更新时间:2023-09-22
内网的所有终端上网前,都必须经过用户认证,以识别上网计算机的身份,减低内网的安全风险。认证策略决定了某个IP/网段/MAC地址的计算机上网的认证方式。通过认证策略设置内网用户的认证范围、认证方式以及认证后处理。
6.2.1.1.1.认证策略配置
认证策略是从上往下逐条匹配的,可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。
管理员可以对所有的认证策略进行删除操作、批量编辑、启用和禁用、导入、上移/下移等操作,也能进行过滤选择。
表10认证策略界面说明
操作 |
功能说明 |
新增策略 |
认证策略列表页面,可点击新增一条新的认证策略。 |
删除策略 |
认证策略列表页面,可点击删除相应的策略。 |
编辑/批量编辑 |
在认证策略列表页面,勾选需要编辑的认证策略,点击认证策略名称,设备会弹出认证策略的编辑页面,修改选中策略的相关信息。 批量编辑:勾选多个自定义的认证策略,可编辑策略的适用对象,其他信息不可以修改。 |
导入 |
支持认证策略的导入,点击导入,选中需要导入的认证策略文件,即可进行导入。 |
启用/禁用 |
选中已禁用的策略,点击启用,该策略即可生效,选中已启用的策略,点击禁用,该策略会失效。 |
上移/下移/移动到 |
由于策略是自上而下进行匹配,所以可以选中相应的策略,点击上移或者下移,或自定义移动,来进行优先匹配策略。 |
搜索 |
可通过IP地址、VLAN信息、MAC地址搜索匹配的认证策略。 |
配置思路
- 管理员确定需要认证的范围。
- 选择认证方式和认证后处理策略之后完成认证,方便后续策略下发。
如下是认证策略配置流程图。
第一步:配置认证范围:
进入[接入管理/接入认证/PORTAL认证/认证策略]页面,点击<新增>,添加一条认证策略,填写策略名称和描述。
选择设备:选择该条认证策略生效的设备范围,在AC启用认证中心时使用,可选择所有或根据需求选择,默认选择所有(未启用认证中心功能时,只能选择所有)。
适用范围:设置匹配认证策略的终端和用户范围,可设置IP、IP段、MAC地址或VLAN ID,匹配到这些认证源参数的用户就使用这条策略中所设置的认证方式进行认证。
第二步:配置认证方式:
设备的认证方式如下。
表11认证方式使用说明
认证方式 |
使用说明 |
不需要认证 |
匹配了此种认证方式的情况下,设备会根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户,不需要用户手动填充认证信息。不需要认证的识别方式,优点是用户上网前浏览器中不会弹出认证框,适用于用户上网无感知场景。 |
密码认证 |
密码认证包括本地密码认证、外部服务器认证、短信认证、微信认证、二维码认证和Oauth认证等(可同时启用多个),适用于用户需要输入用户名密码进行验证通过才能入网的场景。其中外部服务器认证为接入终端将认证信息发给AC设备,AC设备转发给第三方服务器设备,根据返回的结果来决定是否通过认证。同时,当密码认证使用本地密码认证、LDAP、Radius、POP3、短信认证、微信认证、短信快捷、微信快捷认证时,支持动态码双因素认证。 |
单点登录 |
当用户有自己的第三方认证服务器对内网用户进行认证时,单点登录可以实现在内网用户通过第三方认证服务器认证的同时通过AC设备的认证,并且获取到相关的权限上网。设备上使用和第三方认证服务器同一套用户名密码。目前设备支持的单点登录类型包括:AD域单点登录、Radius单点登录、Proxy单点登录、POP3单点登录、Web单点登录、数据库单点登录、深信服设备以及其他第三方设备单点登录(如锐捷Sam系统、HTTP单点登录接口、H3C CAMS系统、城市热点、H3C IMC系统和华为Agile Controller)。 |
