按如下參數(shù)配置：配置安全策略選擇“策略安全策略”，如下新建兩條策略測試用戶認(rèn)證在USG上的“對(duì)象 用戶 用戶/組”中可以查

31、看到用戶/組的信息。高級(jí)管理者A無需進(jìn)行認(rèn)證就可以訪問網(wǎng)絡(luò)資源，研發(fā)部、市場部員工和訪客使用IE瀏覽器訪問外網(wǎng)，將會(huì)重定向至認(rèn)證頁面，輸入相應(yīng)的用戶名后可以訪問外網(wǎng)。在USG上的“對(duì)象 用戶 監(jiān)控”中可以查看到在線用戶的信息。 目錄用戶與認(rèn)證基本概念用戶與認(rèn)證應(yīng)用場景用戶與認(rèn)證配置3.1 配置用戶與用戶組3.2 配置認(rèn)證服務(wù)器3.3 案例1：使用本地認(rèn)證實(shí)現(xiàn)用戶上網(wǎng)3.4 案例2：使用單點(diǎn)登陸實(shí)現(xiàn)用戶上網(wǎng)處理用戶與認(rèn)證故障組網(wǎng)拓?fù)浼靶枨竽称髽I(yè)在網(wǎng)絡(luò)邊界處部署了USG作為出口網(wǎng)關(guān)，連接內(nèi)部網(wǎng)絡(luò)與Internet。具體情況如下：內(nèi)部網(wǎng)絡(luò)中已經(jīng)部署了AD身份認(rèn)證機(jī)制，AD服務(wù)器上存放了用戶和組的信息

32、。內(nèi)部網(wǎng)絡(luò)中的訪問者角色包括研發(fā)部員工和市場部員工。配置思路針對(duì)組網(wǎng)需求，制定如下配置思路配置接口IP和安全區(qū)域（略）在USG上配置AD服務(wù)器配置用戶導(dǎo)入策略、導(dǎo)入AD上用戶在USG上配置單點(diǎn)登陸修改用戶超時(shí)時(shí)間在AD上配置單點(diǎn)登陸服務(wù)右圖為AD單點(diǎn)登陸認(rèn)證流程配置安全策略放行AD服務(wù)到Local選擇“策略-安全策略”點(diǎn)“新建”，配置策略允許AD和防火墻雙向通信配置AD服務(wù)器選擇“對(duì)象認(rèn)證服務(wù)器AD”，點(diǎn)“新建”配置AD用戶導(dǎo)入策略選擇“對(duì)象用戶用戶導(dǎo)入服務(wù)器導(dǎo)入”點(diǎn)“新建”單擊確定后，在策略中點(diǎn)擊“ ”啟動(dòng)用戶導(dǎo)入。在USG上創(chuàng)建新用戶所屬的組選擇“對(duì)象用戶用戶/組”，在成員管理中“新建”在USG上配置單點(diǎn)登錄參數(shù)選擇“對(duì)