网康ICG用户识别认证操作培训.ppt

ICG 产品知识系列培训(6) 用户识别与认证功能操作培训 产品市场部 2009-1-5 覆盖的最新版 本 ICG 5.5.1 维护人陆继周 文档使用注意事项： 1.自行学习本文档时请结合设备的帮助一起使用 2.具体的操作细节请查看设备的联机帮助 3.文档会对帮助中没有描述清楚的地方进行有效说明 4.文档会对操作配置点的目的，意义进行解释 Here comes your footer 2 文档导读 序号提纲点提纲点重要性说明 1文档预期效果说明在阅读之前，阅读者可以了解这篇文档能给自己带来什么提升，应该掌握哪些知识 2重要名词解释一些和该功能相关的专业术语，便于深入理解文档，更专业的和客户沟通 3功能总体框架说明整体介绍功能模块的功能点，功能简介 4功能使用前的思路梳理介绍功能使用的思考过程，从而有效，无风险的实现功能效果 5细分功能操作讲解讲解配置点的意义，对联机帮助文档进行补充 1.细分功能意义说明 2.细分功能的配置点讲解 3.细分功能配置的注意事项 4.细分功能配置后检查方法 5.细分功能的排错思路 6.联系题目 1.为什么要使用这个细分功能 2.细分功能配置项的含义和带来的价值 3.有什么要特别关注，避免犯错误的 4.可确认配置后是对的 5.出现问题时的思考方法 6 Here comes your footer 3 文档预期效果说明 Here comes your footer 4 阅读本文档之后你应该可以掌握的内容： 1.掌握用户识别与认证的专业术语的含义 2.掌握ICG可以实现的户识别与认证的范围 3.能够树立清晰操作前的思路 4.能够灵活、准确的配置本功能，有效的实现客户网络环境下的需求 5.能够通过有效的手段检验已经配置的功能的正确性 6.能够对该功能出现的异常情况有一定的排查思路 Here comes your footer 5 重 要 名 词 解 释 Here comes your footer 6 名词解释： （认证识别的3种机理） 1.单点登录（网康叫透明识别）：指客户原来就存在用户身份的管理系统，ICG可利用原有的用 户管理数据，在ICG上线后，上网的用户端人员不需要安装任何客户端、不需要进行附加的新 的身份认证，ICG就可以识别出产生网络行为的人的用户名。 2.联动认证（网康叫第三方认证）：指客户原来存在用户身份的管理系统，ICG可利用原有的用 户管理数据，在ICG上线后，上网的用户端人员需对ICG弹出的认证狂输入原有用户管理系统的 用户名密码，或者安装待填用户名密码的客户端，使得ICG可以识别出产生网络行为的人的用 户名，并应用到后期的策略和日志中（因为部分环境下无法实现单点登录，所以需要联动认证 ） Here comes your footer 7 名词解释： 1.本地认证：指客户不使用或没有已经存在的用户管理系统，仅在ICG设备上重新建立用户组织 架构，并且通过ICG本地的自行建立用户组织架构识别网络行为产生者的用户名 （认证识别的3种实现手段） 用户识别：上网客户端用户无需输入用户名密码，无需安装客户端即可实现身份的识别 客户端认证：上网用户需要安装客户端才可以识别用户的身份 Web认证：上网用户在上网时需要先通过IE等浏览器弹出的认证框输入用户名密码，输入完毕 后才能识别上网用户的身份 Here comes your footer 8 名词解释： 1.用户导入：是指不采用手工逐条的方式建立ICG上的组织架构，而是通过已经存在的用户数据 （用户信息文档，现有用户管理系统）批量自动的写入到ICG系统中，完成组织架构的建立。 不进行用户导入，日志中依旧可以体现用户信息，但将无法在策略中引用用户信息。 2.混合认证：是指对同一个/多个主机（IP）可以串行的进行多种身份识别与认证方式，第一个正 确匹配的识别认证信息中的身份信息将作为该用户的身份。 3.认证网段：是指指定的认证方式生效的网段。超出该网段的范围，指定的认证识别方式将不生 效 4.时间有效期（自动下线配置）：是指认证通过后，多长时间按内该认证失效，也就是该用户和 对应IP对应关系解除。如果是固定的一个时间，则表示从认证通过后开始计算，固定的时间后这 个对应关系解除。