Portal认证也称Web认证,以浏览器或客户端的形式为用户提供身份认证等个性化信息服务。 Portal认证包括了认证策略、认证服务器、单点登录、认证页面定制等模块,通过这几种功能的灵活搭配满足多样化的认证方式需求。
内网的所有终端上网前,都必须经过用户认证,以识别上网计算机的身份,减低内网的安全风险。认证策略决定了某个IP/网段/MAC地址的计算机上网的认证方式。通过认证策略设置内网用户的认证范围、认证方式以及认证后处理。
6.2.2.1.1.认证策略配置
认证策略是从上往下逐条匹配的,可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。
管理员可以对所有的认证策略进行删除操作、批量编辑、启用和禁用、导入、上移/下移等操作,也能进行过滤选择。
表10认证策略界面说明
| 操作 |
功能说明 |
| 新增策略 |
认证策略列表页面,可点击新增一条新的认证策略。 |
| 删除策略 |
认证策略列表页面,可点击删除相应的策略。 |
| 编辑/批量编辑 |
在认证策略列表页面,勾选需要编辑的认证策略,点击认证策略名称,设备会弹出认证策略的编辑页面,修改选中策略的相关信息。 批量编辑:勾选多个自定义的认证策略,可编辑策略的适用对象,其他信息不可以修改。 |
| 导入 |
支持认证策略的导入,点击导入,选中需要导入的认证策略文件,即可进行导入。 |
| 启用/禁用 |
选中已禁用的策略,点击启用,该策略即可生效,选中已启用的策略,点击禁用,该策略会失效。 |
| 上移/下移/移动到 |
由于策略是自上而下进行匹配,所以可以选中相应的策略,点击上移或者下移,或自定义移动,来进行优先匹配策略。 |
| 搜索 |
可通过IP地址、VLAN信息、MAC地址搜索匹配的认证策略。 |
配置思路
如下是认证策略配置流程图。
第一步:配置认证范围:
进入[接入管理/接入认证/PORTAL认证/认证策略]页面,点击<新增>,添加一条认证策略,填写策略名称和描述。
选择设备:选择该条认证策略生效的设备范围,在AC启用认证中心时使用,可选择所有或根据需求选择,默认选择所有(未启用认证中心功能时,只能选择所有)。
适用范围:设置匹配认证策略的终端和用户范围,可设置IP、IP段、MAC地址或VLAN ID,匹配到这些认证源参数的用户就使用这条策略中所设置的认证方式进行认证。
第二步:配置认证方式:
设备的认证方式如下。
表11认证方式使用说明
| 认证方式 |
使用说明 |
| 不需要认证 |
匹配了此种认证方式的情况下,设备会根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户,不需要用户手动填充认证信息。不需要认证的识别方式,优点是用户上网前浏览器中不会弹出认证框,适用于用户上网无感知场景。 |
| 密码认证 |
密码认证包括本地密码认证、外部服务器认证、短信认证、微信认证、二维码认证和Oauth认证等(可同时启用多个),适用于用户需要输入用户名密码进行验证通过才能入网的场景。其中外部服务器认证为接入终端将认证信息发给AC设备,再由AC设备转发给第三方服务器,根据返回的结果来决定是否通过认证。同时,当密码认证使用本地密码认证、LDAP、Radius、POP3、短信认证、微信认证、短信快捷、微信快捷认证时,支持动态码双因素认证。 |
| 单点登录 |
当用户有自己的第三方认证服务器对内网用户进行认证时,单点登录可以实现在内网用户通过第三方认证服务器认证的同时通过AC设备的认证,并且获取到相关的权限上网。设备上使用和第三方认证服务器同一套用户名密码。目前设备支持的单点登录类型包括:AD域单点登录、Radius单点登录、Proxy单点登录、POP3单点登录、Web单点登录、数据库单点登录、深信服设备以及其他第三方设备单点登录(如锐捷Sam系统、HTTP单点登录接口、H3C CAMS系统、城市热点、H3C IMC系统和华为Agile Controller)。 |
| 不允许认证 (禁止上网) |
适用于禁止用户上网的场景。认证方式选择“不允许认证”时,符合IP、MAC范围的用户是不能通过AC认证上线的,此时包括单点登录用户、Dkey用户都无法认证上线, |
| Dkey认证 |
Dkey认证的优先级最高,即用户已经使用其他认证方式在AC设备上线,该用户再使用Dkey认证,则Dkey认证会顶替其他认证方式,最终以Dkey用户的身份认证上线,适用于key认证和存在特权用户的场景。 |
设备会根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户。可选[以IP地址作为用户名]、[以MAC地址作为用户名]、[以计算机名作为用户名]。
密码认证包括本地密码认证、外部服务器认证、短信认证、微信认证、二维码认证和Oauth认证(可同时启用多种供用户选择)。同时,当密码认证使用本地密码认证、LDAP、Radius、POP3、短信认证、微信认证、短信快捷、微信快捷认证时,支持动态码双因素认证。
涉及到具体认证服务器配置可看认证服务器章节。
当企业已有自己的第三方认证服务器对内网用户进行认证时,单点登录可以实现内网用户通过第三方认证服务器认证的同时通过AC设备的认证,并且获取到相关的权限来上网。设备和第三方认证服务器共用同一套用户名密码。
目前设备支持的单点登录类型包括:AD域单点登录、Radius单点登录、Proxy单点登录、POP3单点登录、Web单点登录、数据库单点登录、深信服设备以及其他第三方设备单点登录(如锐捷Sam系统、HTTP单点登录接口、H3C CAMS系统、城市热点、H3C IMC系统和华为Agile Controller)。涉及到具体单点登录服务器配置可看认证服务器章节。
认证方式选择“不允许认证”时,符合IP、MAC范围的用户是不能通过设备认证上线的,也就是禁止上网,此时包括单点登录用户、Dkey用户都无法认证上线。
Dkey认证的优先级最高,即用户已经使用其他认证方式在AC设备上线,该用户再使用Dkey认证,则Dkey认证会顶替其他认证方式,最终以Dkey用户的身份认证上线。需要注意的一点是:如果某些IP、MAC范围在[认证策略]中设置了不允许认证,则Dkey用户使用这些IP、MAC上网也无法认证通过。Dkey认证用户只需要在[用户管理/高级选项/Dkey用户]中直接添加用户即可,不需要单独针对Dkey用户设置一条[认证策略]。需要使用Dkey,具体配置可以参考Dkey用户。
第三步:配置认证后处理:
认证后处理是用于设置用户认证通过后,可选非本地/域用户使用该组上线、自动录入到用户到本地组织结构、自动录入绑定关系。
• 非本地/域用户使用该组上线:当非AC本地用户、非AD域用户认证后,用户使用哪个组权限上线,关联该组的上网策略。
• 自动录入用户到本地组织结构:当非AC本地用户、非AD域用户认证后,用户是否自动添加到AC的本地组织结构。如果勾选的话则匹配[非本地/域用户使用该组上线]中选择的组,将认证的用户加到对应的组中。
• 如果选择自动录入到本地组织结构,可以选择[允许多人同时使用]或[仅允许一人使用]。
• 自动录入绑定关系:用于设置用户认证后(包括本地用户、域用户和新用户),是否自动录入绑定认证后IP和MAC对应关系,是否自动录入绑定认证后的用户名和IP/MAC对应关系。具体可参考用户绑定管理章节。
• 用户使用新终端登录时需审批:当用户换了新的终端,可勾选需要审批。
高级选项:
在[高级选项]可以设置认证前使用此组权限、启用用户登录限制、免认证用户上线前弹出提示页面、此策略认证范围内不允许认证相关的操作。
• 认证前使用此组权限:认证放通或拒绝某些应用/网址,需要先配置上网策略,然后再关联此组。
• 启用用户登录限制:用户限制加强,定义认证策略黑白名单组。
• 免认证用户上线前弹出提示页面:勾选后会对免认证用户进行弹窗提醒,告知用户当前是免认证,或者是自定义的提醒内容。
• 此策略认证范围内不允许免认证:如果在其他策略配置免认证,勾选此功能项后该策略认证范围内的所有终端用户免认证都不生效,排错时候注意检查。
6.2.2.1.2.常用认证案例
不需要认证
某企业要求内网172.16.221.0/24网段的用户上网认证的过程是透明的,不会感知AC的存在,用IP标识终端身份,使用不需要认证的方式上线,上线后用户不添加到组织结构,使用“/内部组/”的权限上网。
操作步骤
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],点击新增认证策略进行配置,设置认证范围:172.16.221.0/24。
步骤2.设置认证方式:选择不需要认证,用户名:选择以IP地址作为用户名。
步骤3.设置认证后处理:该案例要求认证成功的用户不用添加的组织结构,则不勾选[自动录入用户到本地组织结构],认证成功后使用“/内部组/”的权限上网,则在[非本地/域用户使用该组上线]中选择“/内部组/”。
步骤4.用户以IP为用户名上线,在线用户列表可以查看用户信息。
不需要认证2
某企业要求内网10.10.10.0/24网段的用户使用不需要认证的方式上网,用户认证后以IP为用户名自动添加到组织结构,添加到“/内部组/”,由于内网IP是固定分配的,客户想要通过在AC上自动绑定IP、MAC的关系,确保内网用户上网不能随便修改IP地址,一旦用户随便修改了IP,则在AC上认证不通过,无法上网。内网到AC设备有跨三层交换机。
操作步骤
步骤1.参考上述案例的步骤1和步骤2配置。
步骤2.认证后处理:该案例要求认证成功的用户添加到“/内部组/”。
步骤3.[非本地/域用户使用该组上线]:选择“/内部组/”,勾选[自动录入用户到本地组织结构],勾选[自动录入IP和MAC的绑定关系]。设置完点击<提交>。
步骤4.因为内网到AC是跨三层的环境,AC要启用SNMP功能,通过SNMP协议获取交换机上的用户真实MAC,这种场景需要内网交换机支持SNMP功能。在[接入认证/联动对接设置/跨三层取MAC]页面,配置三层交换机的IP、MAC及SNMP信息,详细配置参考跨三层取MAC章节。
步骤5.用户上线时,是以IP用户名认证上线,如下所示。
步骤6.用户认证时的IP/MAC绑定关系自动录入,可以在[IP/MAC绑定]页面进行查询。
本地密码认证
某企业要求对内网172.16.1.0/24网段的用户使用本地密码认证方式,认证成功后自动录入本地用户,并且将用户名和IP自动绑定。
操作步骤
步骤1.首先在[接入管理/本地组/用户]添加用户,自定义登录名、密码。更多添加用户配置可参考新增用户章节。
步骤2.在[接入认证/PORTAL认证/认证策略]页面,点击<新增>添加认证策略,勾选<启用>,用于启用这条认证策略。填入策略名称和描述,设置认证范围:172.16.1.0/24。
步骤4.设置认证方式,选择密码认证,认证服务器选择默认的本地用户。
步骤3.点击<下一步>,配置认证后处理选中允许多人同时使用,自动录入绑定关系选中限制登录和绑定IP,有效期选中永不过期。
步骤4.认证策略设置完毕后点击<提交>,完成并保存设置。
