新建用户组-SSL VPN-深信服技术支持

新建用户组

更新时间：2022-01-08

点击新建按钮，在下拉框中选择用户组，弹出【新增用户组】编辑框。

WEBUI 路径：『SSL VPN 设置』→『用户管理』。界面如下图所示：

『名称』即标识该 SSL VPN 用户组的名字，必须填写。

『描述』可任意填写用户组的相关说明信息。

『密码』本地用户名密码认证可配置密码。

『确认密码』确认上栏输入的密码是否一致。

『手机号』可输入用户的手机号码，用作短信认证。

『所属组』在其下拉框中可选择当前新建用户组所隶属的用户组。/表示根组。

『最大并发用户数』控制该用户组及其下级组可以同时登录的在线用户数。

『账户状态』中勾选[启用]激活该用户组；勾选[禁用]禁用该用户组。

勾选[继承上级用户组关联角色、认证方式和策略组]，当前用户组自动关联上级用户组的角色、认证方法、策略组。

勾选[继承上级用户组认证方式]，当前用户组『认证选项』标签内的功能项与上级用户组一致。

勾选[继承上级用户组策略组』]，当前用户组『接入策略组』标签内的功能项与上级用户组一致。

勾选[继承上级用户组关联角色]，当前用户组自动关联上级用户组的角色。

『认证选项』标签内是用户组的登录认证方式的相关设置。

『账户类型』分为[公有用户组]和[私有用户组]。

[公有用户组]指该用户组中的所有用户账号可以供多人同时使用登录 SSL VPN。

[私有用户组]指该用户组中的所有用户账号仅仅允许一个人使用登录 SSL VPN ，两个人使用时会导致先登录的用户断线。

『多认证方式』分为[同时使用]和[任意一种]两种方式。

[同时使用]是“与”的关系，表示可以多种主要认证同时使用。

[任意一种]是“或”的关系，表示选择任意一种认证方式进行认证。

『主要认证』至少要选一种，『辅助认证』可选可不选。

[用户名/密码]认证，使用输入账号密码的方式认证，可以选择本地数据库或第三方认证服务器。

[ 数字证书/Dkey 认证]，要求该组的用户账号都必须生成数字证书文件或生成

USB-Key（有驱 USB-Key 或无驱 USB-Key）。

[外部认证]，在右边的下拉框中选择该用户账号所在的“外部认证服务器”。用户帐号必须在所选择的认证服务器上存在。（需要先配置外部认证服务器，外部认证服务器的具体设置可参考 4.4“认证设置”章节）。

设置如下图所示：

注意：
1.认证服务器必须预先在『认证设置』界面设置完成 LDAP 或 Radius 认证服务器的相关参数。
2.『用户名/密码』认证和『外部认证』是互斥的关系，二者只能选其一。

『硬件特征码』-『使用短信审批』可以通过短信自助审批硬件特征。用户首次登录时，通过短信自助审批硬件特征，硬件特征码已经审核通过后，用户再次登录终端，直接进行硬件特征码验证，验证通过直接登录成功，验证不通过再进行短信验证。

注意：硬件特征码启用使用短信审批，硬件特征码审批通过后，更换新设备登录需重新进行短信认证

[硬件特征码]把 SSL VPN 用户账号和计算机的部分硬件特性（如网卡、硬盘等）生成的硬件特征码一一绑定。由于硬件特性的唯一性，使得该硬件特征码也是唯一的、不可伪造的。一个用户可以拥有多个特征码，即在同一个账号下，多台符合条件的电脑可以登录。也可以配置成只能拥有 1 个特征码。通过对该硬件特征码的验证，就保障了只有指定的硬件设备才能接入授权的网络，避免了安全隐患。

[短信认证]，要求该用户组在建立用户账号时，必须设置好用户账号的『手机号码』，（手机号码设置请参考 4.1.2 和 4.4 章节）。当用户采用有效的认证方式登录到 SSL 界面后，系统会以短信方式发送一个“校验码”到该用户的手机上，该用户必须输入正确的校验码完成登录。

若收不到短信，可以点击重新获取按钮，再次发送认证短信。

注意：
1.短信认证支持客户端填写手机号码自动提交的方式，认证设置中手机号码为空，“认证方式”勾选短信认证，且配置好短信认证模块即可。
2.每一个用户账号支持填两个手机号码，两个手机号码之间用;隔开。
3.程序内部默认在手机号码前自动带上“86”（中国“国际区号”），若目标手机号为国外号码，必须填写相应国家的“国际区号”（短信认证模块的具体配置，请参照 4.4.2.1“短信认证配置”章节）。

选择[动态令牌]，在下拉框选择该用户账号所在的“外部认证服务器”，服务器类型必须为“RADIUS 服务器”。用户帐号必须在所选择的认证服务器上存在。（外部认证服务器的具体设置可参考 4.4“认证设置”章节）。如下图所示：