资源描述
SINFOR TECHNOLOGIES CO.,LTD.,Page,*,AC,认 证,AC,认 证,1,、本机认证,2,、第三方认证,3,、批量添加用户,4,、总 结,1,、本机认证,用户帐号信息保存在,AC,本机,且检验用户信息在,AC,本机进行称为本机认证。包括本机用户名密码认证、绑定,ip,、绑定,mac,、同时绑定,ip/mac,和,DKEY,认证。,1.1,、本机认证,-,用户名和密码认证,内网用户首次通过,AC,上网时,,AC,会检验此电脑是否通过,AC,认证,如果没有则重定向弹出用户名和密码的认证框,用户输入用户名和密码等帐号信息,验证通过后允许访问外网。从而保证了上网的安全性。,例:,用户,hbz,上网前采用用户名和密码认证,1.1,、本机认证,-,用户名和密码认证(续),1.1,、本机认证,-,用户名和密码认证,(,续,),采用微软弹出框的方式提交用户名和密码(,默认方式,),1.2,、本机认证,-,同时绑定,ip,和,mac,用户上网前,,AC,会校验电脑的,ip,和,mac,地址与设备上绑定的,ip,和,mac,地址是否一致,如果一致则验证通过,允许访问外网,如果验证不通过,拒绝访问网络。有效防止了内网用户乱改,IP,的问题。一般适用于内网,IP,统一规划,不允许改,IP,的环境。,1.2.1,、本机认证,-,二层环境同时绑定,ip,和,mac,例:,用户,hbz,上网前采用,ip/mac,绑定认证,只绑定,ip,或只绑定,mac,认证和同时绑定,ip/mac,认证类似,这里不单独介绍。这些认证可以与用户名及密码认证结合使用,二者是“与”的关系。,支持扫描,mac,地址,1.2.2,、本机认证,-,跨三层同时绑定,ip,和,mac,AC,支持跨内网有三层环境绑定电脑的,IP,,,mac,或,ip/mac,同时绑定认证上网。三层环境下绑定,mac,或同时绑定,pc,的,ip,和,mac,可以通,准入规则,和,snmp,协议,两种方式实现。,1.2.2,、本机认证,-,跨三层同时绑定,ip,和,mac,(续),通过,SNMP,协议实现(,重点掌握,),AC,通过,snmp,协议读取三层交换机的,mac,表,以获得内网各电脑真实的,mac,地址,实现,ip/mac,绑定及验证,支持只绑定,mac,地址或同时绑定,ip/mac,。,AC 1.96,及后续版本新增的功能,需要三层交换机开启,snmp,服务,,AC,支持的,snmp,版本为,v2,和,v3,版本。,网关,lan ip:192.200.200.1,PC IP:192.168.125.110,GW:192.168.125.254,客户需求:内网电脑,IP,统一分配,不能随意更改,更改后电脑上不了网。,1.2.2,、本机认证,-,跨三层同时绑定,ip,和,mac,(续),案例,AC,端配置,第一步:启用新用户认证,选择同时绑定,IP/mac,SNMP,服务器列表添写:三层交换机的,IP,地址,/,三层交换机的,MAC/SNMP,的,Oid/,三层交换机的,Communit,,用,/,分隔,第二步:设置,snmp,选项设置,备注:,Oid,现在发现只有二个,,1.3.6.1.2.1.3.1.1.2,和,1.3.6.1.2.1.4.22.1.2,三层交换机上的配置,三层交换机需要开启,SNMP,服务,以,cisco,和,huawei,为例:,华为的命令:,system_view,snmp-agent community read public,其中,public,为三层交换机的,Communit,snmp-agent sys-info version all,其中,all,表示所有版本,思科的命令:,config terminal,进入全局配置状态,Cdp run,启用,CDP,snmp-server community public ro,其中,public,为三层交换机的,Communit,snmp-server enable traps,允许设备将所有类型,SNMP Trap,发送出去,通过,AC,认证的用户自动添加到组织结构,通过,AC,认证的用户自动添加到在线用户列表,通过准入规则实现三层环境,ip/mac,绑定,AC,通过准入实现三层环境下同时绑定客房端电脑的,ip/mac,地址。