行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","数据库认证")}}

数据库认证

更新时间:2022-01-18

当网络环境中已有一套数据库系统存储并管理用户认证信息、组织结构的情况下,深信服AC设备支持配置SQL查询语句,查询该数据库系统中的用户列表和已认证用户,并同步到设备的组织结构和在线用户列表中,从而支持和数据库系统结合的单点登录,实现用户通过数据库认证后,即通过设备的用户认证,同时用户从数据库认证系统中注销,也自动完成在设备上的注销。目前支持的数据库类型有Oracle,mssql server,db2和mysql几种。

数据流的过程如下:

  1. PC通过认证服务器的认证,在数据库服务器中更新PC的认证信息。

  2. 设备定时查询数据库服务器中在线用户,并更新设备自身的在线用户列表。

  3. PC用设备取到的在线用户的身份上网。

操作步骤

  1. 设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[portal认证/认证策略],新增认证策略进行配置。

  2. 设置数据库服务器,点击进入[接入认证/portal认证/认证服务器]进行设置(参见数据库认证章节)。

  3. 点击进入[portal认证/单点登录/数据库认证]页面进行配置。

  4. 勾选[启用数据库认证单点登录]选择数据库服务器并设置SQL查询语句。

数据库服务器:选择第一步设置好的数据库服务器。

获取已认证用户列表的sql语句:设置可以查询到在线用户的select语句,设备通过该select语句查询数据库中的用户信息表来获取在线用户。

说明:sql语句返回的结果集不能超过2列,第一列为用户名,第二列为IP地址,能查询的记录数不能超过200000条。

获取已认证用户列表的时间间隔:默认值是30s,指用户通过认证服务器认证到通过AC认证之间的最大时间间隔。

点击<测试有效性>列出可以获取的信息。

说明:
1.在线用户列表只支持同步“用户名”和“IP”,不支持同步其他用户属性,如用户是否禁用、是否过期等,默认同步过来的用户是启用和永不过期的。
2.数据库认证支持用户自动同步,具体请参见[用户管理/用户自动同步]。
3.在某些情况下,用户通过认证服务器认证之后在一个时间间隔后(取决于[获取已认证用户列表的时间间隔]设置)才会通过AC的认证,建议认证策略设置单点登录失败时选择[不需要认证]的认证方式。