如果是不活动后的一个时间，则表示认证通过后，如果在一段时间内用户没 有报文通过ICG，则认证对应关系解除，而有效期内一旦有报文通过，自动从这一刻开始重新 计算有效期。 Here comes your footer 9 名词解释： 1.Kerberos：是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供 强大的认证服务。Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如： 共享密钥）执行认证服务的。微软的AD域采用的是Kerberos协议 2.PPPOE：一种使用在ADSL技术上的协议，可以使得以太网报文中携带用户认证信息。 3.H3C CAMS,锐捷 SAM：是上述两个公司的准入系统的用户身份识别系统，可以识别用户名， 主机mac，连接的交换机ID，连接的交换机端口等。 Here comes your footer 10 名词解释： 1.嗅探器：是一种在认证服务器上的探针软件，可以和ICG联动实现基于IP获取用户名，主要用 于单点登录技术 2.RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865 ，RFC2866定义，是目前应用最广泛的AAA协议。普通电话上网、ADSL上网、小区宽带上网 、IP电话、移动电话预付费等业务。最近IEEE提出了802.1x标准 Here comes your footer 11 名词解释： 1.802.1x：协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通 过接入端口(access port)访问LAN / WLAN。主要用于准入技术 以及 无线以太网的接入认证 2.原有认证系统在ICG外侧：用户原有认证系统的认证过程报文需要通过ICG后才到达原有的认证 系统。 3.原有认证系统在ICG内测：用户原有认证系统的认证过程报文不会通过ICG就可以到达原有的认 证系统 Here comes your footer 12 名词解释： 1.第三方用户：当一个用户名被ICG获取后，通过遍历组织架构没有找到该用户名，则该用户名 被放置在第三方用户中。 2.IP临时用户：当这个IP为源地址的报文通过了ICG，通过对组织架构遍历后，没有找到该IP，则 该IP被放置在IP临时用户中。 Here comes your footer 13 ICG用户认证与识别功能 总 体 框 架 Here comes your footer 14 建立用户组织架构（实现在策略中引 用用户信息） - IP方式建立组织架构 - LDAP同步方式建立组织架构 - 用户信息文件方式建立组织架构 ICG用户识别认证功能总体框架 管理用户的组织架构 -增、删、修改用户/组信息 -绑定帐号、IP、MAC 常用识别/认证用户（一些不常见的暂时先不讲解） - 基础识别：IP地址识别，MAC 地址识别 - 单点登录识别：联合POP3，联合AD域，联合用户计算机名 - 本地认证：本地用户名密码方式，准入方式 - 联动认证：联合LDAP，联合RADIUS，联合POP3 Here comes your footer 15 用户认证与识别功能使用前的 思 路 梳 理 Here comes your footer 16 从客户需求角度来进行的思路梳理判断过程 用户需求 用户希望日志中有用户名要采用识别或认证 用户希望基于用户、部门名设置差异化 策略 要导入用户组织架构到ICG 用户希望结合原有的认证系统要采用单点登录 或 联动认证，不能采用本地认证 用户的网络中存在不同的人使用不同的 识别/认证机制 要采用混合识别/认证 认证机制否决条件 用户不希望任何认证框的弹出不能采用联动认证，本地认证。可采用单点登录，或者用户端客户端， 静态IP用户名的映射 用户不希望采用任何用户端客户端不能采用用户客户端，可采用联动认证，或者单点登录 用户不希望采用服务器客户端不能采用嗅探器，可采用联动认证，单点登录（认证系统在ICG外侧） 通过思路整理，来判断应该采用什么方式，怎样简单有效的实现需求 Here comes your footer 17 归纳一下思路就是： 1.