步骤5.效果展示:用172.16.1.35这台终端去访问互联网。
步骤6.填写用户名密码后认证成功,在设备上查看用户上线,设备上查看用户名和IP的绑定信息。
双因素认证
某企业要求对内网10.1.1.0/24网段的用户访问互联网需要通过双因素认证,首次认证采用本地密码认证,二次认证采用动态码认证。
操作步骤
步骤1.首先在[接入管理/本地组/用户]添加用户,自定义登录名、密码。更多添加用户配置可参考新增用户章节。
步骤2.在[接入认证/PORTAL认证/认证策略]页面,点击<新增>添加认证策略,勾选<启用>,用于启用这条认证策略。填入策略名称和描述,设置认证范围:10.1.1.0/24。
步骤3.设置认证方式,选择密码认证,认证服务器选择默认的本地用户。勾选[双因素认证],在动态码认证中选择[密码验证],并选择“本地用户”,可获取密钥的次数选择“不限次数”(密钥的校验方式如选择[短信认证],需新增短信服务器)。
步骤4.设置认证后处理,点击<提交>完成认证策略配置
步骤5.在[接入管理/用户管理/用户绑定管理/动态令牌绑定]的高级配置中,可配置动态令牌绑定有效期(当用户动态令牌异常时,管理员可点击<重新生成>,将新的动态令牌二维码发送给用户,用于重新绑定)。
步骤6.用户打开浏览器访问互联网,重定向到认证页面,进行首次认证,输入用户名/密码,点击<登录>。
步骤7.输入用户名/密码后,跳转到二次认证页面,用户未绑定动态码时,需要先进行动态码绑定,点击<如何获取动态码?>,可查看APP下载、绑定账号、获取动态码指引。
步骤8.APP可选择Microsoft/Google Authenticator任一APP,根据指引中的下载二维码或从手机应用商城中直接下载、安装。点击<获取代码>,此时需要再次进行身份验证,可选择密码认证或短信认证,认证通过后显示生成的代码二维码。
步骤9.使用已安装的Microsoft/Google Authenticator任一APP扫描代码二维码,在APP中添加账号。
步骤10.返回二次认证页面,打开Microsoft/Google Authenticator,输入动态码。
步骤11.用户完成认证。
步骤12.在AC设备中可以看到用户在线信息。
步骤13.在AC设备中可查看动态令牌已绑定。
短信快捷登录
短信快捷登录是密码认证的一种,结合短信将手机号和使用密码认证的用户账号绑定,通过获取验证码来完成认证,不需要记住密码。手机快捷登录只支持本地用户,不支持域用户。
操作步骤
步骤1.短信通知服务器(以下以HTTP为例)和短信认证服务器参考短信认证章节。
步骤2.认证策略基本配置:管理员选择密码认证方式,设置IP段范围,认证服务器选择本地用户且勾选短信快捷登录。
手机快捷登录&未绑定手机号&自管理录入手机号
步骤1.访问网页,重定向到认证页面。
步骤2.首次登录,发现手机号没有绑定过账号,点击“立即处理”,进行绑定。
步骤3.输入用户的账号密码。
步骤4.登录后跳转到“个人管理中心”,手机字段显示“未配置”,点击进行配置。
步骤5.输入手机号和验证码进行绑定,点击确认绑定成功在个人中心会有手机信息。
步骤6.绑定完成后,重新认证,输入手机号和获取的验证码,立即上网。
步骤7.在[全网监控/入网用户管理]可以查看用户上线成功的情况。
不允许认证
当需要让某个部门或者某个IP段的员工禁止上网的场景时,需要使用不允许认证。
操作步骤
步骤1.设置用户的认证策略,进入[接入管理/接入认证/PORTAL认证/认证策略],点击新增认证策略进行配置,设置认证范围,根据需求填写不允许上网的IP或者MAC。
步骤2.设置认证方式,选择不允许认证(禁止上网),勾选禁止上网终端提示页面,禁止上网的同时,期望对用户进行告知,让用户知道当前是不允许上网的。默认情况下不勾选此功能项,请根据实际需求做选择。
步骤3.认证后处理,请根据实际需求勾选相应的功能项,点击<提交>完成配置。
步骤4.效果呈现提示用户禁止上网。
认证服务器用来设置第三方认证服务器的信息,设备支持定义短信、微信、访客二维码、会议室二维码、LDAP、RADIUS、POP3、OA账号、社交账号、数据库、H3C CAMS、第三方认证系统共12种认证服务器。
设备上使用对应的认证方式,则需要在这个页面添加对应的认证服务器,下面章节针对每种服务器做配置介绍。
6.2.2.2.1.短信认证
当使用短信认证方式时,会通过AC设备接的HTTP协议、外部服务器短信平台、短信平台、短信猫来发送验证短信给用户,用户通过输入手机收到的短信验证码认证上线。短信认证的前提是需要在外部认证服务器页面添加短信服务器,并配置正确的参数,才能认证。
使用场景
当某个单位的人员来上网需要实名制认证时,希望上网行为的日志能追溯到具体用户。可以通过短信认证的方式让访客上网前需要输入手机号和验证码验证,并将手机号作为用户名来登录上网。测试前确保AC能访问互联网。
配置思路
操作步骤
第一步:先配置短信通知服务器(以下以HTTP为例)。
步骤1.设置短信通知服务器,在[系统管理/系统配置/高级配置/通知设置],点击<新增短信通知服务器>,勾选启用,可启用短信通知服务器。
步骤2.填写名称为:测试短信验证,网关类型:选择HTTP协议,发送短信国家码,根据需求勾选,页面编码默认即可。
• URL地址:通过用户给予的文档,如深信服云图平台:https://x.sangfor.com.cn/scl/v1/sms/send(后续可参考短信平台提供的接口文档)。
• SOAP版本/请求类型:根据短信平台提供的接口文档(或者咨询第三方),确认使用的SOAP的版本(SOAP1.1或SOAP1.2)与请求类型(POST或GET)。
步骤3.配置短信模板,去云图平台获取参数,填写到account和password字段。接口名称和接收模板的参数,可根据自定义设置,点击<确定>配置完成。
请求模板参考:{"account":"CSKIfiKfaKemFkE9","password":"9Dww4Cfr5VtArXFrWQ5ui4BZzPhNMvIJhm","phone":"$$MOBILE_NUM$$","content":"$$SMS_CONTENT$$ "}
步骤4.对接云图平台,需先找到一台云图设备。登录设备,进入到[产品服务]章节,找到短信云。
步骤5.点击<立即进入>,跳转到短信云界面,然后点击<服务配置>章节,选择当前最新的密钥,在操作栏选择查看密码。获取到密钥ID和密码,填到短信模板的对应参数值即可。
步骤6.在[系统管理/系统配置/高级配置/通知设置],点击<短信通知配置>,短信平台服务器选择刚配置好的“测试短信验证”策略,内容可以自定义设置或者默认,自注册审批和新终端审批通知可根据需求自定义选择即可。
步骤7.返回步骤1,点击<测试有效性>,发送一条测试短信看下能否发送成功,发送成功后,在云图短信平台的[短信发送记录查询]看到已经发送成功的手机号码的记录。
第二步:配置短信认证服务器
步骤1.在[接入管理/接入认证/PORTAL认证/认证服务器/短信认证],点击新增<短信认证>,名称输入名称。
步骤2.短信平台选择前面配置的短信通知服务器,短信内容默认即可,根据需求是否启用“已认证用户自动绑定MAC并认证”,配置完成点击<提交>。
步骤3.短信内容:用户设定需要发送短信验证的内容。验证码有效期为10分钟。
步骤4.点击<恢复初始内容>,可以将自定义短信的内容恢复为默认值。
步骤5.已认证用户自动绑定MAC并免认证的有效期:在设置的天数内不需要重新认证。
:
当用户在某台终端通过短信认证成功过一次后,设备记录其登录信息,并自动绑定用户和MAC地址,在同一终端下次再接入网络时,自动通过其认证,而无需重复认证。
步骤6.认证过程:终端接入网络,打开网页,进行短信认证。
第三步:配置短信认证策略
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略,勾选启用,填写策略名称、描述。
步骤2.设置认范围,选择设备:默认所有;适用范围:192.168.1.0/24。
步骤3.设置认证方式,认证服务器选择短信测试模板,其他选项默认即可。
步骤4.设置认证后处理,选择使用“访客”组上线,其他选项默认,则短信认证成功后使用访客组的权限上网。点击<提交>完成配置。
步骤5.当终端需要上网时,会重定向认证页面。
步骤6.短信模块会向填入的手机号码发送短信验证码,手机收到验证码后,填入验证码,点击<登录>即可通过认证。
6.2.2.2.2.微信认证
当用户使用这种认证方式时,需要通过微信进行认证。微信认证的前提是需要在[认证服务器]页面,添加微信服务器,并配置正确的参数,点击<新增>,选择微信认证。
提供“下载微信认证部署说明文档及示例代码”。
• 名称:设置微信服务器的名称。
• 公司英文名称简称:用于标识用户的唯唯一性,用来判断用户关注的微信公众号是否正确,填写用户英文名称或中文拼音,并以此来填写部署在第三方服务器config.php文件中的SALT字段。
• 启用“点一点”上网方案:这种方案的认证过程是:终端用户关注微信号后,点击[我要上网]或发送字母“W”即可通过认证。
“点一点”上网部署方式,有以下两种部署方式:
方式一:需要服务器部署代码(支持服务号和订阅号)。
此种方式需要启用微信公众平台的“开发模式”,使用自身或租用的服务器部署代码响应微信的各种消息事情。具体的部署说明和代码示例在“示例代码中”可下载。
方式二:不需要部署代码(支持服务号和订阅号)。
配置第三方平台对接项:不需要部署Sangfor代码,从URL参数或cookie参数中提取用户的id,不做校验;此方式通常适用于微信服务商,例如微盟、微购,它们一般不能修改服务代码,但又能从URL参数或cookie中提取用户ID,就需配置第三方服务平台对接选项。具体的配置方法,提供“<与第三方服务平台对接-开发者文档>”下载。
启用“微信连wi-fi”上网方案:2019年08月19日起,“公众号连Wi-Fi”暂停微信Portal鉴权连网方式,不再提供wifi关联公众号的功能配置后台及接口,回收第三方平台微信连Wi-Fi权限集。微信官方通知:微信连Wi-Fi功能调整通知,本手册不再赘述。
6.2.2.2.3.访客二维码认证
访客二维码认证在外来访客场景下,访客在得到内部员工的审批后才能正常访问互联网,给访客带来良好体验的同时,内部也能对外来访客进行有效的管理,推荐采用访客二维码认证方式,让内部员工对每位访客的二维码进行扫码,从而满足该场景。
适用场景
• 访客填写信息,担保人扫码:需要采集访客的信息,担保人扫码后看到访客的信息属实后,批准上网。
• 担保人扫码,访客直接以担保人身份上线:无采集客人信息的需求,但是想赋予访客担保人的权限,选择这种方式。
• 担保人扫码,并备注访客信息:不需要访客做其他操作,信息填写由内部员工完成,并在在线用户可以看到具体的担保人的信息,选择这种方式。
操作步骤
步骤1.在[接入管理/接入认证/PORTAL认证/单点登录/认证服务器],点击新增[访客二维码认证]服务器,勾选启用,填写名称。
