行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
AC11.2R1
{{sendMatomoQuery("行为管理AC","H3CIMC系统结合认证")}}

H3CIMC系统结合认证

更新时间:2022-01-24

H3CIMC系统是一套认证管理系统,用户上网前必须通过H3CIMC系统的身份认证,用户通过H3CIMC系统的认证/注销后,自动在AC上完成认证/注销。如图所示:

数据流的过程如下:

PC通过H3CIMC系统认证服务器的认证/注销。

H3CIMC系统通知AC设备认证/注销用户,实现单点登录和注销。设置方法:

第一步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置.

第二步:点击进入『用户认证』→『单点登录』→『第三方设备』页面进行配置。勾选『H3CIMC系统』并设置设备IP地址,如图:

第三步:配置H3CIMC系统。有关H3CIMC系统的配置请联系相应厂商,此处不再举例。

深信服设备结合认证

AC设备还能够同第二台AC/AC设备结合做认证,相当于客户网络环境中部署了两台

SANGFOR设备,其中一台设备作认证,另外一台设备作审计控制,只要用户通过了认证设备的认证后,审计控制设备就能够同步认证设备的用户信息,对用户进行审计控制,如图所示(AC设备A作认证,AC设备B作审计控制):

数据流的过程如下:

  1. PC通过AC设备A的认证/注销。

  2. PC通知AC设备B认证/注销用户,实现单点登录和注销。

设置方法:

第一步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置.

第二步:点击进入『用户认证』→『单点登录』→『深信服设备』页面进行配置。

勾选『接收其他深信服设备的认证信息』并设置共享密钥。如图:

这样该SANGFOR设备就可以接收SANGFOR设备A转发过来的认证信息。保持和SANGFOR设备A的认证信息相同。

第三步:对于网桥部署的SANGFOR设备A,启用[转发认证信息到其他深信服设备]并设置相应的设备IP和共享密钥。如图:

这样该SANGFOR设备A就可以将通过设备A的所有认证信息发送给设备B,旁路部署的设备B,就可以看到在在线用户和设备A同步了。如果B是旁路部署的SANGFOR上

网优化设备,用户访问某些数据必须通过代理才能访问,代理服务器是使用SANGFOR上

网优化设备B有做代理设置和用户认证,这样用户只需要通过设备A的认证,就可以自动通过设备B的认证,实现通过B的认证,使用代理方式来访问某些应用了,因为此时A和B的在线用户信息是相同的。

数据库系统结合认证

当网络环境中已有一套数据库系统存储并管理用户认证信息、组织结构的情况下,SANGFORAC设备支持配置SQL查询语句,查询该数据库系统中的用户列表和已认证用户,并同步到设备的组织结构和在线用户列表中,从而支持和数据库系统结合的单点登录,实现用户通过数据库认证后,即通过设备的用户认证,同时用户从数据库认证系统中注销,也自动完成在设备上的注销。目前支持的数据库类型有orACle,mssqlserver,db2和mysql几种。如图所示:

数据流的过程如下:

1、PC通过认证服务器的认证,在数据库服务器中更新PC的认证信息。

2、设备定时查询数据库服务器中在线用户,并更新设备自身的在线用户列表。

3、PC用设备取到的在线用户的身份上网。设置方法:

第一步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置.

第二步:设置数据库服务器,点击进入『用户认证』→『外部认证服务器』进行设置(参见章节3.5.2.2)。

第三步:点击进入『用户认证』→『单点登录』→『数据库认证』页面进行配置。勾选『启用数据库认证单点登录』选择数据库服务器并设置sql查询语句。

[数据库服务器]选择第一步设置好的数据库服务器

[获取已认证用户列表的sql语句]设置可以查询到在线用户的select语句,设备通过该select语句查询数据库中的用户信息表来获取在线用户。注意sql语句返回的结果集不能超过2列,其中第一列为用户名,第二列为IP地址,且查询得到的记录数不能超过200000条。

[获取已认证用户列表的时间间隔]默认值是30s,一般情况下,此值说明用户通过认证服务器认证到通过AC认证之间的最大时间间隔。

点击[测试有效性]可以列出可以获取的信息:

1、在线用户列表只支持同步“用户名”和“ip”地址两列,不支持同步其他用户属性,如用户是否禁用、是否过期等,默认同步过来的用户是启用和永不过期的。

2、数据库认证支持用户自动同步,具体请参见『用户管理』→『用户自动同步』(参见章节3.5.3.2.1)

3、在某些情况下,用户通过认证服务器认证之后在一个时间间隔后(取决于[获取已认证用户列表的时间间隔]设置)才会通过AC的认证,建议认证策略设置单点登录失败时选择[不需要认证]的认证方式。