开启了用户认证，则认证区域的所有计算机上网前，都必须经过用户认证， 以识别上网计算机的身份。『认证策略』决定了某个 IP/网段/MAC 地址上计算机的认证方式。通过『认证策略』设置内网用户的认证方式，以及新用户添加的策略。

认证策略是从上往下逐条匹配的，可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。

认证方式：

设备的认证方式有以下几种：

1、不需要认证；2、密码认证（包括本地密码认证和外部服务器认证）；3、单点登录；以上几种认证方式是由『认证策略』设置决定的，其中单点登录还需要在『认证选项』中进行设置。

『认证策略』的认证方式有三种选择：[不需要认证/单点登录]、[本地密码认证/外部密码认证/单点登录]、[必须使用单点登录]。

注意：这三种认证方式中都包含有单点登录的认证方式，如果在『认证选项』中配置了单点登录，则通过单点登录功能识别出某计算机上用户的用户名后， 会优先使用该用户名上网。

1、[不需要认证/单点登录]

选择此种认证方式：如果『认证选项』中配置了单点登录，则通过单点登录功能识别出某计算机上用户的用户名后，会优先使用该用户名上网。

没有单点登录认证的情况下，设备根据数据包的源 IP 地址、源 MAC 地址、上网计算机的计算机名来识别用户。不需要认证的识别方式，优点是用户上网前浏览器中不会弹出认证框，要求输入用户名，密码才能上网。因此上网用户不会感知到设备的存在。

如何创建一个不需要认证的用户？

一种做法是：在『认证策略』中设置不需要认证，创建用户时将用户和IP/MAC 地址进行双向绑定，因为双向绑定时 IP/MAC 和用户是一对一的关系，此时可以根据 IP/MAC 识别到对应的用户。（注意『认证策略』中设置的 IP/MAC 范围需要包含绑定的 IP/MAC）。

另一种做法是：在『认证策略』中设置不需要认证，并以 IP 地址或者 MAC 地址或者计算机名做为用户名。内网用户认证时则根据 IP 地址或者 MAC 地址或者计算机名，匹配到对应的用户名。

2、[本地密码认证/外部密码认证/单点登录]

开启了用户认证，并选择此种认证方式：

没有单点登录认证或者单点登录不成功的情况下，用户上网时的认证流程如下：

第一步：浏览器会被重定向到用户名，密码输入页面，要求用户输入正确的用户名密码后才能上网。假设输入的用户名为：test，密码为：password。

第二步：系统尝试从本地用户中查找是否有 test 这个用户，如果存在该用户， 并且该用户具有本地密码（也就是用户属性中，勾选了“本地密码”），则检查该用户的本地密码是否为 password，如果密码正确，则认证成功，否则，认证失败。

第三步：如果本地用户不存在 test 用户，或者虽然存在该用户，但该用户并没有设定本地密码。则系统会尝试到外部认证服务器上去检查用户名，密码是否正确。如果用户名密码正确，则认证成功，否则，认证失败。

概括来讲就是先本地认证，再外部认证。

3、[必须使用单点登录]

勾选此项时，强制要求策略中指定的地址范围必须使用单点登录才能通过上网认证。

配置步骤：

第一步：对指定的网段设置认证策略为：必须使用单点登录

第二步：在『认证选项』中，开启单点登录，如果是域单点登录的话还需要在域服务器上进行设置（参见章节 3.7.2.2.1）。

通过设置[例外的用户]，排除一部分用户无需使用单点登录认证，通过手动输入用户名，密码的方式完成上网认证。

新用户处理方式：

新用户是指设备中不存在的用户。对于这些新用户，设备会以 IP 或 MAC 地址匹配到『认证策略』，根据『认证策略』→『新用户选项』判断是否自动添加新用户。

通过设备认证的用户可以自动添加。包括：1、『认证策略』选择不需要认证，新用户选择以 IP 地址做为用户名或者以 MAC 地址做为用户名或者以计算机名作为用户名；2、单点登录用户；3、外部密码认证用户。

根据需要管理员可以设置三种新用户处理方式：[添加到指定的本地组中]、[仅作为临时账号，不添加到本地用户列表中]、[不允许新用户认证]。