行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
全网AC13.0.18
{{sendMatomoQuery("行为管理AC","认证选项")}}

认证选项

更新时间:2022-01-18

认证选项用于配置跟认证相关的一些选项的设置。

用户管理

  • 自动注销指定时间内无流量的已认证用户:设置一个超时时间(10-65535分钟),用户超过此超时时间没有流量则自动注销该用户。

  • 每天强制注销所有在线用户:设置一个固定时间,每天定时将所有在线用户注销,该注销功能全局生效,启用时请慎重考虑。

  • 冻结持续认证失败的用户:设置当超过认证失败次数(1-255次)时,冻结该用户的时间(1-1440分钟)。

  • 自动删除长久未登录的用户:开启此功能后,会自动删除连续N天(1-365天)未登录的用户及其设备,只会删除自动登录的用户,不会删除手动创建的用户。

  • 自动删除过期的免认证绑定关系:对于设备自动录入的免认证绑定关系,检测登录时间,如果是免认证时间过期,则会自动删除这些用户。手动录入的免认证用户也会删除。

  • 单用户绑定终端个数限制,用于设置用户对应的终端数,这里限制的是一个用户能在几个终端上登录。

变更与冲突管理

  • MAC地址发生变动时,需要重新认证:原本认证通过的用户,MAC地址变化了会要求重新认证。比如一个IP为192.168.1.1的用户,认证方式为用户名和密码认证,当这个用户下线后,由于有一段时间不会注销该用户,这时另一个用户把IP改成192.168.1.1,这样MAC地址就发生了变化,需要重新认证方可上网。

  • 不允许多人同时登录的账号,如果认证时发现已经在其他IP上登录,则:

  • 公共账号允许多人同时登录,在[权限策略/用户限额策略]中可以设置公共账号允许登录的终端数,当终端数超限时,针对新上线的终端可以在此处选择上线策略,分别可以选择[认证不通过,提示账号在其他终端登录]、[新终端上线,注销最早登录的终端]。

说明:802.1x认证暂不支持该功能。用户进行802.1x认证时,即使账户已经在其他IP上登陆,也能够上线。

免认证设置

启用Cookie免认证:设置Cookie免认证有效期,范围:1-100天。

使用场景:使用AC用户名密码认证时,实现在同一台PC上成功认证一次后,后续直接上网,不需要再重复输入用户名密码。

说明:
1.首次登录时需要勾选记住登录状态
2.在免认证有效期内请勿清除浏览器Cookie。
3.Cookie免认证的用户应该要设置为公有用户。如果是私有用户,新认证的用户会踢掉最早认证的用户下线,导致AC把该用户的Cookie数据清除。

安全设置

  • 用户密码强度:用来设置用户名密码认证时,密码的安全要求,可以选择:密码不能等于用户名、新密码不能与旧密码相同、限制密码最小长度、密码必须包括,这几项如果同时勾选则需要同时满足这几个条件,用户才能成功修改登录密码。

  • 采用SSL加密方式提交用户名和密码:密码认证页面默认是HTTP页面,通过这个页面提交用户名是明文的方式,如果客户要求页面采用SSL加密的方式,需要勾选此项。

  • 域名:密码认证页面的URL默认是设备IP地址的形式,如果需要以域名的形式显示则需要在此处定义好域名,同时需要在用户内网的DNS上添加A记录,将该域名指向设备的IP地址。

  • 服务器证书:导入或者创建SSL证书。在此处导入企业证书或者是创建相应的证书然后导入终端后可以将密码认证界面转变为https界面。

个人管理中心设置

允许用户修改绑定终端信息:如果允许终端用户自己修改绑定终端信息可勾选此功能。

忘记密码设置

[禁用短信找回密码]:如果在用找回密码功能,不想使用短信找回密码,期望使用邮箱账号密码功能,可以勾选此功能。需要配置发送邮件服务器,详细请参考通知设置中的邮件发送服务器。

其他选项

  • 未认证或被冻结时允许访问DNS服务:用于允许在用户通过认证前或冻结后访问DNS服务。

  • HTTPS请求通过认证时,重定向到认证页面:对于密码认证的用户,认证前上网打开HTTP网页会重定向到认证页面,但如果访问HTTPS网页则默认不会重定向,如果需要对HTTPS网页也重定向的话,需要勾选此项。需要将AC的根证书导入到终端,否则浏览器打开认证界面时会有证书错误告警。

  • 代理上网时,密码认证使用WEB认证页面:若勾选,则代理上网时,密码认证使用WEB认证页面,若不勾选,则代理上网时,使用407(407 Authorization Required)弹框进行认证。

  • 域账号附加域名作为用户名:当客户环境中存在多个域时,可以勾选此项,用于区分不同域服务器的用户,在在线用户列表、实时状态等页面可以看到用户后面加上了域名后缀。

示例:某企业存在两个域:ACtest.comACCtest.com,两个域都作为域用户认证源,勾选该功能项后,入网用户会以xxx@ACtest.com和xxx@ACCtest.com显示。

  • WAN->LAN方向的连接不认证:代理服务器单臂部署,AC网桥部署在内网和代理服务器之间时,这种环境会有公网IP地址加到在线列表,需要勾选此项避免公网IP认证。

  • 关闭组/用户排序功能:组/用户查询速度较慢,可以启用关闭组/用户排序功能来提高查询的速度。

  • 将认证的虚拟域名(oauthservice.net/onauthservice.com)解析到指定IP地址):环境中存在多台AC/SG场景配置Oauth认证或二维码认证,建议配置此功能。