步骤2.选择担保人:担保人指的是有审核权限的用户或组,如果选择的是组,则该组下所有用户都有审核权限。
步骤3.在[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略,勾选启用,填写策略名称、描述。
步骤4.设置认证范围:访客网段:192.168.10.1-192.168.10.254。
步骤5.设置认证方式,选择密码认证,认证服务器选择访客二维码。
步骤6.认证后处理,选择认证上线的组,点击<提交>即可。
认证后效果:
访客填写信息,担保人扫码
担保人扫码,访客直接以担保人身份上线
担保人扫码,并备注访客信息
会议室二维码认证可实现对于会议室开会上网体验,小范围上网体验或私密体验。当用户接入网络上网,不希望被外人获知上网方法,推出了会议室二维码认证方式,实现需求。支持实名认证场景和不实名认证场景。
实现过程大致如下:
• 名称:设置会议室二维码服务器的名称。
• 用户上线组:通过会议室二维码认证后用户上线到具体的组。
• 二维码设置:会议室二维码是可以张贴在会议室的,因此需要进行配置。
• 二维码名称:给会议室二维码取一个名字;“二维码ID”:设置一个ID,便于不能扫描的PC端输入ID接入网络;
• 最大上线人数:会议室或小范围的人数是有限的,对人数进行限制可以有效的管理;
• 有效期:二维码有效期可以定义为“永不过期”或“指定过期时间”;
• 开启手机号实名认证:会议室二维码如果有实名制的需求,结合手机号做实名认证。
:
开启手机号实名认证功能需要在[系统管理/系统配置/高级配置/通知设置]的短信通知服务器。
不实名认证场景
第一步:配置会议室二维码认证服务器
步骤1.在[接入管理/接入认证/PORTAL认证/单点登录/认证服务器],点击新增<会议室二维码认证>服务器,勾选启用,填写会议室名称。
步骤2.二维码设置,根据需求设置二维码名称、二维码ID、最大上线人数、有效期等信息,可选择是否开启手机号实名认证。访客信息项设置可根据需求设置用户名或者其他信息都可以。
步骤3.完成配置后,点击提交就会生成二维码,或点击<会议室二维码管理>,找到对应项下载,且打印粘贴到会议室的位置。后续维护也在会议室二维码管理中。
第二步:配置会议室二维码认证策略
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略,勾选启用,填写策略名称、描述。
步骤2.设置认证范围,选择设备:默认所有,适用范围:192.168.25.0/24。
步骤3.设置认证方式,认证服务器选择会议室二维码,其他选项默认即可。
步骤4.认证后处理,默认即可,点击<提交>完成配置。
步骤5.终端通过AC上网,会重定向认证页面。
步骤6.移动端和PC端效果展示。
实名认证场景
第一步:配置会议室二维码认证服务器
步骤1.在[接入管理/接入认证/PORTAL认证/单点登录/认证服务器]点击新增<会议室二维码认证>服务器。
步骤2.勾选“开启手机号实名认证”后,强制手机号做用户名,完成配置后:生成二维码,可以下载打印粘贴在会议室
步骤3.完成配置后,点击<提交>就会生成二维码,或点击<会议室二维码管理>,找到对应项下载,且打印粘贴到会议室等位置。后续维护也在会议室二维码管理页面进行。
第二步:配置二维码认证策略
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略,勾选启用,填写策略名称、描述。
步骤2.设置认证范围,选择设备:默认所有,适用范围:192.168.10.0/24。
步骤3.设置认证方式,认证服务器选择会议室二维码,其他选项默认即可。
第三步:短信通知服务器配置
此场景需要配合短信通知,进行实名制验证,需要先配置[系统管理/高级配置/通知设置/短信通知服务器],确保用户可以收到短信验证码。
第四步:移动端和PC端效果展示。
6.2.2.2.5.LDAP服务器
场景案例
在客户内网已经部署了LDAP服务器的情况下再部署AC,管理员希望内网用户能够使用现有的LDAP账号密码通过AC的身份认证策略,无须为内网用户在AC上再创建一套账号,从而避免用户在原有LDAP账号的基础上再记忆一套新账号和密码。
配置步骤
本次以Microsoft Active Directory作为外部LDAP服务器示例。
步骤1.在AC上配置外部认证服务器。在[接入管理/接入认证/PORTAL认证/认证服务器]界面配置外部认证服务器,点击<新增>按钮选择[LDAP服务器]。
步骤2.配置LDAP服务器相关参数。在[服务器名称]栏定义外部认证服务器的名称,在服务器类型:选择MS Active Directory(视实际情况选择对应的类型)。
• IP地址:填写LDAP服务器的IP地址。
• 认证端口:LDAP服务器连接的端口。例如AD域在未启用SSL/TLS加密时默认端口为389。
• 超时:设定认证请求的超时时间。当AC把认证请求转发到LDAP服务器后,如果超过这个时间无回应,则视为认证失败,如果AC到LDAP服务器间的网络比较慢,可尝试把超时时间延长(例如10秒)。
• 匿名搜索:如果LDAP服务器支持匿名搜索时,则可以使用此选项。
• 管理员账号:AC将使用该账号到LDAP服务器去查询以及同步的内网的用户账号。
以MS Active Directory为例:账号为administrator域名为:damian.com,那么填写administrator@damian.com 。该账号拥有查询及同步AD域账号的权限(Domain Admin),并非一定要administrator账号。
• 管理员密码:管理员账号对应的密码。
• 开启加密:当LDAP服务器启用SSL/TLS加密后AC对接时也需要开启加密。且开启加密后认证端口需要更改。AD域使用SSL加密时默认为636。
• 校验证书:校验证书的合法性。如果LDAP服务器需要校验证书,请配置域名且AC能够访问到该域名。(在[系统管理/网络配置/高级设置/Hosts]里填写该域名解析到的IP)
• BaseDN:指定域搜索路径的起点,该起点决定了该条LDAP规则的生效范围。如果用户在指定的BaseDN以外,则该用户无法做外部服务器认证,所配置的策略对该用户也不会生效。所以可以通过BaseDN来划分不同管理员的所属区域。
步骤3.测试连通性。点击<测试有效性>后可以测试以当前的配置对接LDAP服务器是否成功。
• 修改密码:以AD域为例:如果在AD域上创建域账号时选择了“初次登录修改密码”,那么可以直接在这里修改密码。
• 账户有效性:测试AC设备与LDAP服务器通信是否正常,校验LDAP用户账号是否有效。
步骤4.测试类型相关信息填写后,点击<测试有效性>即可验证当前配置是否有效。
步骤5.编辑同步配置和高级选项。(如果无特殊需求请保持默认值)
• 用户属性:指定LDAP服务器上,唯一标识用户的属性字段。例如AD域上sAMAccountName属性标识了用户,而在Novell LDAP上uid属性标识了用户。
• 显示名属性:指定LDAP服务器上,唯一标识用户显示名的属性字段。例如AD域上displayName属性标识了用户的显示名。
• 描述属性:指定LDAP服务器上,唯一标识用户描述的属性字段。例如AD域上description属性标识了用户的描述。
• 用户过滤:指定LDAP服务器的用户过滤条件,即通过这条件可以确定某个节点是否为用户。例如AD域上可以通过填写“(|(objectClass=user)(objectClass=person))”来过滤某个节点是否为用户。
• 组织单位过滤:指定LDAP服务器的组织单位过滤条件,即通过这条件可以确定某个节点是否为组织单位。
• 例如AD域上可以通过填写(|( objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domainDNS)(objectClass=container))来过滤某个节点是否为组织单位。
• 安全组过滤:指定LDAP服务器的(安全)组过滤条件(注:对于AD域而言,这里是安全组,对于非AD域而言,这里是group),即通过这条件可以确定某个节点是否为(安全)组,例如AD域上可以通过填写“(objectClass=group)”来过滤某个节点是否为安全组。
• 安全组成员属性:指定AD域服务器上哪个属性标识了安全组的成员列表,该属性只有LDAP服务器为AD域的时候生效。该字段如没有特别情况,一般填写member即可。
步骤6.当服务器类型选择“MS Active Directory”时上面这些参数是设置好的,一般采用默认参数即可,如果服务器是其他类型的LDAP,则需要根据实际情况调整,以便设备能读取到LDAP上正确的信息。
• 启用安全组实时更新:勾选该功能后AC将实时请求LDAP服务器,将所需同步的内容同步到本地,会对LDAP服务器性能增加压力。本选项只对AD域生效。
• 设置安全组和用户的关联方式:此处建议使用默认配置。
• 关联方法:可以选择“用户找组(推荐)”或“组找用户”。如果LDAP服务器上,用户存在某个属性保存了其所属组,这时可以选择"用户找组(推荐)",因为这种方式将会提供更好的性能,同时减少LDAP服务器的性能压力。如果LDAP服务器上,用户和组之间没有相互保存的信息,只有组保存了所属用户,这种情况需要勾选“组找用户”。
• 关联属性:如果选择了“用户找组(推荐)”模式,该字段需要填写LDAP服务器上组或者用户保存其父组的属性。例如AD域上memberOf属性标识了某个节点的父组,所以搜索的时候,将使用memberOf属性来搜索其父组。如果选择了“组找用户”,该字段需要填写LDAP服务器上组保存子用户的属性。例如AD域上member属性标识了某个组的子用户,所以搜索的时候,将使用member属性来搜索某个组的子用户。
• 支持安全组嵌套:该复选框决定了配置(安全)组的时候,是对该组下的用户生效,还是对该组下的用户以及子组都递归生效。勾选该字段以后表示对应(安全)组的用户以及子组都递归生效;如果不勾选,则表示仅对配置的(安全)组下直属用户生效,忽略所有子组。
• 嵌套属性:嵌套属性只有在勾选了“支持安全组嵌套”以后才可以填写。该选项表示递归查找的时候需要搜索的组使用哪个属性来标识。如果选择了“用户找组(推荐)”模式,该字段只需要和“关联属性”保持一致即可。如果选择了“组找用户”,该字段需要填写LDAP服务器上组保存子组的属性。例如AD域上member属性标识了某个组的所有子组,所以搜索的时候,将使用member属性来搜索某个组的所有子组。
• 分页搜索:使用扩展API对LDAP服务器进行搜索,建议保留默认配置。
• 页面大小:LDAP分页时返回的大小,0表示无限制,建议保留默认配置。
• 大小限制:同步LDAP时的size limit选项,这里建议保留默认配置。
步骤7.在AC上配置认证策略。在[接入管理/接入认证/PORTAL认证/认证策略]界面,点击<新增>按钮新建一条Portal认证策略。
• 认证范围:按实际需求配置策略生效的IP地址范围。