不允许认证 (禁止上网) |
适用于禁止用户上网的场景。认证方式选择“不允许认证”时,符合IP、MAC范围的用户是不能通过AC认证上线的,此时包括单点登录用户、Dkey用户都无法认证上线, |
Dkey认证 |
Dkey认证的优先级最高,即用户已经使用其他认证方式在AC设备上线,该用户再使用Dkey认证,则Dkey认证会顶替其他认证方式,最终以Dkey用户的身份认证上线,适用于key认证和存在特权用户的场景。 |
- 不需要认证
设备会根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户。可选[以IP地址作为用户名]、[以MAC地址作为用户名]、[以计算机名作为用户名]。
- 密码认证
密码认证包括本地密码认证、外部服务器认证、短信认证、微信认证、二维码认证和Oauth认证(可同时启用多种供用户选择)。同时,当密码认证使用本地密码认证、LDAP、Radius、POP3、短信认证、微信认证、短信快捷、微信快捷认证时,支持动态码双因素认证。
涉及到具体认证服务器配置可看认证服务器章节。
- 单点登录
当企业已有自己的第三方认证服务器对内网用户进行认证时,单点登录可以实现内网用户通过第三方认证服务器认证的同时通过AC设备的认证,并且获取到相关的权限来上网。设备和第三方认证服务器共用同一套用户名密码。
目前设备支持的单点登录类型包括:AD域单点登录、Radius单点登录、Proxy单点登录、POP3单点登录、Web单点登录、数据库单点登录、深信服设备以及其他第三方设备单点登录(如锐捷Sam系统、HTTP单点登录接口、H3C CAMS系统、城市热点、H3C IMC系统和华为Agile Controller)。涉及到具体单点登录服务器配置可看认证服务器章节。
- 不允许认证:
认证方式选择“不允许认证”时,符合IP、MAC范围的用户是不能通过设备认证上线的,也就是禁止上网,此时包括单点登录用户、Dkey用户都无法认证上线。
- Dkey认证:
Dkey认证的优先级最高,即用户已经使用其他认证方式在AC设备上线,该用户再使用Dkey认证,则Dkey认证会顶替其他认证方式,最终以Dkey用户的身份认证上线。需要注意的一点是:如果某些IP、MAC范围在[认证策略]中设置了不允许认证,则Dkey用户使用这些IP、MAC上网也无法认证通过。Dkey认证用户只需要在[用户管理/高级选项/Dkey用户]中直接添加用户即可,不需要单独针对Dkey用户设置一条[认证策略]。需要使用Dkey,具体配置可以参考Dkey用户。
第三步:配置认证后处理:
认证后处理是用于设置用户认证通过后,可选非本地/域用户使用该组上线、自动录入到用户到本地组织结构、自动录入绑定关系。
• 非本地/域用户使用该组上线:当非AC本地用户、非AD域用户认证后,用户使用哪个组权限上线,关联该组的上网策略。
• 自动录入用户到本地组织结构:当非AC本地用户、非AD域用户认证后,用户是否自动添加到AC的本地组织结构。如果勾选的话则匹配[非本地/域用户使用该组上线]中选择的组,将认证的用户加到对应的组中。
• 如果选择自动录入到本地组织结构,可以选择[允许多人同时使用]或[仅允许一人使用]。
• 自动录入绑定关系:用于设置用户认证后(包括本地用户、域用户和新用户),是否自动录入绑定认证后IP和MAC对应关系,是否自动录入绑定认证后的用户名和IP/MAC对应关系。具体可参考用户绑定管理章节。
• 用户使用新终端登录时需审批:当用户换了新的终端,可勾选需要审批。
高级选项:
在[高级选项]可以设置认证前使用此组权限、启用用户登录限制、免认证用户上线前弹出提示页面、此策略认证范围内不允许认证相关的操作。