明确需要开启识别与认证吗？ 2.明确需要导入用户信息吗？ 3.明确是采用本地认证还是采用结合原有的用户系统来识别认证？ 4.明确是结合原有用户系统时采用单点登录还是采用联动认证 5.明确需要开启混合认证吗？ 如果上述判断的结果无解，请引导客户退回一个最小的限制，使其有解 Here comes your footer 18 细分功能操作讲解 Here comes your footer 19 用户的识别用户的识别/ /认证，提供策略认证，提供策略/ /日志引用可能日志引用可能 共同实现 用户导入用户导入 组织管理组织管理 用户查询用户查询 识别与认证识别与认证 实现ICG 中有用户 实现用户 信息调整 实现用户 信息可查 实现用户信息 和报文关联 Here comes your footer 20 用户导入的意义说明 如果用户希望通过真实的用户名，部门信息进行策略配置，那么就需要采用导入机制。 如果没有组织架构在ICG上，将无法从策略中引用用户的信息，只能对全部用户做统一的 策略 用户导入的几种方式： 1.IP用户导入 ：快速建立以IP为身份标识的组织架构。 2.LDAP用户导入：快速建立以LDAP数据库信息中的用户为标识的组织架构 3.网康自定义文件导入：快速建立以文件内容信息中的用户为表示的组织架构 Here comes your footer 21 IP用户导入培训开始 Here comes your footer 22 IP导入意义说明（为什么要使用IP导入）： IP导入的使用是为了快速建立以IP地址为用户身份标识的组织架构，在后期可引用网 段、或者引用IP地址作为用户信息来建立策略。 在固定IP地址环境下IP导入既方便，又快捷，并且标识用户有效是十分适合的。 注：但是对于DHCP环境下，由于IP地址和人员并不是一一对应，IP导入将无法起到 有效的身份标识作用 Here comes your footer 23 二层IP用户导入： 意义说明：在仅仅是2层网络环境中（没有3层交换机），2层导入可以快捷的建立以 IP为用户标识的组织架构 具体的操作细节请参看该配置页面的联机帮助 开启后，导入时仅导入ICG在 扫描时可以访到的设备 输入需要扫描并导入的网段 用文件方式导入IP信息，不用 扫描方式 Here comes your footer 24 二层IP用户导入结果的整理操作 导入按钮，点击后将显示的数据 写入组织架构 选择导入的信息包含IP，还是 MAC，还是全包含 勾选后可以用IP地址信息作为所 有记录的用户名 选择将显示的记录导入到那个部 门分组中 需要手工，或者自动填充的用户 名 具体的操作细节请参看该配置页面的联机帮助 Here comes your footer 25 二层IP用户导入注意事项： （扫描方式） 注意事项： 1- 勾选开机扫描，ICG将只把自己可以访问到的主机收写入扫描结果中 2- 勾选开机扫描时，如果用户的计算机上开启了防火墙，将无法被ICG扫描到 3- 勾选开机扫描时，如果被扫描的网段和ICG不再同一个网段时，则只能扫扫描到IP地址，而不 能扫描到MAC地址（如果希望跨3层扫描到MAC地址，可采用后面介绍的3层IP导入） 4- 不勾选开机扫描，ICG将不进行主机的探测，而是将IP段内所有的IP都写到扫描结果中，无论 ICG是否可以访问到该主机。 5- 不勾选开机扫描，因为不进行主机探测，则扫描结果中将不包含主机的MAC地址 6- 扫描的IP范围要在一个C类地址内，否则会报错。目的是避免扫描网段过大，导致扫描时间过 长 Here comes your footer 26 二层IP用户导入注意事项： （文件导入方式） 注意事项： 1- 必须是TXT的文本文件 格式为： 00:01:02:03:04:05 2- 文档中只能包含IP，MAC信息，无法包含用户名 3- 如果要包含用户名，请采用网康自定义方式进行导入 Here comes your footer 27 二层IP用户导入注意事项： （导入结果整理） 1- 用户名为必填项，不想用IP作为用户名可以手工填写。