更新时间:2023-05-22
用户绑定管理通常用于密码认证,也可以用于管理员定义了用户名的不需要认证场景。主要包括用户绑定、IP/MAC绑定、微信绑定。
用户绑定:当需要限制某个用户名只能在某个IP或MAC地址上登录,并且要求绑定的IP或MAC只能给这个用户使用时,需要用到用户绑定功能。
IP/MAC绑定:绑定用户的IP地址和MAC地址,可以方便管理员对内网用户进行统一管理,实现一人一机实名制管理。且将IP地址和MAC地址做双向绑定,即用户在认证时,会验证该用户的IP和MAC是否符合绑定的关系,如果有一项不对,就会认证不通过。为了防止内网有用户随意修改IP的行为。
微信绑定:由于微信官方回收了open ID相关权限,导致微信认证无法使用,此处的微信绑定也失去了原有的作用。后续如果有更新,深信服团队会第一时间通知到您。
5.5.4.1.用户绑定
用户绑定的方式有自动录入和手动录入。
• 自动录入:管理员在配置认证策略时的认证后处理选项勾选自动录入绑定关系-自动录入用户和IP/MAC的绑定关系,可以选择绑定IP、MAC、或IP和MAC,用户绑定支持设置有效期。
• 手动录入:管理员可在添加用户时绑定、用户绑定。添加用户时在[用户管理/本地组/用户],可参考新增用户。用户绑定配置指导如下。
步骤1.在[准入控制/用户管理/用户绑定管理/用户绑定],点击<新增>跳转到新增用户绑定页面。
步骤2.勾选启用,设置绑定的用户名和描述,其中,用户名不仅可以对SIG本地组织结构中的用户添加绑定关系,还可以对结合第三方服务器认证的用户添加绑定关系,如果这些用户是没有添加到SIG的组织结构中,只要知道用户名,绑定关系仍然有效。
步骤3.选择免认证的绑定目的,包括免认证、限制登录、免认证且限制登录,勾选“免认证”。
• 免认证:用户认证后,不需要每次都做认证;
• 限制登录:用户只能在某个范围内进行认证,认证范围指的是绑定对象;
• 免认证且限制登录:用户只能在某个范围内认证,且认证后在免认证有效期内不需要每次都做认证。
步骤4.设置绑定对象:选择用户是绑定IP还是绑定MAC。
:
在绑定MAC时如果管理员不知道该用户所用终端的MAC地址,可以点击<自动获取>输入该用户终端的IP地址后即可自动获取到MAC地址。
步骤5.设置绑定有效期:可以选择设置永不过期和过期时间。
步骤6.点击<提交>,用户绑定成功。
管理员可在用户绑定进行新增、批量编辑、删除、高级搜索、高级设置、选择、导入/导出。也可下载示例模板进行参考。其中:
批量编辑:用于同时设置多个绑定用户的描述信息和免认证设置。
高级搜索:用户可根据基本条件:用户名、IP、MAC进行搜索。根据绑定目的:免认证、限制登录、免认证且限制登录进行筛选。还可以通过加入时间和账号过期时间进行筛选列表中的用户。
下载示例模板:可以点击下载示例模板,根据提示和范例进行填写。
查看用户绑定错误报告:可查看认证过程用户绑定错误的报告。
高级设置:点击<高级设置>可跳到高级选项中,详情配置请参考高级选项中说明。
5.5.4.2.IP/MAC绑定
IP/MAC绑定的作用是为了批量导入,且将IP地址和MAC地址做双向绑定,即用户在认证时,会验证用户的IP和MAC是否符合这里绑定的关系,如果有一方不对,就会认证不通过。为了防止内网有用户随意修改IP的行为。
管理员可对相应的策略做删除、导入、导出操作,当列表策略较多,可以根据IP/MAC来搜索,也可以输入描述的信息,按回车进行搜索即可。