• 认证前使用此组权限:认证放通或拒绝某些应用/网址,需要先配置上网策略,然后再关联此组。
• 启用用户登录限制:用户限制加强,定义认证策略黑白名单组。
• 免认证用户上线前弹出提示页面:勾选后会对免认证用户进行弹窗提醒,告知用户当前是免认证,或者是自定义的提醒内容。
• 此策略认证范围内不允许免认证:如果在其他策略配置免认证,勾选此功能项后该策略认证范围内的所有终端用户免认证都不生效,排错时候注意检查。
6.2.1.1.2.常用认证案例
不需要认证
配置案例1:某企业要求内网172.16.221.0/24网段的用户上网认证的过程是透明的,不会感知AC的存在,用IP标识终端身份,使用不需要认证的方式上线,上线后用户不添加到组织结构,使用“/内部组/”的权限上网。
操作步骤
步骤1.在[接入管理/接入认证/PORTAL认证/认证策略],点击新增认证策略进行配置,设置认证范围:172.16.221.0/24。
步骤2.设置认证方式:选择不需要认证,用户名:选择以IP地址作为用户名。
步骤3.设置认证后处理:该案例要求认证成功的用户不用添加的组织结构,则不勾选[自动录入用户到本地组织结构],认证成功后使用“/内部组/”的权限上网,则在[非本地/域用户使用该组上线]中选择“/内部组/”。
步骤4.用户以IP为用户名上线,在线用户列表可以查看用户信息。
不需要认证2
某企业要求内网10.10.10.0/24网段的用户使用不需要认证的方式上网,用户认证后以IP为用户名自动添加到组织结构,添加到“/内部组/”,由于内网IP是固定分配的,客户想要通过在AC上自动绑定IP、MAC的关系,确保内网用户上网不能随便修改IP地址,一旦用户随便修改了IP,则在AC上认证不通过,无法上网。内网到AC设备有跨三层交换机。
操作步骤
步骤1.参考配置案例1的步骤1和步骤2。
步骤2.认证后处理:该案例要求认证成功的用户添加到“/内部组/”。
步骤3.[非本地/域用户使用该组上线]:选择“/内部组/”,勾选[自动录入用户到本地组织结构],勾选[自动录入IP和MAC的绑定关系]。设置完点击<提交>。
步骤4.因为内网到AC是跨三层的环境,AC要启用SNMP功能,通过SNMP协议获取交换机上的用户真实MAC,这种场景需要内网交换机支持SNMP功能。在[接入认证/联动对接设置/跨三层取MAC]页面,配置三层交换机的IP、MAC及SNMP信息,详细配置参考跨三层取MAC章节。
步骤5.用户上线时,是以IP用户名认证上线,如下所示。
步骤6.用户认证时的IP/MAC绑定关系自动录入,可以在[IP/MAC绑定]页面进行查询。
本地密码认证
某企业要求对内网172.16.1.0/24网段的用户使用本地密码认证方式,认证成功后自动录入本地用户,并且将用户名和IP自动绑定。
操作步骤
步骤1.首先在[接入管理/本地组/用户]添加用户,自定义登录名、密码。更多添加用户配置可参考新增用户章节。
步骤2.在[接入认证/PORTAL认证/认证策略]页面,点击<新增>,添加一条认证策略,勾选启用,用于启用这条认证策略。
步骤3.点击<新增>,添加一条认证策略,勾选启用,用于启用这条认证策略。名称:设置认证策略的名称,描述:设置认证策略的描述信息。
步骤4.设置认证范围:172.16.1.0/24。
步骤4.设置认证方式,选择密码认证,认证服务器选择默认的本地用户。
步骤5.点击<下一步>,配置认证后处理选中允许多人同时使用,自动录入绑定关系选中限制登录和绑定IP,有效期选中永不过期。
步骤6.认证策略设置完毕后点击<提交>,完成并保存设置。
步骤7.效果展示:用172.16.1.35这台终端去访问互联网。
步骤8.填写用户名密码后认证成功,在设备上查看用户上线,设备上查看用户名和IP的绑定信息。
