内网的所有终端上网前,都必须经过用户认证,以识别上网计算机的身份,减低内网的安全风险。认证策略决定了某个IP/网段/MAC地址的计算机上网的认证方式。通过认证策略设置内网用户的认证范围、认证方式以及认证后处理。
认证策略是从上往下逐条匹配的,可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。
管理员可以对所有的认证策略进行删除操作、批量编辑、启用和禁用、导入、上移/下移等操作,也能进行过滤选择。
表7认证策略界面说明
| 操作 |
功能说明 |
| 新增策略 |
认证策略列表页面,可点击新增一条新的认证策略。 |
| 删除策略 |
认证策略列表页面,可点击删除相应的策略。 |
| 编辑/批量编辑 |
在认证策略列表页面,勾选需要编辑的认证策略,点击认证策略名称,设备会弹出认证策略的编辑页面,修改选中策略的相关信息。 批量编辑:勾选多个自定义的认证策略,可编辑策略的适用对象,其他信息不可以修改。 |
| 导入/导出 |
支持认证策略的导入,点击导入,选中需要导入的认证策略文件,即可进行导入。 |
| 启用/禁用 |
选中已禁用的策略,点击启用,该策略即可生效,选中已启用的策略,点击禁用,该策略会失效。 |
| 上移/下移/移动到 |
由于策略是自上而下进行匹配,所以可以选中相应的策略,点击上移或者下移,或自定义移动,来进行优先匹配策略。 |
| 搜索 |
可通过IP地址、VLAN信息、MAC地址搜索匹配的认证策略。 |
配置思路
如下是认证策略配置流程图。
第一步:配置认证范围:
进入[准入控制/portal认证/认证策略]页面,点击<新增>,添加一条认证策略,填写策略名称和描述。
选择设备:可选择所有或根据需求选择。选择该条认证策略生效的设备范围,适用范围是设置匹配认证策略的终端和用户范围,设置IP、IP段、MAC地址或VLAN ID,匹配到这些地址段的用户就使用这条策略中设置的认证方式进行认证。
第二步:配置认证方式:
设备的认证方式如下。
表8认证方式使用说明
| 认证方式 |
使用说明 |
| 不需要认证 |
匹配了此种认证方式的情况下,设备会根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户,不需要用户手动填充认证信息。不需要认证的识别方式,优点是用户上网前浏览器中不会弹出认证框,适用于用户上网无感知场景。 |
| 密码认证 |
密码认证包括本地密码认证、外部服务器认证、短信认证、微信认证、二维码认证和Oauth认证等(可同时启用多个),适用于用户需要输入用户名密码进行验证通过才能入网的场景。其中外部服务器认证为接入终端将认证信息发给SIG设备,SIG设备转发给第三方服务器设备,根据返回的结果来决定是否通过认证。 |
| 单点登录 |
当用户有自己的第三方认证服务器对内网用户进行认证时,单点登录可以实现在内网用户通过第三方认证服务器认证的同时通过SIG设备的认证,并且获取到相关的权限上网。设备上使用和第三方认证服务器同一套用户名密码。目前设备支持的单点登录类型包括:AD域单点登录、Radius单点登录、Proxy单点登录、POP3单点登录、Web单点登录、数据库单点登录、深信服设备以及其他第三方设备单点登录(如锐捷SAM系统、H3C CAMS系统和城市热点等HTTP/HTTPS认证系统)。 |
| 不允许认证 (禁止上网) |
适用于禁止用户上网的场景。认证方式选择“不允许认证”时,符合IP、MAC范围的用户是不能通过SIG认证上线的,此时包括单点登录用户、Dkey用户都无法认证上线, |
| Dkey认证 |
Dkey认证的优先级最高,即Dkey用户可以踢掉以其他认证方式认证的用户,最终以Dkey用户的身份认证上线,适用于key认证和存在特权用户的场景。 |
设备会根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户。可选[以IP地址作为用户名]、[以MAC地址作为用户名]、[以计算机名作为用户名]。
密码认证包括本地密码认证、外部服务器认证、短信认证、微信认证、二维码认证和Oauth认证(可同时启用多种供用户选择)。
涉及到具体认证服务器配置可看认证服务器章节。
当企业已有自己的第三方认证服务器对内网用户进行认证时,单点登录可以实现内网用户通过第三方认证服务器认证的同时通过SIG设备的认证,并且获取到相关的权限来上网。设备和第三方认证服务器共用同一套用户名密码。
目前设备支持的单点登录类型包括:AD域单点登录、Radius单点登录、Proxy单点登录、POP3单点登录、Web单点登录、数据库单点登录、深信服设备以及其他第三方设备单点登录(如锐捷SAM系统、H3C CAMS系统和城市热点等HTTP/HTTPS认证系统)。涉及到具体单点登录服务器配置可看认证服务器章节。
认证方式选择“不允许认证”时,符合IP、MAC范围的用户是不能通过设备认证上线的,也就是禁止上网,此时包括单点登录用户、Dkey用户都无法认证上线。
Dkey认证的优先级最高,即Dkey用户可以踢掉以其他认证方式认证的用户,最终以Dkey用户的身份认证上线。需要注意的一点是:如果某些IP、MAC范围在[认证策略]中设置了不允许认证,则Dkey用户使用这些IP、MAC上网也无法认证通过。Dkey认证用户只需要在[用户管理/高级选项/Dkey用户]中直接添加用户即可,不需要单独针对Dkey用户设置一条[认证策略]。需要使用Dkey,具体配置可以参考Dkey用户。
第三步:配置认证后处理:
认证后处理是用于设置用户认证通过后,可选非本地/域用户使用该组上线、自动录入到用户到本地组织结构、自动录入绑定关系。
• 非本地/域用户使用该组上线:当非SIG本地用户、非AD域用户认证后,用户使用哪个组权限上线,关联该组的上网策略。
• 自动录入用户到本地组织结构:当非SIG本地用户、非AD域用户认证后,用户是否自动添加到SIG的本地组织结构。如果勾选的话则匹配[非本地/域用户使用该组上线]中选择的组,将认证的用户加到对应的组中。
• 如果选择自动录入到本地组织结构,可以选择[允许多人同时使用]或[仅允许一人使用]。
• 自动录入绑定关系:用于设置用户认证后(包括本地用户、域用户和新用户),是否自动录入绑定认证后IP和MAC对应关系,是否自动录入绑定认证后的用户名和IP/MAC对应关系。具体可参考用户绑定管理章节。
• 用户使用新终端登录时需审批:当用户换了新的终端,可勾选重新审批。
高级选项:
在[高级选项]可以设置认证前使用此组权限、启用用户登录限制、免认证用户上线前弹出提示页面、此策略认证范围内不允许认证相关的操作。
• 认证前使用此组权限:认证放通或拒绝某些应用/网址,需要先配置上网策略,然后再关联此组。
• 启用用户登录限制:用户限制加强,定义认证策略黑白名单组。
• 免认证用户上线前弹出提示页面:勾选后会对免认证用户进行弹窗提醒,告知用户当前是免认证,或者是自定义的提醒内容。
• 此策略认证范围内不允许免认证:如果在其他策略配置免认证,勾选此功能项后该策略认证范围内的所有终端用户免认证都不生效,排错时候注意检查。
建议使用Chrome浏览器访问!