在,AC,上建立相关帐号并绑定电脑真实的,ip,和,mac,地址,在电脑上安装准入客户端软件,从而实现验证,pc,真实的,ip,和,mac,地址与,AC,上绑定 的,IP,和,mac,地址是否一致,如果一致,则允许访问外网。,第一步:在,AC,上建用户,同时绑定,PC,的,IP,和,mac,AC,支持跨三层环境扫描,mac,地址,通过,netbios,协议实现。如果扫描不到,请确认电脑的,netbios,协议是否开启;电脑是否配有多,IP,;是否有防火墙阻止了设备和电脑间,UDP 137,端口通讯,第二步:定义准入规则,-,三层绑定,ip/mac,(自定义规则),第三步:新增上网策略,-,跨三层绑定,ip/mac,第四步、将上网策略和用户或组关联,此时用户,hbz,如果改变,IP,,,AC,验证,ip/mac,绑定关系不通过,拒绝用户,hbz,上网,1,、用户名密码认证和,ip/mac,认证的关系?,2,、通过,snmp,协议解决三层环境绑定,ip/mac,与通过准入解决三层环境的绑定,ip/mac,的区别?,1.3,、本机认证,-DKEY,认证,AC,相关的,DKEY,有三种:认证的,DKEY,和免审计的,DKEY,和数据中心查询,Dkey,。而用于上网认证的,dkey,两种:认证,Dkey,和免审计,Dkey,。三种,KEY,不可能混用。,1.3.1,、认证,KEY,用户上网前需向电脑的,USB,接口插入,KEY,,验证通过后才可以上网,保证了认证的安全性及使用的方便性,一般适用于外来用户。,1.3.1,、认证,KEY(,续,),例:,用户,hbz,上网前采用,DKEY,认证,生成,DKEY,前,先下载,DKEY,驱动并安装,1.3.1,、认证,KEY(,续,),下载,DKEY,认证客户端,打开,IE,。输入,gwip,,弹出如下页面,下载,DKEY,认证客户端并安装,1.3.2,、免审计,KEY,某些高层领导上网时,希望自己的行为不被,AC,监控,可以建议其使用免监控,DKEY,,使用免监控,KEY,上网,不会记录网络行为,一般适应,BOSS,生成免审计,KEY,只需在下图选择“启用,DKEY,防监控”即可,其它的设置及使用方法和认证,KEY,的一样,1.3.3,、数据中心,KEY,为了保证审计日志的安全,只有拥有,key,的管理员才可以进数据中心查询日志,无,key,的管理员只能查询报表,系统设置等权限,无具体日志查询权限。,1.3.3,、数据中心,KEY,(续),数据中心,key,功能默认不可用,需要通过多功能序列号激活。,例如:控制台用户,admin,需要启用数据中心,Dkey,检查,以实现用,key,登陆,AC,时可以进行日志查询,无,key,登陆时无具体日志查询权限。,第一步:激活数据中心,DKEY,检查,第二步:编辑,admin,帐户,启用,DKEY,检查功能。,生成,DKEY,前先下载,DKEY,驱动并安装,第三步:使用数据中心查询,DKEY,以用户名密码登陆数据中心,以,DKEY,登陆数据中心,使用,DKEY,登陆数据中心效果图,使用,admin,登陆数据中心效果图,注意,1,、认证,key,,免审计,key,和数据中心,KEY,查询不能混用。,2,、外置数据中心也支持数据中心,KEY,查询功能,但需要内置数据中心激活,外置数据中心和内置数据中心同样不能使用同一个数据中心查询,KEY,。,2,、第三方认证,用户信息保存在第三方服器(,ldap,,,Radius,,,pop3,proxy,)且检验用户信息在第三方服务器进行称为第三方认证。第三方认证包括,ldap,认证,,radius,认证,,pop3,认证和,proxy,。其中,ldap,、,pop3,和,Proxy,认证支持单点登陆。,2.1,、第三方认证,-,数据流,第三方服务器,第三方服务器在内网,PC,PC,提交用户名和密码,第三方服务器返回验证信息给,AC,AC,将用户名和密码提交到第三方服务器验证,2.1,、第三方认证,-,数据流,(,续,),第三方服务器在外网,第三方服务器,PC,PC,提交用户名和密码,第三方服务器返回验证信息给,AC,AC,将用户名和密码提交到第三方服务器验证,2.2,、第三方认证,-LDAP,认证,AC,设备支持,LDAP,第三方认证,一般用于客户网络中已部署,ldap,服务器,,AC,结合,LDAP,服务器认证,方便管理。