• 认证方式:选择密码认证,并在认证服务器栏勾选已配置好的LDAP服务器。
其他的功能项按需配置即可,最后提交并保存配置。
步骤8.在PC的认证界面使用LDAP服务器存储的用户名密码认证,在AC上查看该用户能否成功入网。
6.2.2.2.6.Radius服务器
用户使用Radius第三方认证时,都需要在[外部认证服务器]页面先添加对应的Radius服务器,并设置相关信息。
• 服务器名称:用于设置Radius服务器名称。
• IP地址:填写Radius服务器的IP地址。
• 认证端口:设置Radius服务器的认证端口,默认是1812。
• 超时时间:设置认证请求的超时时间。
• 共享密钥:设置Radius协商密钥。
• 采用协议:设置Radius协商协议,不加密的协议PAP、质询握手身份验证协议、Microsoft CHAP、Microsoft CHAP2、EAP_MD5。
• 编码:支持选择UTF-8或GBK编码格式。
6.2.2.2.7.POP3服务器
内网用户使用POP3单点登录的认证方式时,需要在[外部认证服务器]页面先添加对应的POP3服务器,并设置相关信息。
服务器名称:填写POP3服务器名称。
POP3服务器配置:用于设置POP3服务器的IP地址、认证端口和超时时间。
6.2.2.2.8.OA账号认证
现在企业微信、阿里钉钉和口袋助理在企业里使用越来越普遍,使用企业微信的用户在企业微信里相当于已经有一套完整的组织结构和认证体系,希望AC可以借助企业微信实现上网的认证。AC提供和企业微信结合认证的方式来完成认证,上网的时候弹出二维码,通过手机微信进行扫码授权,实现认证。在手机端,弹出认证页面,直接拉起微信进行授权认证。
Oauth2.0认证方式的应用,AC内置OA账号认证支持企业微信、阿里钉钉和口袋助理三种认证方式。
企业微信认证
企业微信参数配置流程:
步骤1.配置开发者平台, 登录企业微信管理后台:
步骤2.选择“我的企业”,获取企业ID,填入AC设备认证服务器的AppID栏。
步骤3.选择“应用与小程序”,自建中点击“创建应用”,应用名称填“我要上网”。
步骤4.点击进入“我要上网”。
步骤5.获取AgentId、secret分别填入AC设备认证服务器的企业id栏和Appsecret栏。
步骤6.点击进入“网页授权及JS-SDK”,填入“oauthservice.net”。
步骤7.启用“企业微信授权登录”,填入授权回调域名“oauthservice.net”。
步骤8.启用“工作台应用主页”,填入:
https://open.weixin.qq.com/connect/oauth2/authorize?appid=ww9c6d66e15efc420c&redirect_uri=http%3A%2F%2Foauthservice.net%2Fac_portal%2Foauth_callback.html&response_type=code&scope=snsapi_base&state=qywechat-#wechat_redirect ; 其中AppID替换为步骤1获取的AppID。
步骤9.勾选“在微工作台中始终进入主页”。
步骤10.企业微信配置参数获取完成,在[接入管理/接入认证/认证服务器],点击<新增>[OA账号认证/企业微信],勾选启用,填写名称、描述。
步骤11.对接参数设置根据前面步骤获取填入。
步骤12.在[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的企业微信服务器,点击<提交>,完成配置。
步骤13.效果呈现:PC端效果,点击认证方式图标。
步骤14.手机端跳转到二维码扫描页面,使用手机企业微信扫描二维码(手机不必要接入网络)。
步骤15.手机企业微信扫码认证后,跳转到访问前页面。
步骤16.在[全网监控/入网用户管理]可查看通过认证用户列表。
移动端效果:手机接入wifi后,用浏览器打开一个页面,重定向到认证页面,点击企业微信认证,跳转到登录失败页面,并提醒在企业微信客户端内完成认证。
手动进入企业微信App,点击下方导航栏的“工作台”,拉倒最下面,看到“我要上网”点击,完成认证。完成后,可以上网。
阿里钉钉认证
钉钉认证配置流程:
配置步骤
步骤1.登录首页获取企业ID信息。
步骤2.在“应用开发”标签下进入“移动应用接入”,点击“登录”;创建扫码登录认证授权。
步骤3.名称:自定义,例如AC上网认证;描述:自定义,例如AC上网认证。
授权LOGO地址:无特殊作用,可以任意填写,https://img.com
回调域名:AC设备的钉钉认证回调地址, http://oauthservice.net/ac_portal/oauth_callback.html
步骤4.创建成功。
收集钉钉上的appID和appSecret,该信息主要用于AC认证的回调。本例中:
appid:dingoa6j2trbydaym5nwlb
appSecret:kj13vE6n6OWefHx0rZxs16FkL5g6Fp6y48ABp-VuqSXhiFwDK_TMP_ulCTcL_wrc
步骤5.在“应用开发”标签下进入“企业内部开发”,点击“H5微应用”;创建AC对接授权
• 应用名称:自定义,例如AC对接授权
• 应用描述:自定义,例如AC对接授权
• 开发方式:企业自助开发
步骤6.创建H5微应用成功后,点击应用,在应用的“凭证与基本信息”->“应用凭证”中收集应用的appkey、appsecret,本例中:
AppKey:ding9vzfqtmev3yzivrf
AppSecret:Nrr9QIs5ZW4xI0UQuWHRmQCTz-YHnJUNsbviizrYFKo4PY9-W9YdGimuI3MT8XJg
步骤7.在H5微应用中,“开发管理”设置上网行为管理的互联网出口地址。
• 开发模式:开发应用
• 服务器出口IP:该地址为AC设备自身出去上网的互联网IP地址
• 应用首页地址:自定义,例如https://www.dingtalk.com
步骤8.在H5微应用配置AC用户认证的范围和用户认证所需的权限,在“权限管理”模块,添加接口权限,需要新增:通讯录只读和通信录编辑权限,邮箱等信息可选。
如上步骤整理完成之后收集信息如下,配置到AC设备钉钉对接认证模块即可:
CorpId:dingf8e689809c2fc7a44ac5d6980864d335
appid:dingoa6j2trbydaym5nwlb
appSecret:kj13vE6n6OWefHx0rZxs16FkL5g6Fp6y48ABp-VuqSXhiFwDK_TMP_ulCTcL_wrc
AppKey:ding9vzfqtmev3yzivrf
AppSecret:Nrr9QIs5ZW4xI0UQuWHRmQCTz-YHnJUNsbviizrYFKo4PY9-W9YdGimuI3MT8XJg
步骤9.认证服务器配置:只需要填写appid、appsecret参数和企业ID;如果有获取组织结构需求,勾选“自动获取用户所属组”配置起始路径、appkey和appsecret。
步骤10.在[用户认证与管理/用户认证/认证策略],新增认证策略,填写认证范围,引用配置好的阿里钉钉认证服务器。
注意事项:
钉钉认证属于第三方认证,用户以oauth认证方式上线,默认以钉钉的用户名为登录名,钉钉的用户名和本地用户的登录名不能发生冲突。
步骤11.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的阿里钉钉认证服务器,点击<提交>,完成配置。
步骤12.效果呈现:PC端效果:点击认证方式图标。
步骤13.使用手机阿里钉钉扫描二维码登录(手机不必须要接入网络)。
步骤14.手机钉钉扫二维码完成认证,跳转到访问前页面。
步骤15.移动端效果:手机接入WIFI后,用浏览器打开一个页面,重定向到认证页面,点击钉钉认证,唤起阿里钉钉app,在app完成登录后,完成认证。
步骤16. 完成认证后,在线用户列表看到上线情况。
口袋助理认证
口袋助理未提供对外的开发者平台,有认证需求联系深信服售后400或区域获取参数;
步骤1.在AC上配置OA账号认证服务器,服务器参数需在第三方平台注册授权应用获取,禁用自动获取用户所属组;
步骤2.对口袋助理的登录域名加入全局排除地址(认证前流量未放通)。
步骤3.认证过程:根据认证策略配置,认证页面提供OA账号认证方式供用户选择。
步骤4.用户选择认证方式后,跳转到OA账号认证页面完成认证。
步骤5.认证完成后认证平台会通过在平台填写的URL参数回调给AC,AC可获取用户在第三方平台的认证信息,在AC上登录上线。
步骤6.认证后效果:在线用户所属组即[认证策略/认证后处理/非本地/域用户使用该组上线]配置的组。
步骤7.移动端效果:口袋助理与另外两个不同的是不需要拉起app,浏览器访问网页点口袋助理认证图标跳转到口袋助理登录页面,输入手机号和密码即可完成认证。
6.2.2.2.9.社交账号认证
国外很多网站使用Facebook账号、Twitter账号、Google账号登录。这种社交账号对用户来说非常方便,不需要注册账号即可登录。AC在公共上网场景里也面临类似需求,用户希望能用社交类账号进行认证,特别是在海外,Facebook账号、Twitter账号、Google账号登录非常方便,满足公共上网场景里使用社交账号的需求。设备支持结合Facebook、Gmail、Line、Twitter这四种社交账号实现认证。
[接入管理/接入认证/PORTAL认证/认证服务器],点击新增<社交账号认证服务器>。
Facebook账号认证
步骤1.配置开发者平台,Facebook开发者应用注册网址:https://developers.facebook.com
步骤2.Add New App,填入名称和邮箱。
步骤3.进入Setting选择Basic,获取AppID 和AppSecret填入appid、appsecret中。
步骤4.填入Privacy Policy URL:Privacy URL意思是填自己公司的主页之类的,实际上这个参数在Oauth认证里面用不到,随便写一个URL也可以。
步骤5.添加“Facebook Login”产品,选择“Web”。
步骤6.进入设定,填入Valid OAuth Redirect URIs:
https://oauthservice.net:444/ac_portal/oauth_callback.html(在AC控制台复制)。
步骤7.最后,填上隐私策略网址,然后点击对外开放。
步骤8.社交账号认证(FaceBook)服务器配置,策略名称和Appid和AppSecret参数。
步骤9.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的facebook认证服务器,点击<提交>,完成配置。
步骤10.效果呈现,点击认证方式图标。
步骤11.输入facebook的用户名密码。
步骤12.完成认证效果。
步骤13.在线用户显示上线情况。
