更新时间:2022-01-08
点击新建按钮,在下拉框中选择用户组,弹出【新增用户组】编辑框。
WEBUI 路径:『SSL VPN 设置』→『用户管理』。界面如下图所示:
『名称』即标识该 SSL VPN 用户组的名字,必须填写。
『描述』可任意填写用户组的相关说明信息。
『密码』本地用户名密码认证可配置密码。
『确认密码』确认上栏输入的密码是否一致。
『手机号』可输入用户的手机号码,用作短信认证。
『所属组』在其下拉框中可选择当前新建用户组所隶属的用户组。/表示根组。
『最大并发用户数』控制该用户组及其下级组可以同时登录的在线用户数。
『账户状态』中勾选[启用]激活该用户组;勾选[禁用]禁用该用户组。
勾选[继承上级用户组关联角色、认证方式和策略组],当前用户组自动关联上级用户组的角色、认证方法、策略组。
勾选[继承上级用户组认证方式],当前用户组『认证选项』标签内的功能项与上级用户组一致。
勾选[继承上级用户组策略组』],当前用户组『接入策略组』标签内的功能项与上级用户组一致。
勾选[继承上级用户组关联角色],当前用户组自动关联上级用户组的角色。
『认证选项』标签内是用户组的登录认证方式的相关设置。
『账户类型』分为[公有用户组]和[私有用户组]。
[公有用户组]指该用户组中的所有用户账号可以供多人同时使用登录 SSL VPN。
[私有用户组]指该用户组中的所有用户账号仅仅允许一个人使用登录 SSL VPN ,两个人使用时会导致先登录的用户断线。
『多认证方式』分为[同时使用]和[任意一种]两种方式。
[同时使用]是“与”的关系,表示可以多种主要认证同时使用。
[任意一种]是“或”的关系,表示选择任意一种认证方式进行认证。
『主要认证』至少要选一种,『辅助认证』可选可不选。
[用户名/密码]认证,使用输入账号密码的方式认证,可以选择本地数据库或第三方认 证服务器。
[ 数字证书/Dkey 认证], 要求该组的用户账号都必须生成数字证书文件或生成
USB-Key(有驱 USB-Key 或无驱 USB-Key)。
[外部认证],在右边的下拉框中选择该用户账号所在的“外部认证服务器”。用户帐号必须在所选择的认证服务器上存在。(需要先配置外部认证服务器,外部认证服务器的具 体设置可参考 4.4“认证设置”章节)。
设置如下图所示:
注意:
1.认证服务器必须预先在『认证设置』界面设置完成 LDAP 或 Radius 认证服务器的相关参数。
2.『用户名/密码』认证和『外部认证』是互斥的关系,二者只能选其一。
『硬件特征码』-『使用短信审批』 可以通过短信自助审批硬件特征。用户首次登录时,通过短信自助审批硬件特征,硬件特征码已经审核通过后,用户再次登录终端,直接进行硬件特征码验证,验证通过直接登录成功,验证不通过再进行短信验证。
注意:硬件特征码启用使用短信审批,硬件特征码审批通过后,更换新设备登录需重新进 行短信认证
[硬件特征码]把 SSL VPN 用户账号和计算机的部分硬件特性(如网卡、硬盘等)生成的硬件特征码一一绑定。由于硬件特性的唯一性,使得该硬件特征码也是唯一的、不可伪造的。一个用户可以拥有多个特征码,即在同一个账号下,多台符合条件的电脑可以登录。 也可以配置成只能拥有 1 个特征码。通过对该硬件特征码的验证,就保障了只有指定的硬件设备才能接入授权的网络,避免了安全隐患。
[短信认证],要求该用户组在建立用户账号时,必须设置好用户账号的『手机号码』,(手机号码设置请参考 4.1.2 和 4.4 章节)。当用户采用有效的认证方式登录到 SSL 界面后,系统会以短信方式发送一个“校验码”到该用户的手机上,该用户必须输入正确的校验码完成登录。
若收不到短信,可以点击重新获取按钮,再次发送认证短信。
注意:
1.短信认证支持客户端填写手机号码自动提交的方式,认证设置中手机号码为 空,“认证方式”勾选短信认证,且配置好短信认证模块即可。
2.每一个用户账号支持填两个手机号码,两个手机号码之间用;隔开。
3.程序内部默认在手机号码前自动带上“86”(中国“国际区号”),若目标手机号为 国外号码,必须填写相应国家的“国际区号”(短信认证模块的具体配置,请参照 4.4.2.1“短信认证配置”章节)。
选择[动态令牌],在下拉框选择该用户账号所在的“外部认证服务器”,服务器类型必须为“RADIUS 服务器”。用户帐号必须在所选择的认证服务器上存在。(外部认证服务器的具体设置可参考 4.4“认证设置”章节)。如下图所示:
[强制下级组及其用户继承本组认证选项],可以强制隶属于该用户组的下级用户组及其用户继承本用户组的『认证选项』标签内的所有设置,但是下级用户组能够添加新的认 证方式或选择其他外部认证服务器。
通过组合可以有以下的认证方式:
[用户名/密码]+[短信认证』/[硬件特征码]/[动态令牌]/[短信自助审批硬件特征码]
[数字证书/Dkey 认证]+[短信认证』/[硬件特征码』/『动态令牌]/[短信自助审批硬件特征码]
[外部认证]+[短信认证』/[硬件特征码』/[动态令牌]/[短信自助审批硬件特征码]
[用户名/密码]+[数字证书/Dkey 认证』+[短信认证]/[硬件特征码]/[动态令牌]/[短信自助审批硬件特征码]
[外部认证]+[数字证书/Dkey 认证』+[短信认证』/[硬件特征码』/[动态令牌]/[短信自助审批硬件特征码]
『接入策略组』用来设置用户使用的各种策略,具体设置可以参考 4.5『策略组管理』章节。
点击 ,弹出【策略组】编辑框,如下图所示:
点击编辑按钮,用来修改选中的策略组。
勾选应用的策略组后,点击确定,如下图所示
点击新建策略组并选用按钮,打开『新建策略组』对话框编辑新策略,编辑完成点击
点击保存按钮,保存该策略并关联给当前用户组。具体设置可以参考 4.5『策略组管理』章节。
[强制下级组及其用户继承本组策略组],可以强制隶属于该用户组的下级用户组及其用户继承本用户组所关联『接入策略组』标签内的所有设置。
『关联角色』用来选择该用户组所使用的角色,角色的具体设置可以参考 4.3『角色授权』章节。
点击新建角色并关联按钮,打开【新建角色】对话框并编辑新角色,编辑完成点击
保存按钮,保存该角色并关联给当前用户组。具体设置可以参考 4.3『角色授权』章节。
点击 为该用户组选择相应的角色,如下图所示:
点击添加关联按钮,用来选择需要关联的角色,弹出【添加关联角色】的对话框,如下图所示:
勾选相应的角色,点击确定,如下图所示:
再点击确定,如下图所示:
关联角色成功,该用户组关联了两个角色。
点击保存并继续添加,可继续添加角色。
点击保存按钮,保存配置。
注意:『默认用户组』和『匿名用户组』下不能够新建下级用户组。