行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
AC11.0
{{sendMatomoQuery("行为管理AC","其他认证配置案例")}}

其他认证配置案例

更新时间:2022-01-19

配置案例1:用户自定义属性配置案例,当用户的内置的属性无法满足配置需求时,可以给用户添加自定义属性,通过自定义属性,可以针对同一属性的用户设置上网策略和流控策略。

内网网段192.168.1.0/255.255.255.0,内网用户使用本地密码认证,给用户设置自定义属性,通过自定义属性区分内网用户的性别。针对女员工,设置上网策略:禁止访问购物、娱乐类网站;针对男员工,设置上网策略:禁止使用游戏应用。

第一步:客户需求是:192.168.1.0/255.255.255.0网段的电脑采用本地密码认证。所以首先需要设置这个网段用户的认证方式。

在『portal认证』→『认证策略』中设置认证策略:

认证范围:设置192.168.1.0/24

认证方式:选择密码认证;认证服务器选择:本地用户

第二步:在『认证高级选项』→『自定义属性』中设置自定义属性:属性名:性别

属性值:设置成序列,包括两个值:男和女

第三步:在『用户管理』→『本地组/用户』→『本地用户』中添加本地用户组和本地用户。参考章节3.4.2.1.1。

添加用户时,设置用户的属性值:

第四步:针对女员工,设置上网策略:禁止访问购物、娱乐类网站:

适用对象:设置“性别属性值为女”的用户匹配这条策略。

第四步:针对男员工,设置上网策略:禁止使用游戏应用

适用对象:设置“性别属性值为男”的用户匹配这条策略。

配置案例2:内网用户使用密码认证的方式,在客户公司外网托管有自己的WEB服务器,访问方式http://www.sangfor.com.cn现用户要求内网所有用户未认证之前就能访问到公司服务器,如何实现?

配置步骤如下:

第一步:将需要放通的url设置一个自定义的URL组:

进入『对象定义』→『URL分类库』页面,点击新增URL组:

第二步:设置一条上网策略,将上面创建的URL组放通。

进入『策略管理』→『上网策略』页面,点击新增上网权限策略:

并将策略关联到“/临时组/”:

第三步:设置认证策略,根据需要使用密码的用户的IP或MAC设置认证策略,点击『portal认证』→『认证策略』→『新增认证策略』进行配置。

[认证方式]:选择密码认证

[认证后处理]:高级选项设置中,勾选[认证前使用此组权限],选择上一步中关联放通策略的“/临时组/”

第四步:设置完成后,用户上网,打开其他网页时,会重定向到AC的认证页面。访问

www.sangfor.com.cn这个网站时不会重定向,会直接放通。

配置案例3:客户内网有AD域服务器,需要内网用户通过AD域单点登录的方式进行认证,要求如果有单点登录失败的用户,则在访问网页时弹出提示页面,页面上可以下载手动认证工具,客户通过下载工具手动运行后,通过单点登录认证。

第一步:设置认证AD域服务器,点击进入『接入认证』→『portal认证』→『认证服务器』进行设置。

第二步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『portal认证』→『认证策略』→『新增认证策略』进行配置:

[认证方式]:选择单点登录,对于单点登录失败的用户,选择[跳转到]—[内置提示页面]。这个内置提示页面上有单点登录手动工具下载。

第三步:在设备上启用单点登录,选择单点登录模式并设置共享密钥。点击进入『portal认证』→『单点登录选项』→『微软AD域』编辑页面。

勾选[启用域单点登录];

勾选[通过域自动下发,执行指定的登录脚本,获取登录信息],表示使用域脚本下发登录脚本的模式实现单点登录。在[共享密钥]中输入共享密钥,如下图所示:

共享密钥用于AD与服务器和设备的加密通讯,需要在登录脚本中设置相同的共享密钥。点击下载域单点登录程序下载登录注销脚本,下载脚本后进行第四五步的设置。

第四步:在AD域服务器上配置登录脚本程序。参考章节3.4.3.2.3.1。第五步:用户单点登录成功后,可以直接上网。

单点登录不成功的用户,打开网页时提示如下:

下载后,手动运行此程序:

手动运行后,用户单点登录认证成功。

配置案例4:客户环境中有一台ISA服务器,内网用户上网是通过ISA代理上网的,部署AC在ISA和交换机之间,做控制和审计。内网用户使用不需要认证的方式上网,在AC上以IP地址做用户名。

第一步:设置AC网桥模式部署,内网口接交换机,外网口接ISA服务器。

第二步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『portal认证』→『认证策略』→『新增认证策略』进行配置:

[认证方式]:选择不需要认证,用户名选择以IP作为用户名:

第三步:由于AC的内网口接交换机,从公网回复的数据也会通过AC的内网口进,外网口出转发到ISA上,为防止有公网IP加到AC在线用户列表,需要对公网的数据做排除,设置方法是:

进入『用户认证与管理』→『认证高级选项』→『认证选项』页面,勾选[WAN->LAN方向的连接不认证]

第四步:在PC的代理设置中,将AC的地址排除。