Gmail账号认证
步骤1.配置开发者平台:登录google开发者平台:https://console.developers.google.com
步骤2.进入凭据,创建凭据,选择“Oauth客户端ID”。
步骤3.选择“网页应用”,填入已获授权的重定向URI:
http://oauthservice.net/ac_portal/oauth_callback.html(建议在AC后台直接复制重定向url)。
步骤4.点击库, 在API库中选择“Gmail API”,点击<启用>。
步骤5.认证服务器配置,需要填写名称和描述appid和appsecret参数将创建后的用户端ID,用户端密钥填入appid,appsecret。
步骤6.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的Gmail认证服务器,点击<提交>,完成配置。
步骤7.效果呈现,点击认证方式图标。
步骤8.输入账号密码,点击<提交>。
步骤9.完成认证,跳转到访问前页面。
步骤10.在线用户上线情况。
Line账号认证
步骤1.登录Line开发者平台:https://developers.line.biz/console/。
步骤2.进入providers点击,Create New Provider,按照指引完成provider创建。
步骤3.进入创建的provider,点击create channel,选择LINE Login,按照指引完成channel创建。
步骤4.点击进入新建的channel,在channel setting下获取Channel ID、Channel secret 填入appid、appsecret中,并勾选App type下LINE Login(NATIVE_APP), LINE Login(WEB)。
步骤5.在App Setting下设置填入Callback URL,可在AC控制台复制。
步骤6.将channel 状态改为published。
步骤7.AC认证配置:认证服务器配置:只需要填写AppID和AppSecret参数。
步骤8.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的Line认证服务器,点击<提交>,完成配置。
步骤9.效果呈现,点击认证方式图标。
步骤10.点击line图标跳转到登录line页面,输入账号密码。
步骤11.认证成功后,跳转到认证前访问页面。
步骤12.设备在线用户上线。
Twitter账号认证
步骤1.登录twitter开发者平台:https://developer.twitter.com/en/apps
步骤2.进入点击detail进入app。
步骤3.点击“Keys and tokens”获取应用参数。
步骤4.AC认证配置:认证服务器配置:填写参数。
步骤5.[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的Twitter认证服务器,点击<提交>,完成配置。
步骤6.效果呈现:点击认证方式图标。
步骤7.输入Twitter账号完成认证。
步骤8.认证后,正常使用Twitter。
步骤9.在线用户上线。
6.2.2.2.10.数据库服务器
内网用户使用数据库单点登录的认证方式时,需要在外部认证服务器页面先添加对应的数据库服务器,并设置相关信息。
勾选启用该外部认证服务器,该功能才会生效。
• 服务器名称:定义方便区分的服务器名称。
• 数据库类型:择数据库的类型,支持DB2,ORACLE,MS SQL和MYSQL。
• 服务器地址和端口:写数据库服务器的地址和数据库监听端口。
• 数据库编码:选择数据库的编码类型,提供UTF-8、GBK、BIG5三种选择。
• 用户名:填写数据库的用户名。
• 密码:填写数据库的密码。
• 数据库名:写数据库名称。
• 超时:设备连接数据库服务器取数据时,多久没有返回数据则视为超时,默认值60s,可根据服务器的负载和用户数酌情调整。
• 测试有效性:测试设备跟服务器的连通性及上述配置的有效性。
6.2.2.2.11.H3C CAMS服务器
内网用户使用H3C CAMS单点登录的认证方式时,需要在外部认证服务器页面先添加对应的服务器,并设置相关信息。
勾选启用该认证服务器。
• 服务器名称:自定义一个便于区分的服务器名称。
• 服务器地址:写服务器的地址及其端口号,格式为IP:端口或服务器URL地址。
• 数据库编码:择数据库的编码类型:UTF-8、GBK、BIG5,数据库编码决定以什么编码显示用户名等字符,若编码选择不正确,则可能出现用户名乱码。
• 用户名和密码:填写H3C CAMS系统管理员用户的名称和密码。
• 超时:设备连接H3C CAMS系统所消耗的时间,可根据服务器的负载调整,建议使用默认值60s。
• 测试有效性:测试设备跟服务器的连通性及上述配置的有效性。
6.2.2.2.12.第三方认证系统
CAS认证
勾选启用该认证服务器。
• 服务器名称:自定义一个便于区分的服务器名称。
• URL:填写服务器的URL,请参考“https://IP:8443/cas/login”。
• 关键字:用来识别回包关键字,提取用户名。默认格式:
cas:serviceResponse>cas:authenticationSuccess>cas:user
• 校验版本:可以选择cas2.0或cas3.0。
Oauth认证
设备内置了7个Oauth的认证方式,如果需要实现除这7种以外的Oauth认证,可以在[认证服务器/第三方认证系统/Oauth]认证服务器进行配置。
在[接入管理/接入认证/PORTAL认证/认证策略],点击<新增认证策略>,填写认证范围,引用配置好的Oauth认证服务器。
SAML2.0认证
设备支持通过SAML2.0协议与企业内部的身份认证系统集成,实现单点登录。入网用户在内部的身份认证系统完成认证后即可单点登录AC,在AC上完成用户上线。
勾选启用该认证服务器。
LdP Login Url:IDP认证页面Url,用于跳转至IDP的认证页面。
LdP Entity ID:IDP标识符,用于AC校验IDP身份的合法性。
SP Entity ID:SP标识符,用于IDP校验AC身份的合法性。
认证后跳转地址:AC接收认证响应报文接口,由AC提供至IDP。
指定签名位置:用于指定签名计算方式,此设置AC和IDP两端需要保持一致。
:
1.目前只支持对接微软SAML2.0协议。
2.AC指定签名只支持assertion或response,不支持assertion和response。
3.只支持pem,der,cer,crt后缀证书。
4.支持SHA-1签名算法和SHA-256签名算法
6.2.2.3.1.微软AD域
如果用户的网络中已有一台微软AD域服务器做用户管理,内网用户登录电脑系统都是使用域账号登录,可以采用域单点登录的方式,在内网用户登录到域之后就通过设备的认证,即终端用户登录域即可上网,无需通过设备再次认证。域单点登录有四种办法可以实现:
• 通过域自动下发脚本登录:通过在域服务器上配置登录(logon.exe)和注销(logoff.exe)脚本,在用户登录域或注销域时通过下发的域策略执行登录或注销脚本,执行脚本的同时完成用户在设备上的登录和注销。
• 通过AC本身程序自动登录(ADSSO登录):AC设备内置一个单点登录客户端程序ADSSO。启用这种方式时,主动检测AD域上终端用户登录域的事件日志(事件ID为672,540,4624),检测到有用户登录的日志后即自动通过AC认证。
• 集成windows身份登录(IWA登录):在windows域环境下普遍支持的一种认证方式。通过这种方式实现的单点登录,需要先将AC设备和内网电脑都加入到域,当内网电脑打开网页时会自动访问AC并提交身份凭证,从而实现单点登录。
• 监听口监听登录信息登录:通过监听PC登录域服务器的数据,从监听到的数据中获取用户登录的信息,从而实现的单点登录。监听模式的单点登录无需在域服务器上安装任何组件,但要求内网电脑登录域的数据经过设备或者是通过监听口镜像到设备。且只能监听登录信息,不能监听注销信息。
以上几种方式可以单独使用,也可以同时使用,它们之间不冲突,同时使用也可以增加单点登录的成功率。具体配置参考接入认证AD域典型案例章节。
6.2.2.3.2.Radius
当用户环境中存在Radius服务器,并且Radius认证和计费的数据包经过AC设备时,可以启用Radius单点登录认证方式,认证成功以Radius的用户名上线。
当第三方Radius服务器认证和计费的数据包不经过AC,则需要通过交换机做镜像流量的方式将Radius计费报文镜像到AC的镜像口。当AC通过镜像流量抓取到Radius计费报文的目的IP后,PC通过Radius认证则成功通过AC认证,AC在线用户列表里可以看到认证的账号以及IP。
:
1.必须将Radius的计费报文镜像给AC。如果镜像的是Radius认证报文则需要考虑用户的使用场景,只有Portal认证时Radius认证报文里才会携带IP地址,802.1x认证的Radius认证报文是不携带IP地址的。而Radius计费报文不管是portal认证还是802.1x认证均会携带用户名和IP地址。
2.如果AAA认证场景下未使用计费功能,可以开启计费功能把Radius计费报文发送给AC,即把AC当作Radius的计费服务器实现Radius单点登录。
操作步骤
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],点击<新增>认证策略,勾选启用,填写名称、描述和认证范围。
步骤2.认证方式选择单点登录,已开启单点登录方式:显示当前已开启的方式,可点击<配置单点登录>跳转到单点登录页面。单点登录失败的用户还能选择:不需要认证,自动上线、密码认证、跳转到提示页面、跳转到CAS服务器。推荐选择密码认证方式,也可根据实际需求选择。
步骤3.点击<配置单点登录>跳转到单点登录页面,勾选[启用Radius单点登录]。如果Radius认证和计费的数据包不经过AC,则需要在AC上设置镜像口,并把这部分数据通过镜像口镜像到AC上。
步骤4.在Radius服务器地址列表中填写Radius服务器的地址,如果AC作为Radius服务器,则服务器为AC的地址。
• 读取Radius属性,并自动赋值给用户的自定义属性:Radius用户存在一些属性值,AC上也可以设置用户的属性值,如果Radius用户认证的同时也需要把属性带到AC上,则需要勾选此项。
• Radius属性:设置需要读取的Radius属性。
• 赋值给用户的自定义属性:设置需要把上面的Radius属性赋值到AC的哪个自定义属性上。
步骤5.认证后处理,默认设置即可,点击<提交>配置完成。
步骤6.Radius计费包抓取成功,传递用户名至AC,AC在线用户列表显示用户名,认证方式单点登录。
6.2.2.3.3.Proxy
