设置工程部 192.168.1.0/255.255.255.0 网段的计算机结合 LDAP 服务器做第三方密码认证,新用户自动添加到“/工程师”组,同时用户名要和 IP 绑定做双向绑定,即用户名要和 IP 一一对应。内网其他网段的用户不需要认证,以 IP 作为用户名,新用户自动添加到“/默认组”。(此例中以外部服务器 LDAP 为例,其他类型的外部认证服务器设置步骤类似)
第一步:设置『外部认证服务器』,设置 LDAP 认证服务器(参见章节 3.7.2.3)
第二步:设置『用户认证』→『认证策略』,点击新增,弹出【认证策略】窗口。
在[名称]中填写认证策略的名称,必填项。
在[描述]中填写对策略的描述,补充说明,可选项。
在[策略适用 IP/MAC 范围]中填写 IP、IP 段或者 MAC 地址,这里填写的地址是匹配条件,当未通过认证的用户通过设备上网时,设备会根据数据包的 IP 或 MAC 匹 配 用 户 对 应 的 『 认 证 策 略 』 。 此 例 中 需 要 设 置 : 192.168.1.0/255.255.255.0。
第三步:设置『认证策略』→『认证方式』,用于设置匹配条件的用户采用何种认证方式。
『认证策略』的认证方式有三种选择:[不需要认证/单点登录]、[本地密码认证/外部密码认证/单点登录]、[必须使用单点登录](三种认证方式的说明请参见本章概述部分)。
本例中需要做第三方服务器密码认证,所以勾选[本地密码认证/外部密码认证/单点登录]。
第四步:设置『认证策略』→『新用户选项』,设置对新用户的处理方式:
勾选[添加到指定的本地组中]表示用户可以自动添加到设备的用户列表中, 在[选择组]中选择新加用户需要加入的用户组,用户将自动添加到此组中。此例中将第三方认证自动添加的用户加到/工程师组,所以此处选择“/工程师”。
勾选[到外部 LDAP 上认证的新用户,不添加到选择的本地组,而是自动触发该用户的同步,添加到相应的组中]此项勾选表示用户如果是 LDAP 第三方认证或者是单点登录的用户,并且设备上设置了相关的 LDAP 同步策略,那么此时会根据 LDAP 同步的策略将用户同步过来,并且加入相应的组中,上一步[选择组]则不生效了。
[添加用户其他属性设置]包括[账号公共属性]和[绑定 IP/MAC 地址]
[账号公共属性]可以选择[允许多人同时使用]和[仅允许一人使用],此选择对认证用户有效,对不需要认证的用户无效。
[绑定 IP/MAC 地址]分两种[绑定方式]:单向绑定和双向绑定。
单向绑定:用户只能使用指定的地址认证,但其它用户也允许使用该地址进行认证。
双向绑定:用户只能使用指定的地址认证,并且指定的地址仅供该用户使用。
此例中需要选择[双向绑定]的绑定方式,并且勾选第一项[绑定第一次登录的IP 地址,MAC 地址不绑定]。
勾选[仅作为临时账号,不添加到本地用户列表中]表示新用户不添加到用户列表,仅以临时用户的权限进行上网,在[使用该组的上网权限]中选择某个组, 则临时用户以选择的指定组的权限进行上网。
勾选[不允许新用户上网],则不允许添加新用户,不在用户列表中的用户认证不通过,不允许上网,只能使用『用户认证』→『认证选项』→『其他认证选项』中设置的未通过认证用户权限。
第五步:如果需要手动新增用户,如下图设置:[登录名]填写外部认证服务器上对应的用户名;此处不需要勾选[本地密码],因为勾选本地密码后,此用户就拥有本地密码认证的属性,用户认证时不再到外部服务器上认证;勾选[绑定IP/MAC 地址]设置需要绑定的 IP 地址。
第六步:设置其他网段用户的认证策略:
需求:内网其他网段的用户不需要认证,以 IP 作为用户名,新用户自动添加到“/默认组”。