双因素认证
某企业要求对内网10.1.1.0/24网段的用户访问互联网需要通过双因素认证,首次认证采用本地密码认证,二次认证采用动态码认证。
操作步骤
步骤1.首先在[接入管理/本地组/用户]添加用户,自定义登录名、密码。更多添加用户配置可参考新增用户章节。
步骤2.在[接入认证/PORTAL认证/认证策略]页面,点击<新增>添加认证策略,勾选<启用>,用于启用这条认证策略。填入策略名称和描述,设置认证范围:172.16.1.0/24。
步骤3.设置认证方式,选择密码认证,认证服务器选择默认的本地用户。勾选[双因素认证],在动态码认证中选择[密码验证],并选择“本地用户”,可获取密钥的次数选择“不限次数”(密钥的校验方式如选择[短信认证],需新增短信服务器)。
步骤4.设置认证后处理,点击<提交>完成认证策略配置
步骤5.在[接入管理/用户管理/用户绑定管理/动态令牌绑定]的高级配置中,可配置动态令牌绑定有效期(当用户动态令牌异常时,管理员可点击<重新生成>,将新的动态令牌二维码发送给用户,用于重新绑定)。
步骤6.用户打开浏览器访问互联网,重定向到认证页面,进行首次认证,输入用户名/密码,点击<登录>。
步骤7.输入用户名/密码后,跳转到二次认证页面,用户未绑定动态码时,需要先进行动态码绑定,点击<如何获取动态码?>,可查看APP下载、绑定账号、获取动态码指引。
步骤8.APP可选择Microsoft/Google Authenticator任一APP,根据指引中的下载二维码或从手机应用商城中直接下载、安装。点击<获取代码>,此时需要再次进行身份验证,可选择密码认证或短信认证,认证通过后显示生成的代码二维码。
步骤9.使用已安装的Microsoft/Google Authenticator任一APP扫描代码二维码,在APP中添加账号。
步骤10.返回二次认证页面,打开Microsoft/Google Authenticator,输入动态码。
步骤11.用户完成认证。
步骤12.在AC设备中可以看到用户在线信息。
步骤13.在AC设备中可查看动态令牌已绑定。
短信快捷登录
短信快捷登录是密码认证的一种,结合短信将手机号和使用密码认证的用户账号绑定,通过获取验证码来完成认证,不需要记住密码。手机快捷登录只支持本地用户,不支持域用户。
操作步骤
步骤1.短信通知服务器(以下以HTTP为例)和短信认证服务器参考短信认证章节。
步骤2.认证策略基本配置:管理员选择密码认证方式,设置IP段范围,认证服务器选择本地用户且勾选短信快捷登录。
手机快捷登录&未绑定手机号&自管理录入手机号
步骤3.访问网页,重定向到认证页面。
步骤4.首次登录,发现手机号没有绑定过账号,点击“立即处理”,进行绑定。
步骤5.输入用户的账号密码。
步骤6.登录后跳转到“个人管理中心”,手机字段显示“未配置”,点击进行配置。
步骤7.输入手机号和验证码进行绑定,点击确认绑定成功在个人中心会有手机信息。
步骤8.绑定完成后,重新认证,输入手机号和获取的验证码,立即上网。
步骤9.在[全网监控/入网用户管理]可以查看用户上线成功的情况。
不允许认证
当需要让某个部门或者某个IP段的员工禁止上网的场景时,需要使用不允许认证。
步骤1.设置用户的认证策略,进入[接入管理/接入认证/PORTAL认证/认证策略],点击新增认证策略进行配置,设置认证范围,根据需求填写不允许上网的IP或者MAC。
步骤2.设置认证方式,选择不允许认证(禁止上网),勾选禁止上网终端提示页面,禁止上网的同时,期望对用户进行告知,让用户知道当前是不允许上网的。默认情况下不勾选此功能项,请根据实际需求做选择。
步骤3.认证后处理,请根据实际需求勾选相应的功能项,点击<提交>完成配置。
步骤4.效果呈现提示用户禁止上网。