如果用户网络环境中已经部署代理服务器,并且内网用户使用代理服务器上网都有账号和密码,那么可以采用Proxy单点登录的方式,在内网用户通过代理服务器的验证之后就通过设备的认证,即终端用户连接到代理服务器即可上网,无需通过设备再次认证。Proxy单点登录分监听方式和执行指定登录控件两种。
启用Proxy单点登录:开启和关闭Proxy单点登录功能。
• 监听计算机登录Proxy的数据,获取登录信息:通过监听的方式获取用户登录proxy服务器的信息,如果用户登录代理服务器的数据不通过AC设备,需要设置监听镜像口。监听方式的Proxy单点登录配置请参见PROXY单点登录配置章节。
• 兼容Kerberos认证方式:若Proxy服务器为ISA服务器,并且ISA服务器采用“windows集成身份认证”方式,则需要勾选“兼容kerberos认证”方式以完成单点登录,并且该方式仅适用于登录数据包穿过AC设备的情况,不适用于镜像方式。
• Proxy代理服务器地址列表:填写代理服务器的IP地址。
通过Proxy执行指定的登录控件,获取登录信息:需要在代理服务器上配置一个登录脚本,用户登录Proxy服务器时会自动执行该脚本,发送登录数据包到AC设备,完成登录过程。
一般适用于用户使用Proxy代理上网的环境,并且每个用户均分配了代理服务器的账号。使用Proxy单点登录的认证方式时,当用户通过Proxy服务器的验证时,同时通过设备的认证。
使用监听模式
Proxy单点登录的监听模式,也是通过监听登录数据完成单点登录的。分为两种情况:
第一种情况:Proxy服务器在外网方向,如图所示。
数据流过程如下:
操作步骤
步骤1.设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。
步骤2.因为Proxy服务器在设备的外网方向,用户认证前需要放通访问Proxy服务器的权限,在[认证策略/认证后处理/高级选项/认证前使用此组权限]中设置一个认证前使用的组,并在权限策略中放通这个组访问Proxy服务器的权限。
步骤3.点击进入[PORTAL认证/单点登录/Proxy]页面进行配置。
步骤4.勾选[启用Proxy单点登录],勾选[监听计算机登录Proxy的数据,获取登录信息]。
步骤5.在[Proxy代理服务器地址列表]中输入Proxy服务器的IP和监听端口,如果有多个Proxy服务器,则一行一个IP和端口,此处的端口设置Proxy认证的端口即可,如下图所示。
步骤6.PC登录Proxy服务器,登录成功后即可上网。
:
1.若Proxy服务器为ISA服务器,并且ISA服务器采用“windows集成身份认证”方式,则需要勾选[兼容kerberos认证方式]以完成单点登录,并且该方式仅适用于登录数据包穿过AC设备的情况,不适用于镜像方式,同时旁路模式下也不支持该功能。
2.这种场景下如果[认证策略/认证后处理/高级选项]中勾选了[显示免责声明],则需要配置从DMZ口做重定向,否则将无法通过认证上网。
第二种情况:Proxy服务器在内网方向,如图所示。
数据流过程如下:
操作步骤
步骤1.设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,进入[接入管理/接入认证/PORTAL认证/认证策略/新增认证策略]进行配置。
步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/Proxy]页面进行配置。
步骤3.勾选启用Proxy单点登录,勾选监听计算机登录Proxy的数据,获取登录信息。
步骤4.在Proxy代理服务器地址列表中输入Proxy服务器的IP和监听端口,如果有多个Proxy服务器,则一行一个IP和端口,此处的端口设置Proxy认证的端口即可,如下图所示。
步骤5.如果登录数据不经过设备,需要通过设置镜像口,并将镜像口连接到转发登录数据的交换机镜像口上,点击<其他选项>,设置设备的镜像口。镜像口需要设置空闲网口,已经在使用的网口请不要设置成镜像网口。
步骤6.PC登录Proxy服务器,登录成功后即可上网。
:
当登录数据不经过AC,采用镜像数据的监听方式不支持[兼容Kerberos认证方式]。
使用ISA控件方式
ISA控件方式可用于ISA服务器在内网,登录ISA的数据不经过设备的情况下,通过在ISA服务器上注册扩展插件,将PC登录ISA成功后的信息通过扩展的插件通知设备,来完成用户在设备上的登录。
数据流的过程大致如下:
操作步骤
步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略,点击[接入管理/接入认证/PORTAL认证/认证策略],新增认证策略进行配置。
步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/Proxy]页面进行配置。
步骤3.勾选[启用Proxy单点登录],勾选[通过Proxy执行指定的登录控件,获取登录信息],表示使用ISA控件方式实现单点登录。在请输入共享密钥:输入共享密钥。
步骤4.在设备上下载ISA单点登录控件及示例,配置ISA服务器,注册插件并配置SangforAC.ini。
1. 插件MyAuthFilter.dll 放到ISA 安装目录下,如C:/Program Files/ISA server/
2. 运行 regsvr32 “C:/Program Files/ISA server/MyAuthFilter.dll” 注册插件
3. 将示例配置文件SangforAC.ini 放到C 盘根目录下。下面是配置文件的说明:
• ACIP=192.168.0.1 设备IP的地址。
• key=123 登录ISA的数据包加密密钥,要跟设备上设置的一致。
• cycle=30 每个IP 地址发送登录数据包的最小间隔(单位:秒),作用是避免每个IP 地址每发起一个新会话访问一个新网站,就发一次登录数据包,这样发送过于频繁。
• logpath=调试日志路径,为空表示关掉日志,填写路径表示开启日志,默认关掉,请在有需要的时候再打开。另外,请保证NETWORK SERVICE用户对该文件所在目录具有可读写权限。
• maxlogsize=1调试日志文件最大容量(单位:MB),日志文件到达上限值时,会自动清空。charset=UTF-8支持编码有UTF-8、UTF-16、GB2312、GB18030、BIG5。
4. 在ISA 插件面板确认“Sangfor ISA Auth Filter”插件已启用。
步骤5.PC登录Proxy服务器,登录成功后即可上网。
:
1.每次修改SangforAC.ini文件后需要重新注册插件。
2.ISA 插件无法实现当域用户注销或关闭电脑时,让域用户自动从设备上注销。但可以通过在设备控制台上设置超时时间,让用户从设备上自动注销掉。
3.AC和ISA服务器密钥必须一致,且此密钥不要跟其他方式单点登录密钥相同。
4.ISA服务器要放通自身连接AC设备UDP 1773 端口的数据。
5.如果Proxy服务器在AC WAN区域,则需要放通用户认证前访问Proxy服务器的权限。
6.放通权限在[认证策略/认证后处理/高级选项]中,勾选[认证前使用此组权限],并设置一个组。在这个用户组的上网权限设置中放通Proxy服务器的IP和端口。
6.2.2.3.4.POP3
如果用户网络环境中已经部署POP3邮件服务器,并且内网用户登录邮件服务器都有各自的账号和密码,那么可以采用POP3单点登录的方式,内网用户通过POP3服务器的验证之后就通过设备的认证上网。
• 启用POP3单点登录:开启和关闭POP3单点登录功能。
• 邮件服务器地址列表:填写邮件服务器的IP地址。
用户网络中有邮件服务器,用户信息存放在POP3服务器上,在上网之前,用户使用Outlook、Foxmail之类的客户端登录POP3服务器收发一次邮件,设备通过监听模式监听到用户登录的信息,则设备会自动识别并认证通过,此时用户可以直接上网,而不需要再次输入用户名密码。同时适用POP3服务器在内网和外网情况。下面分两种情况讲述POP3单点登录的设置。
第一种情况:POP3服务器在内网
数据流过程如下:
操作步骤
步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略],点击新增认证策略进行配置。
步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/POP3]页面进行配置。
步骤3.勾选[启用POP3单点登录]。
步骤4.在[邮件服务器地址列表]中输入POP3服务器的IP和监听端口,如果有多个POP3服务器,则一行一个IP和端口,此处的端口设置POP3认证的端口(默认是TCP110),如下图所示。
步骤5.此例中登录数据不经过设备,需要通过设置镜像口,并将镜像口连接到转发登录数据的交换机镜像口上,点击<其它选项>,设置设备的镜像口。镜像口需要设置空闲网口,已经在使用的网口请不要设置成镜像网口。
步骤6.PC通过邮件客户端接收一次邮件,登录POP3成功后即可上网。
第二种情况:POP3服务器在外网:
数据流过程如下:
操作步骤
步骤1.根据需要使用单点登录用户的IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。
步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/POP3]页面进行配置。
步骤3.勾选[启用POP3单点登录],在[邮件服务器地址列表]中输入POP3服务器的IP和监听端口,如果有多个POP3服务器,则一行一个IP和端口,此处的端口设置POP3认证的端口(默认是TCP110),如下图所示。
步骤4.PC通过邮件客户端收发一次邮件,登录POP3成功后即可上网。
:
1.如果POP3服务器在AC WAN区域,则需要放通用户认证前访问POP3服务器的权限。
2.放通权限在[认证策略/认证后处理/高级选项],勾选[认证前使用此组权限],设置一个组。
3.在这个用户组的上网权限设置中放通POP3服务器的IP和端口。
6.2.2.3.5.Web
如果用户网络环境中已经部署WEB服务器,并且内网用户登录WEB服务器都有各自的账号和密码,那么可以采用WEB单点登录的方式,在内网用户通过WEB服务器的验证之后就通过设备的认证上网。配置界面如下图所示。
启用Web单点登录:开启和关闭Web单点登录的开关。
Web认证服务器:设置Web服务器的IP地址。
类型:可以选择Cookie值、POST提交的表单、URL请求中的参数,三种方式适用于不同的web认证服务器。
• Cookie值:用户认证成功后,web服务器返回一个Cookie值可以通过这个Cookie值判断是否成功登录。
• Cookie名:填写认证成功后,服务器返回的Cookie名。
• POST提交的表单:Web认证时通过POST方式提交用户名时,需要使用这种类型。
用户表单名称:填写Web认证时,向服务器提交用户名表单名称,支持正则表达式。
支持启用/禁用认证关键字;禁用则表示认证时无需校验关键字。
