首页帮助文档软件下载故障处理按场景找工具工具全景图兼容性查询在线实验平台产品安全中心订单验收材料下载

行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
AC11.0
行为管理AC 文档 配置手册 场景案例集 其他认证配置案例
{{sendMatomoQuery("行为管理AC","其他认证配置案例")}}

其他认证配置案例

更新时间:2022-01-19

配置案例1:用户自定义属性配置案例,当用户的内置的属性无法满足配置需求时,可以给用户添加自定义属性,通过自定义属性,可以针对同一属性的用户设置上网策略和流控策略。

内网网段192.168.1.0/255.255.255.0,内网用户使用本地密码认证,给用户设置自定义属性,通过自定义属性区分内网用户的性别。针对女员工,设置上网策略:禁止访问购物、娱乐类网站;针对男员工,设置上网策略:禁止使用游戏应用。

第一步:客户需求是:192.168.1.0/255.255.255.0网段的电脑采用本地密码认证。所以首先需要设置这个网段用户的认证方式。

在『portal认证』→『认证策略』中设置认证策略:

认证范围:设置192.168.1.0/24

认证方式:选择密码认证;认证服务器选择:本地用户

第二步:在『认证高级选项』→『自定义属性』中设置自定义属性:属性名:性别

属性值:设置成序列,包括两个值:男和女

第三步:在『用户管理』→『本地组/用户』→『本地用户』中添加本地用户组和本地用户。参考章节3.4.2.1.1。

添加用户时,设置用户的属性值:

第四步:针对女员工,设置上网策略:禁止访问购物、娱乐类网站:

适用对象:设置“性别属性值为女”的用户匹配这条策略。

第四步:针对男员工,设置上网策略:禁止使用游戏应用

适用对象:设置“性别属性值为男”的用户匹配这条策略。

配置案例2:内网用户使用密码认证的方式,在客户公司外网托管有自己的WEB服务器,访问方式http://www.sangfor.com.cn现用户要求内网所有用户未认证之前就能访问到公司服务器,如何实现?

配置步骤如下:

第一步:将需要放通的url设置一个自定义的URL组:

进入『对象定义』→『URL分类库』页面,点击新增URL组:

第二步:设置一条上网策略,将上面创建的URL组放通。

进入『策略管理』→『上网策略』页面,点击新增上网权限策略:

并将策略关联到“/临时组/”:

第三步:设置认证策略,根据需要使用密码的用户的IP或MAC设置认证策略,点击『portal认证』→『认证策略』→『新增认证策略』进行配置。

[认证方式]:选择密码认证

[认证后处理]:高级选项设置中,勾选[认证前使用此组权限],选择上一步中关联放通策略的“/临时组/”

第四步:设置完成后,用户上网,打开其他网页时,会重定向到AC的认证页面。访问

www.sangfor.com.cn这个网站时不会重定向,会直接放通。

配置案例3:客户内网有AD域服务器,需要内网用户通过AD域单点登录的方式进行认证,要求如果有单点登录失败的用户,则在访问网页时弹出提示页面,页面上可以下载手动认证工具,客户通过下载工具手动运行后,通过单点登录认证。

第一步:设置认证AD域服务器,点击进入『接入认证』→『portal认证』→『认证服务器』进行设置。

第二步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『portal认证』→『认证策略』→『新增认证策略』进行配置:

[认证方式]:选择单点登录,对于单点登录失败的用户,选择[跳转到]—[内置提示页面]。这个内置提示页面上有单点登录手动工具下载。

第三步:在设备上启用单点登录,选择单点登录模式并设置共享密钥。点击进入『portal认证』→『单点登录选项』→『微软AD域』编辑页面。

勾选[启用域单点登录];

勾选[通过域自动下发,执行指定的登录脚本,获取登录信息],表示使用域脚本下发登录脚本的模式实现单点登录。在[共享密钥]中输入共享密钥,如下图所示:

共享密钥用于AD与服务器和设备的加密通讯,需要在登录脚本中设置相同的共享密钥。点击下载域单点登录程序下载登录注销脚本,下载脚本后进行第四五步的设置。

第四步:在AD域服务器上配置登录脚本程序。参考章节3.4.3.2.3.1。第五步:用户单点登录成功后,可以直接上网。

单点登录不成功的用户,打开网页时提示如下:

下载后,手动运行此程序:

手动运行后,用户单点登录认证成功。

配置案例4:客户环境中有一台ISA服务器,内网用户上网是通过ISA代理上网的,部署AC在ISA和交换机之间,做控制和审计。内网用户使用不需要认证的方式上网,在AC上以IP地址做用户名。

第一步:设置AC网桥模式部署,内网口接交换机,外网口接ISA服务器。

第二步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『portal认证』→『认证策略』→『新增认证策略』进行配置:

[认证方式]:选择不需要认证,用户名选择以IP作为用户名:

第三步:由于AC的内网口接交换机,从公网回复的数据也会通过AC的内网口进,外网口出转发到ISA上,为防止有公网IP加到AC在线用户列表,需要对公网的数据做排除,设置方法是:

进入『用户认证与管理』→『认证高级选项』→『认证选项』页面,勾选[WAN->LAN方向的连接不认证]

第四步:在PC的代理设置中,将AC的地址排除。