其中支持的,LDAP,有,MS LDAP,,,SUN LDAP,和,OPEN LDAP,2.2,、第三方认证,-LDAP,认证(续),填写管理的帐号,帐号格式为:,administrator,2.2,、第三方认证,-LDAP,认证(续),填写,ldap,用户,四种认证方式之间是“或”的,关系,从上到下依次匹配,可,以和,ip/mac,认证结合。,设置帐号属性及过期时间,如果是私有帐号,同时只能允许一个人登陆,上网时,IE,会弹出对话框要求身份认证,输入域用户,hbz,。,2.2,、第三方认证,-LDAP,认证(续),通过,AC,认证的用户在这里显示,2.2,、第三方认证,-Radius,认证,AC,设备支持,Radius,第三方认证,用户信息存放在,Radius,服务器上,用户上网时提交,Radius,服务器上的用户信息,经,Radius,服务器验证后,发送验证信息给,AC,,如果验证成功,允许此用户上网。一般用于客户网络中已部署,Radius,服务器,,AC,结合,Radius,服务器认证,方便管理。适用服务器在内网和外网情况。,2.2,、第三方认证,-Radius,认证,(,续,),填写,Radius,服务器,IP,、端口、共享密钥及协议,2.2,、第三方认证,-Radius,认证,(,续,),填写,Radius,服务器上的用户,2.2,、第三方认证,-Radius,认证,(,续,),上网时,IE,会弹出对话框要求身份认证,输入,Radius,服务器上的用户,hbz,。,通过,AC,认证的用户在这里显示,3,、批量添加新用户,一般情况下,客户内网用户很多,如果采用前面介绍的逐个新增用户方式来添加用户不太现实,,AC,提供三种批量添加用户的方式:,新用户认证(自动添加新用户),用户导入和,AD,域同步。,3.1,、认证选项设置,-,新用户认证,AC,以,IP,地址和,mac,地址来标识用户,当一终端用户,user1,试图通过,AC,上网时(假设没有通过,AC,认证),,AC,会根据该用户上网数据包的源,IP,和源,mac,地址检测,AC,组织结构中是否有用户绑定此,IP,或,mac,,如果有符合条件的用户,则终端用户,user1,以相关用户的身份上网,如果没有符合条件的用户,则匹配下面的新用户认证策略。,3.1,、认证选项设置,-,新用户认证(续),新用户认证四种处理方式,新用户认证支持根据不同的,IP,段采用不同的认证方式并自动,添加到各个组,以方便匹配各自的策略。,3.1,、认证选项设置,(,续,),认证成功后直接跳转指定页面,可以设置跳转至公告页面。,私有帐号认证冲突时的处理方式,设置用户无流量自动注销时间及未通过认证的用户具有的权限。,3.2,、用户导入,支持扫描单个,IP,,,IP,范围和子网,AC,支持通过扫描内网计算机和从域服务器中导入用户,可以按照指定格式做成文本文档再导入。用户导入格式:,用户名,|/,所属组,/,|ip,地址,|mac,地址,|,认证方式,|,用户描述,|,密码,|,每个字段间用“,|”,隔开。,3.3,、,AD,域同步,客户内网有,LDAP,服务器,内网组织架构在,AD,上已设置好,需要,AC,结合域认证,并保持域用户信息实时更新到,AC,。,AC,提供,AD,域同步功能,将域上的用户自动同步到,AC,,保持,AC,与域的用户信息一致。,AD,域同步分为按照,AD,域组织结构同步和按照,AD,域安全组同步两种方式,目前只支持,MS Active Directory,域同步。,3.3,、,AD,域同步(续),AD,域同步在后续章节会详细说明,这里只简单介绍。,1,、新用户认证有哪几种处理方式?各有什么区别?,2,、用户导入及,AD,域同步的区别?,5,、总 结,本机认证,第三方认证,ip,、,mac,、,ip/mac,用户名,/,密码,Dkey(,防监控、认证,),(,sun,、,open,、,MS AD,),POP3,RADIUS,Proxy,用户认证,谢 谢,20090210,
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