认证成功关键字:用来识别Web登录是否成功的关键字。返回结果中,如果包含了设定的关键字,则判断为Web单点登录成功。
认证失败关键字:回结果中,如果包含设定的关键字,则判断为Web单点登录失败。
URL请求中的参数:当Web认证是通过http get请求提交认证信息时引用。
URL参数名:填写URL请求中认证字段对应的参数名。
指定表单编码类型:如果出现乱码,则可尝试指定编码类型,否则无需设定,设备会自动识别选用的编码类型。
场景案例
Web单点登录一般适用于客户有自己的Web服务器,且账号信息均保存在Web服务器上,客户想要实现内网用户上网前通过自己Web服务器的认证同时也通过AC设备的认证。Web服务器在内外网都支持。
AC支持从POST值、Cookie值和URL参数中提取登录Web服务器的用户名,具体选择哪种方式取决于用户登录Web服务器时提交用户名所用的方式。
当用户使用POST提交用户名登录Web服务器时,Web服务器会依据登录成功或者失败的结果返回对应的值,所以可以根据Web服务器的返回值(关键字)来确定用户是否登录成功,从而决定该用户是否在AC上线。
通过Cookie和URL这两种方式提交用户名时,Web服务器不会有回应,所以无法判断是否登录成功,只能实现抓取到用户名就立即上线。
本次示例均为POST的方式提交用户名。
场景一:Web服务器在AC设备的LAN口区域,且用户访问Web服务器的流量不会经过AC设备。
操作步骤
步骤1.在[接入管理/接入认证/PORTAL认证/单点登录]界面启用Web单点登录。
在[Web认证服务器]栏填写Web服务器的域名或者IP地址。
类型:选择“POST提交的表单”。
用户表单名称:是用户登录Web服务器时提交的用户名所对应的表单。
启用认证关键字:是为了判断该用户提交用户名和密码后是否成功登录了Web服务器,从而决定该用户是否在AC上线。
表单名和认证关键字均需要依据实际情况填写,如果不清楚可通过抓包获取该信息。
步骤2.确认表单名和认证关键字。使用抓包工具抓取用户登录Web服务器的交互过程从而确认表单名和关键。如下图所示:
通过抓包工具抓取用户登录Web服务器的数据包,在POST表单里可以看到提交用户名的表单名为:pwuser
通过比对登录失败和登录成功的数据包,能够发现登录成功的POST返回值里面携带了Location,获取认证失败关键词同理。
登录成功返回值
登录失败返回值
步骤3.在[单点登录/其他选项]界面勾选[启用镜像网口]并选择对应的镜像网口名,然后点击<提交>保存配置。在本场景下用户登录的Web服务器在内网且流量不会经过AC,所以需要通过镜像流量来监听用户登录Web服务器的数据包从而获取用户名等信息。
步骤4. 在[接入管理/接入认证/PORTAL认证]新增认证策略。[认证方式]选取单点登录,在[认证范围]根据需求配置进行单点登录的认证范围。
步骤5.用户成功登录Web服务器,同时在 AC上线获取对应的外网访问权限。
场景二:Web服务器在AC设备的WAN口区域,当用户访问Web服务器的流量经过AC设备。
步骤1.配置用户认证前网络访问权限。因为Web服务器在AC的WAN口区域,所以用户在完成认证上线前需要能够访问Web服务器,否则无法完成认证。
步骤2. 通过配置[认证前使用此组权限]的功能可以使用户在未认证前能够访问有限的网络资源。目前只有密码认证(包括单点登录失败后匹配密码认证)的认证策略支持设置“认证前使用此组权限”的功能。
步骤3.在[接入管理/本地组用户]点击<新增>添加一个用户组,以该组的身份配置用户认证前的需要访问的网络权限。当用户认证失败就会匹配此用户组的访问访问权限。
步骤4.自定义URL或者自定义应用。在某些场景下需要开放企业内部私有的应用或者URL,此时则需要在AC上自定义企业内部的一些应用或者URL。此处以自定义应用为例:在[系统管理/对象定义/自定义应用]界面点击<新增>按钮,配置应用相关参数。
步骤5.在[行为管理/访问权限策略]界面点击<新增>按钮,添加[访问权限策略]用于配置认证前的网络访问权限。
步骤6.勾选[应用控制],并在应用控制栏内先添加一条拒绝所以的策略,然后再添加一条放通策略。该放通策略用于放通认证前需要访问的应用,比如步骤2自定义的内网应用。
在[适用对象]页面勾选认证前的组对象,最后点击<提交>即可。
步骤7.配置认证策略。在[接入管理/接入认证/PORTAL认证]界面点击<新增>按钮配置密码认证策略,并根据实际需求配置认证策略适用范围。如“10.68.10.3/24”。
步骤8.在[认证方式]栏选择密码认证。(如果认证方式为“单点登录”但配置了失败后匹配密码认证,也支持设置“认证前使用此组权限”的功能)
、
步骤9.启用[认证前适用此组权限]。在认证后处理栏点击<高级选项>,然后勾选[认证前适用此组权限]并配置好相应的组名。配置如下图所示。
步骤10.在[接入管理/接入认证/PORTAL认证/单点登录]界面启用Web单点登录。
• Web认证服务器:填写Web服务器的域名或者IP地址;
• 类型:选择“POST提交的表单”。
• 用户表单名称:是用户登录Web服务器时提交的用户名所对应的表单。
• 启用认证关键字:是为了判断该用户提交用户名和密码后是否成功登录了Web服务器,从而决定该用户是否在AC上线。
• 表单名和认证关键字均需要依据实际情况填写,也可通过抓包获取该信息。
步骤11.确认表单名和认证关键字。使用抓包工具抓取用户登录Web服务器的交互过程从而确认表单名和关键。
通过抓包工具抓取用户登录Web服务器的数据包,在POST表单里可以看到提交用户名的表单名为:pwuser。
通过比对登录失败和登录成功的数据包,能够发现登录成功的POST返回值里携带了Location,获取认证失败关键词同理。登录成功返回值和登录失败返回值请参靠案例一的图。
步骤12.在[接入管理/接入认证/PORTAL认证]界面为需要进行单点登录的用户配置认证策略。[认证方式]选取单点登录,在[认证范围]根据需求配置进行单点登录的认证范围。
:
需要配置“单点登录的用户失败后匹配密码认证”,否则[认证前使用此组权限]的功能不会生效,导致无法访问Web服务器。
步骤13.用户成功登录Web服务器,同时在 AC上线获取对应的外网访问权限。
:
截止到本文发布为止, Web单点登录暂时不支持https的Web应用登录。
6.2.2.3.6.第三方设备
某些网络环境中已经存在其他的第三方认证系统作为用户认证和组织结构的管理,此时设备能够跟这些第三方的认证系统结合使用,做单点登录。目前设备支持的其他第三方厂商的认证系统有锐捷Sam系统、HTTP单点登录接口、H3C CAMS系统、城市热点、H3C IMC系统和华为Agile Controller。
锐捷Sam系统结合认证
锐捷Sam系统是一套宽带上网认证计费管理系统,常用于高校及二级运营商用户,用户上网前必须通过锐捷Sam系统的身份认证,用户通过Sam系统的认证/注销后,自动在AC上完成认证/注销。如图所示。
数据流的过程如下:
操作步骤
步骤1.设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[接入管理/接入认证/PORTAL认证/认证策略]新增单点登录认证方式的认证策略。
步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/第三方设备]页面进行配置。
步骤3.启用锐捷Sam系统并设置共享密钥。
步骤4.在设备上下载锐捷Sam单点登录程序,在Sam系统的数据库服务器上配置,使得pc登录到Sam系统时,数据库服务器向AC发送用户认证信息。
以锐捷Sam系统数据库为Sql Server2005为例,说明锐捷Sam系统数据库服务器需要做的设置:
步骤5.用户通过锐捷SAM认证的同时通过设备的认证上网。
支持HTTP单点登录的接口结合认证
设备提供的HTTP 单点登录接口,可以向任何第三方认证设备,提供基于HTTP(S)协议,GET 方法的单点登录/注销功能。
数据流的过程如下:
操作步骤
步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。
步骤2.在[接入管理/接入认证/PORTAL认证/单点登录/第三方设备]进行单点登录配置。
步骤3.勾选[启用支持HTTP单点登录的接口],设置允许使用该接口的设备IP。
步骤4.点击下载示例说明,其中包含了Logon.js和Logon.html,修改Logon.html,并配置提供认证的服务器。
步骤5.PC通过http/https服务器的认证/注销后自动在设备上通过认证/注销。
:
1.http单点登录接口方式,适用于结合城市热点计费管理系统,同时也支持和其他web认证系统结合,需要web服务器做二次开发以配合完成单点登录。
2.不需要此功能时,注意不要勾选“启用支持Http单点登录的接口”。
H3C CAMS系统结合认证
H3C CAMS系统同锐捷sam系统,也是一套宽带上网认证计费管理系统,常用于高校及二级运营商用户,AC设备根据H3C CAMS提供的接口与之完成对接,定时从CAMS系统中获取用户信息,并更新自己的在线用户列表/用户列表,以完成单点登录。
数据流的过程如下:
操作步骤
步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。
步骤2.设置H3C CAMS 服务器,点击进入[接入管理/接入认证/PORTAL认证/认证服务器],进行设置(参见第三方设备单点登录)。
步骤3.进入[接入管理/接入认证/PORTAL认证/单点登录/第三方设备]页面进行配置。
步骤4.勾选[H3C CAMS系统],选择在外部认证服务器中设置的CAMS服务器。
步骤5.用户通过H3C CAMS系统的认证后,即可通过设备上网。
:
1.H3C CAMS支持用户自动同步,具体请参见[用户管理/用户自动同步]。
2.在某些情况下,用户通过认证服务器认证之后在一个时间间隔后(取决于[获取认证用户的时间间隔]设置)才会通过AC的认证,建议认证策略设置单点登录失败时选择[不需要认证]的认证方式。
H3C IMC结合认证
客户环境中已经有了H3C IMC认证服务器,需要实现终端通过H3C IMC认证后不需要再进行AC入网认证,同时在AC上能看到终端以H3C IMC上用户名上线。
数据流的过程如下:
操作步骤
步骤1.配置单点登录。在AC设备[接入管理/接入认证/PORTAL认证/单点登录/第三方设备]选择H3C IMC 并填写H3C IMC服务器地址,点击<提交>,如下图所示。
步骤2.配置认证策略。根据内网的需求设置认证范围,认证方式选择单点认证,单点登录失败选项。可以根据客户需求设置,如下图所示。
步骤3.在H3C IMC系统上配置[用户上下线通知参数配置],如下图所示。(注意:不同版本的IMC服务器配置界面可能有所不同。)
步骤4.服务器IP地址配置为开启了单点登录的AC设备的IP地址,服务器端口为:61442。共享密钥暂可忽略不计,无影响。