编辑『认证策略』中的『默认策略』:
『认证方式』:勾选[不需要认证/单点登录]中的[以 IP 作为用户名]
『新用户选项』:勾选[添加到指定的本地组中],并选择“/默认组/”。
认证策略是从上往下匹配的,所以本例中设置的两条认证策略,设置顺序应如下图所示:
内网 IP 范围为 192.168.2.1-192.168.2.255 的计算机,自动以新用户添加,认证方式是不需要认证,以计算机名作为用户名并双向绑定 MAC 地址,新用户自动添加到“/市场部门”组。
第一步:在『用户认证』→『认证选项』→『跨三层 MAC 识别』中设置 SNMP
跨三层获取 MAC 的选项。(参见章节 3.7.2.2.4)
第二步:在【认证策略】窗口中,点击新增按钮。进入【认证策略】的新增窗口。填写上名称描述。
第三步:『认证方式』选择[不需要认证/单点登录],勾选[把计算机名字作为用户名]。
第四步:[新用户选项]中,勾选[添加到指定的本地组中]并选择用户组“/市场部门/”。
勾选[绑定 IP/MAC 地址] 和[绑定第一次登录的 MAC 地址,IP 不绑定],此例中因为内网是跨三层的,所以需要通过 SNMP 协议从交换机上获取到 MAC 地址,在『用户认证』→『认证选项』→『跨三层 MAC 识别』中设置。
第五步:点击提交按钮,完成策略编辑。
注意:1、设备是通过 NETBIOS 协议来获取上网计算机的计算机名,可能会出现获取不到计算机名的情况,遇到这种情况请查看一下几点:计算机上是否开启了 NETBIOS 协议;计算机上是否配置了多 IP;计算机上是否有防火墙过滤了 NETBIOS 协议;网络路径中是否有设备做了 NETBIOS 协议的过滤。如果获取不到计算机名,则系统会把该计算机当成临时用户,用户名为:Unknown Computer,且只会在在线用户列表中查看到,不会加到指定的本地组中。
2、如果上网用户的计算机到设备间,穿越了一台/多台三层交换设备,则因为上网用户的计算机源 MAC 地址已经被改变,因此无法获取到真正的源 MAC 地址,此种情况下,可以有以下方式识别出真正的源 MAC 地址。方法:通过SNMP 协议,获取离上网计算机最近的三层交换机(也就是上网计算机指向的网关设备)的 ARP 表,以获得某个 IP 地址上真正的源 MAC 地址。
内网网段 192.168.3.0/255.255.255.0 的计算机使用 AD 域单点登录进行认证, 即用户在登录系统通过 AD 域认证时,同时通过设备的认证,AD 域中的用户可以同步到设备上。要求如果这个网段的计算机单点登录失败或者是没有登录域的时候,以 IP 地址做用户名,不需要认证上网,并自动添加“/默认组”。
第一步:设置『外部认证服务器』和『LDAP 自动同步』(参见章节 3.7.2.3和 3.7.1.6)
第二步:在【认证策略】窗口中,点击新增按钮。进入【认证策略】的新增窗口。填写上名称描述。
第三步:『认证方式』选择[不需要认证/单点登录],勾选[把 IP 作为用户名]。
第四步:[新用户选项]中,勾选[添加到指定的本地组中]并选择用户组“/默认组/”,此时未做单点登录的用户会添加到默认组,使用默认组的上网策略。
勾选[到外部 LDAP 上认证的新用户,不添加到选择的本地组,而是自动触发该用户的同步,添加到相应的组中],使域单点登录的用户添加到同步规则中设置的组。
注意此处不能设置[绑定 IP/MAC 地址]进行双向绑定,因为未做单点登录的用户自动添加新用户并双向绑定 IP/MAC 后,此 IP/MAC 只能给此用户使用,不能再使用单点登录认证了。设置单向绑定没有问题。
第五步:点击提交按钮,完成策略编辑。
建议使用Chrome浏览器访问!
