企业内网192.168.1.0/255.255.255.0网段的计算机全部采用用户名密码的认证方式,并在工程师组中新增一个用户:公共用户,此用户的认证方式是用户名密码认证,并且单向绑定IP范围(即限制登录的IP范围)为192.168.1.2-192.168.1.100,可以多人同时登陆。
1.企业需求是:192.168.1.0/255.255.255.0网段的计算机全部采用用户名密码的认证方式。所以首先需要设置这个网段用户的认证方式。
2.在[用户认证/认证策略]中设置认证策略,设置此用户的IP或者MAC范围,勾选认证方式为[本地密码认证/外部密码认证/单点登录]:。设置认证策略前首先需要设置认证区域。如图,本例用以选择内网区做认证为例。区域的定义请参考区域配置。
3.在[组织结构]中选择需要添加用户的用户组,右边进入管理页面,在[成员管理]窗口中,点击<新增>按钮,选择新增类型用户。
4.进入[新增用户]窗口。启用该用户,填写登录名、描述、显示名和当前所属组。
5。设置[用户属性],用户属性设置包括:认证方式、公用账号和过期时间。勾选本地密码,在密码的输入框中输入用户登录认证的密码。
6.绑定IP/MAC地址:用于将该用户和IP/MAC地址绑定。此例中需要:单向绑定IP范围(即限制登录的IP范围)为192.168.1.2-192.168.1.100。
点击绑定方式,在弹出的页面中选择[用户和地址单向绑定]。
勾选[绑定IP],在输入框中填入192.168.1.2-192.168.1.100。
7.允许多人同时使用该账号登录:用于设置用户名密码认证的用户,是否可以多人同时用此账号登陆,勾选则表示允许多人同时登录。此例中该用户允许2人同时登陆,需要勾选。
8.勾选[密码认证成功后弹出注销窗口],此选项是针对用户名密码认证的用户,在成功登陆后弹出注销页面。
9.勾选[自动注销指定时间内无流量的已认证用户]:用来设置一个超时时间,用户超过此超时时间没有流量则自动注销该用户。
过期时间:用于设置该用户的过期时间。
10.完成用户属性的编辑后,点击<确定>,完成用户的添加。
11.对应网段的用户上网时,打开网页,页面重定向到设备的认证页面。输入用户名和密码,点击<登录>。如果用户名密码验证正确且符合绑定的IP条件,则认证通过。
如果用户名密码正确,但登录使用的IP地址不属于绑定的IP范围,则认证不通过。
注意:
[绑定IP/MAC地址]:分两种绑定方式分别为单向绑定和双向绑定。
单向绑定:用户只能使用指定的地址认证,但其它用户也允许使用该地址进行认证。
双向绑定:用户只能使用指定的地址认证,并且指定的地址只能是该用户使用。
企业内网192.168.1.0/255.255.255.0网段的计算机全部采用用户名密码的认证方式,并在工程师组中新增一个用户:工程李,此用户的认证方式是用户名密码认证,并且双向绑定IP/MAC为192.168.1.117/00-0C-29-7F-0B-47(即此用户认证时必须使用此IP/MAC,并且其他用户不能使用此IP/MAC)。
企业需求是:192.168.1.0/255.255.255.0网段的计算机全部采用用户名密码的认证方式。所以首先需要设置这个网段用户的认证方式。
1.在[用户认证/认证策略]中设置认证策略,设置此用户的IP或者MAC范围,勾选认证方式为[本地密码认证/外部密码认证/单点登录],设置认证策略前首先需要设置认证区域。如图,本例用以选择内网区做认证为例。
2.在[组织结构]中选择需要添加用户的用户组,右边进入管理页面,在[组织成员]窗口中,点击<新增>按钮,然后选择新增类型用户。
3.进入[新增用户]窗口。勾选[启用该用户],填写登录名、描述、显示名和当前所属组。
4.设置[用户属性],勾选本地密码,在密码:输入用户登录认证的密码。
绑定IP/MAC地址:用于将该用户和IP/MAC地址绑定。此例中需要:双向绑定IP/MAC为192.168.1.117/ 00-0C-29-7F-0B-47(即此用户认证时必须使用此IP/MAC,并且其他用户不能使用此IP/MAC)。
5.点击[绑定方式],在弹出的页面中选择[用户和地址双向绑定],勾选[绑定IP和MAC],在输入框中填入192.168.1.117(00-0C-29-7F-0B-47)。
由于此用户只绑定了一个IP/MAC地址,所以此用户默认是私有账号。
勾选[密码认证成功后弹出注销窗口],此选项是针对用户名密码认证的用户,在成功登陆后弹出注销页面。
勾选[自动注销指定时间内无流量的已认证用户]:用来设置一个超时时间,用户超过此超时时间没有流量则自动注销该用户。
过期时间:用于设置该用户的过期时间。
6.完成用户属性的编辑后,点击<确定>,完成用户的添加。
7.对应网段的用户上网时,打开网页,页面重定向到设备的认证页面。输入用户名和密码,点击<登录>。如果用户名密码验证正确且符合绑定的IP条件,则认证通过。
如果用户名密码正确,但登录使用的IP/MAC地址和绑定的IP/MAC不符,则认证不通过,提示如下图所示。
其他用户在此IP/MAC认证,也会提示认证不通过。
注意:
当[用户认证/认证策略]中设置了某些地址的用户采用不需要认证的认证方式时,用户可以不用输入用户名密码直接上网,此时设备是以IP地址、MAC地址或者计算机名识别用户的。常见的设置是:
1.创建用户时将用户和IP/MAC地址进行双向绑定,因为双向绑定时IP/MAC和用户是一对一的关系,此时可以根据IP/MAC识别到对应的用户。
2.[用户认证/认证策略]中设置不需要认证,并以IP地址或者MAC地址或者计算机名作为用户名。内网用户认证时则根据IP地址或者MAC地址或者计算机名,匹配到对应的用户名。
在“/工程师”组设置一个用户为主管,此用户不需要认证,并且将此用户和主管计算机的IP/MAC进行双向绑定,即只有主管的计算机才可以使用此账号上网。主管计算机的IP/MAC是:192.168.1.117(00-0C-29-7F-0B-47)。
1.在[用户认证/认证策略]中设置认证策略,设置此用户的IP或者MAC范围,勾选认证方式为[不需要认证/单点登录]。设置认证策略前首先需要设置认证区域。如图,本例以选择内网区做认证为例。
2在[组织结构]中选择需要添加用户的用户组,右边进入管理页面,在[组织成员]窗口中,点击<新增>按钮,选择新增类型[用户]。
3.进入[添加用户]窗口。勾选[启用该用户],填写登录名、描述、显示名和当前所属组。
4.[绑定IP/MAC地址]:用于将该用户和IP/MAC地址绑定。此例中需要:双向绑定IP/MAC为192.168.1.117/ 00-0C-29-7F-0B-47(即此用户认证时必须使用此IP/MAC,并且其他用户不能使用此IP/MAC)。
5.点击[绑定方式],在弹出的页面中选择[用户和地址双向绑定],勾选[绑定IP和MAC],在输入框中填入192.168.1.117(00-0C-29-7F-0B-47)。
由于此用户只绑定了一个IP/MAC地址,所以此用户默认是私有账号。
过期时间:用于设置该用户的过期时间。
6.完成用户属性的编辑后,点击<确定>,完成用户的添加。
7.通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面,但客户端的现象是上不了网。
建议使用Chrome浏览器访问!