城市热点结合认证
城市热点是一套认证计费管理系统,广泛应用于教育、电信、广电、政府等各个领域,不管城市热点使用的B/S认证还是C/S认证,AC设备都能够与之结合进行用户认证。用户上网前必须通过城市热点系统的身份认证,用户通过城市热点系统的认证/注销后,自动在AC上完成认证/注销。
数据流的过程如下:
操作步骤
步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。
步骤2.在[接入管理/接入认证/PORTAL认证/单点登录/第三方设备] 勾选<城市热点>并设置设备IP地址。
步骤3.配置城市热点系统。有关城市热点的配置请联系相应厂商,此处不再举例。
华为Agile Controller结合认证
华为Agile Controller是一个基于用户与应用的网络资源自动化控制系统,支持准入控制、访客管理、业务随行、业务编排,作为园区网络的集中化控制核心,全局控制园区网络的用户、业务与安全等策略。企业已经部署Agile Controller,并启用准入控制功能(MAC、802.1x、Portal、SACG),实现终端用户通过Agile Controller认证后不需要再进行AC入网认证,同时在AC上能看到终端以Agile Controller上的用户名上线。
数据流的过程如下:
操作步骤
步骤1.华为Agile Controller已经完成部署,并启用准入控制功能(MAC、802.1x、Portal、SACG)。
步骤2.在华为Agile Controller设备中进入[系统/服务器配置/上网行为管理设备配置],点击<增加>新建上网行为管理设备,设置联动深信服AC相关参数,配置完成后点击<确定>。
IP地址:深信服AC设备的IP地址。
设备名称:深信服AC设备的名称,用于标识设备,方便管理。
端口:深信服AC设备使用该端口与 Agile Controller 进行联动, 默认端口为8001, 需要与深信服AC 配置的端口保持一致。
接入密码:与深信服AC设备侧配置的共享密钥保持一致。
加密算法:设置Agile Controller与深信服AC设备之间通信的加密算法。AC 目前只支持AES128加密算法。
终端IPv4地址列表:输入需要单点登录到上网行为管理的终端用户IPv4地址或网段。AgileController只会发送属于该列表的用户登录/注销消息给深信服AC。一个 IP 地址或IP地址段占一行。IP地址段的格式为“IP1-IP2”或“IP/掩码长度”。IP 地址段遵循少而精的原则,因为包含的IP 地址数量越多,AC设备的运行效率会降低。例如,网段192.168.10.1/24中只有192.168.10.1-192.168.10.10 十台终端主机,则不要配置192.168.10.1/24,而配置 192.168.10.1-192.168.10.10。
终端 IPv6 地址列表:启用 IPv6 后,输入需要单点登录到上网行为管理的终端用户 IPv6 地址或网段。Agile Controller 只会发送属于该列表的用户登录/注销消息给深信服AC。一个IP地址或IP地址段占一行。IP 地址段的格式为“IP/掩码长度”。IP 地址段遵循少而精的原则,因为包含的IP地址数量越多,AC设备的运行效率会降低。
步骤3.在深信服AC设备导航栏进入[接入管理/接入认证/PORTAL/单点登录],选择“第三方设备”,勾选“华为Agile Controller”,配置相关参数后点击<提交>。
设备地址:配置华为Agile Controller设备地址。
共享密钥:与华为Agile Controller设备侧配置的接入密码保持一致。
对接端口:深信服AC设备使用该端口与华为Agile Controller 进行联动,默认端口为514,需要与华为Agile Controller配置的端口保持一致。
步骤4.配置单点登录认证策略。在[接入管理/接入认证/PORTAL/认证策略]新建认证策略,在“认证范围”填入需要单点登录的用户IP地址或网段,在“认证方式”选择单点登录,已开启单点登录方式显示“Agile Controller”,“认证后处理”选择单点登录用户上线的用户组,最后点击<提交>。
步骤5.用户在华为Agile Controller通过认证后发送上线报文到深信服AC,用户信息同步在深信服AC上线。
6.2.2.3.7.深信服设备
AC设备支持当前在线的用户名和IP地址同步给深信服的其他设备,实现用户同步。
深信服设备之间的用户认证信息共享,包括:本地密码认证,外部密码认证,手机短信验证,单点登录,Dkey认证信息。
AC设备能够和第二台AC/SG设备结合做认证,用户网络环境中部署了两台深信服设备,其中一台设备作认证,另外一台设备作审计控制,只要用户通过了认证设备的认证后,审计控制设备就能够同步认证设备的用户信息,对用户进行审计控制。
勾选[接收其他深信服设备转发的认证信息]:则设备接收其他设备发来的认证信息,并自动添加认证用户,需要设置和转发设备一致的共享密钥。
勾选转发认证信息到其他深信服设备:将本设备的认证信息发给其他设备。
转发策略:用于设置接收认证信息设备策略。
对源IP的控制:%转发IP% ,表示转发范围是全部,必须要有两个% 分隔。
书写格式:适用范围%目标设备%策略描述。
适用范围:支持IP和控制器名称,多条件用分号隔开。
目标设备:支持IP或IP:端口。多条件用分号隔开。
共享密钥:于设置发送认证信息时加密的密钥,接收设备和发送设备需要保持一致。
示例如下:
使用场景
AC设备能够和第二台AC/SG设备结合做认证,用户网络环境中部署了两台深信服设备,其中一台设备作认证,另外一台设备作审计控制,只要用户通过了认证设备的认证后,审计控制设备就能够同步认证设备的用户信息,对用户进行审计控制,如图所示(设备A作认证,设备B作审计控制)。
数据流的过程如下:
操作步骤
步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。
步骤2.在深信服设备B[接入管理/接入认证/PORTAL认证/单点登录/深信服设备] 勾选接收其他深信服设备的认证信息并设置共享密钥。
步骤3.对于网桥部署的深信服设备A,只需要启用[转发认证信息到其他深信服设备]并设置相应的设备IP和共享密钥。
这样深信服设备A就可以将认证信息发送给设备B,旁路部署的设备B可以接收深信服设备A转发过来的认证信息,保持和深信服设备A的认证信息相同。如果B是旁路部署的深信服上网优化设备,用户访问某些数据必须通过代理才能访问,代理服务器是使用深信服上网优化设备B有做代理设置和用户认证,这样用户只需要通过设备A的认证,就可以自动通过设备B的认证,使用代理方式来访问某些应用了,因为此时A和B的在线用户信息是相同的。
6.2.2.3.8.数据库认证
当网络环境中已有一套数据库系统存储并管理用户认证信息、组织结构的情况下,深信服AC设备支持配置SQL查询语句,查询该数据库系统中的用户列表和已认证用户,并同步到设备的组织结构和在线用户列表中,从而支持和数据库系统结合的单点登录,实现用户通过数据库认证后,即通过AC设备的用户认证,同时用户从数据库认证系统中注销,也自动完成在设备上的注销。目前支持的数据库类型有Oracle,mssql server,db2和mysql几种。
数据流的过程如下:
操作步骤
步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。
步骤2.设置数据库服务器,点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置(参见数据库认证章节)。
在[接入管理/接入认证/PORTAL认证/单点登录/数据库认证]页面勾选[启用数据库认证单点登录],选择数据库服务器并设置SQL查询语句。
数据库服务器:选择步骤1设置好的数据库服务器。
获取已认证用户列表的sql语句:设置可以查询到在线用户的select语句,设备通过该select语句查询数据库中的用户信息表来获取在线用户。
:
sql语句返回的结果集不能超过2列,第一列为用户名,第二列为IP地址,能查询的记录数不能超过200000条。
获取已认证用户列表的时间间隔:默认值是30s,指用户通过认证服务器认证到通过AC认证之间的最大时间间隔。
点击<测试有效性>列出可以获取的信息。
:
1.在线用户列表只支持同步“用户名”和“IP”,不支持同步其他用户属性,如用户是否禁用、是否过期等,默认同步过来的用户是启用和永不过期的。
2.数据库认证支持用户自动同步,具体请参见[用户管理/用户自动同步]。
3.在某些情况下,用户通过认证服务器认证之后在一个时间间隔后(取决于[获取已认证用户列表的时间间隔]设置)才会通过AC的认证,建议认证策略设置单点登录失败时选择[不需要认证]的认证方式。
6.2.2.3.9.其他选项
其他选项用于登录服务器的数据不经过网关,则需要设定监听镜像网口,监听登录的数据,勾选一个空闲接口进行监听。这个监听口在域单点登录监听模式、Radius单点登录、POP3单点登录以及Web单点登录等方式时均可以设置。
此处的监听口还可以用于设备旁路部署模式下,监听镜像上网数据。
认证页面定制包括:认证页面和免责声明页面。
认证页面定制是在认证上网前,网页重定向到认证页面,该页面可自定义编辑定制,免责声明页面也能自定义定制。
认证页面
内置认证页面模板有:认证页面(无广告无免责声明)、认证页面(无广告含免责声明)、认证页面(含广告含免责声明)、认证页面(全屏广告)、定制认证页面(无广告含免责声明),内置模板不可以删除。
免责声明页面
内置认证声明页面模板有:免责声明页面(无广告)、免责声明页面(含广告)、免责声明页面(全屏广告),内置模块不可以删除。
管理员可上传定制页面,点击<上传页面>,用于上传认证页面模板。
权限设定:开启这个选项后,除了admin管理员,其他管理员都只能编辑自己有权限的页面。
授权给:在开启了独立权限控制后,用于给非admin管理员,授权可以编辑的页面。
编辑认证页面操作举例:
步骤1.点击任意一个页面模板名称,出现如下编辑页面。(如认证页面含广告免责声明)为例。
步骤2.管理员编辑选项中的页面标题、LOGO、背景颜色、页面文字、广告图片轮播、免责声明在页面上的对应位置。
步骤3.点击<背景颜色>在左上角选择颜色,编辑完毕后点击<确定>,保存配置。
步骤4.点击<页面文字>,可编辑如下内容。
步骤5.广告图片轮播:可以上传多张图片,在认证页面轮播,并可以分别指定各张图片链接的网址。
步骤6.图片链接的网址会自动加到全局排除列表中,以保证用户在未通过认证前能访问。
步骤7.在[免责声明]处,点击<编辑>:在此处编辑免责声明,并可以设置:默认是否选中“我已经同意并阅读免责声明条款”。
步骤8.编辑完成后,点击<提交>,完成页面编辑。
:
内置的页面模板因为页面中包含的内容不同,编辑项有所区别,以上配置以含广告含免责声明的页面编辑为例,其他页面模板配置以实际页面为准。
建议使用Chrome浏览器访问!