如果觉得一个一个写太麻烦，可以采 用后面介绍的网康自定义方式导入而不用IP导入方式，因为IP导入方式主要是为了用IP作为用 户标识的。 2- 点击填充用户名按钮后，所有记录将自动用IP作为各自的用户名，但可以在手工更改掉一些 用户名 3- 已经显示的用户必须被一次性导入到组织架构中，不能仅仅选几个去导入到组织架构中 Here comes your footer 28 二层IP用户导入： （排错思路） 1- 提示IP应该在同一网段，说明IP地址范围超出了一个C 2- 扫描开机设备时，不能扫描到任何主机，或者仅仅有很少的主机，说明网络中的计算机可能 大部分都开启了防火墙 3- 扫描开机设备时，扫描的结果中不包含MAC地址信息，可能扫描的网段和ICG不在同一个网 段。 4- 如果文件导入后，没有任何信息，请检查一下文件的格式是否正确。 Here comes your footer 29 三层IP用户导入： 意义说明：在3层网络环境中（有3层交换机），3层导入可以快捷的建立以IP为用户标识的组 织架构 具体的操作细节请参看该配置页面的联机帮助 3层扫描需要和3层交换机联动， 需要想ICG提供一些3层交换机信 息（SNMP的一些信息） 担心一次扫描不能全面的扫描到 所有用户，可以选择长时间的反 复扫描，不断增量增加扫描结果 连续扫描时，两次扫描的时间间 隔，避免第一次还没完，第二次 就开始了 扫描时需要扫描的IP范围，仅对 这个范围内的IP进行扫描 由于输入的IP范围只能输入一个，因此如果需要一次扫描多 个网段，可以用文件方式导入扫描的网段，扫描的过程和手 工填写的方式没有区别 Here comes your footer 30 三层IP用户导入： 对帮助文档的补充说明： 配置交换机： 3层扫描时，需要与3层交换机的SNMP协议进行联动，因此要获取到3层交换机的SNMP属性。 填写交换机信息是可以填写多个交换机信息，每个交换机信息需要填写该交换机的IP地址、该交 换机上的SNMP的团体读属性。 如果交换机没有配置SNMP属性，请帮助客户把该交换机的SNMP属性配好，并将该属性获取填 写到ICG的交换机信息中。填写了多个多个交换机的信息时，ICG会根据顺序逐个扫描 扫描方式(单次扫描) 在填写好交换机信息后，填写扫描的IP范围，例如-55 （只能填写一个IP范围）， 点击扫描即可，扫描完成后立刻会弹出扫描结果页面。对于每个交换机，一个C类网段的扫描预计花 费的时间为3-5秒，一个B类子网扫描的时间为20-30秒，建议仅对真实存在的子网进行扫描，不要轻 易使用大子网进行扫描 Here comes your footer 31 三层IP用户导入： 扫描方式(持续扫描) 持续扫描的设计思想是因为单次扫描时由于一些用户没有开机，导致不能扫描到全部的信息，因 此采用持续扫描，每次扫描后，ICG会把最近一次扫描不同于以前的扫描结果的内容增量的添加到扫 描结果中，以丰富结果的全面性。 扫描时间默认是30秒，因为30秒内一般可以通过该交换机上扫描到下面所有的用户，因此每增 加一个交换机，建议将扫描间隔增加30秒，避免ICG对两个不同交换机的扫描交叉在一起。 由于是持续扫描，在扫描过程中结果是持续增量增加的，因此扫描结果不会自动显示。如果要显 示扫描结果，可以点击扫描结果按钮（在勾选持续扫描，并点击扫描后才显示的按钮） Here comes your footer 32 对帮助文档的补充 文件方式导入扫描网段 ： 由于扫描时建议对真实的网段进行扫描，因此可能导致扫描的网段很多，但是每次输入只能输入一个网段会导致手 工的工作量比较大。为了简化用户的操作，ICG提供了文件方式导入IP扫描网段的方式。 编写一个TXT文件， 每行输入一个IP范围 例如 - 点击浏览找到这个TXT文件，点击导入即可实现对文档中列出的所有网段逐一自动进行扫描，扫描到的存在用户开 机的IP会被记录到扫描结果中，没有开机的用户不会被记录。 Here comes your footer 33 注意事项 ： 配置交换机信息时 请注意交换机的IP地址不非要和ICG在一个网段，只要ICG可以路由可达（访问到）即可。 配置交换机信息时 请注意ICG上填写的交换机SNMP团体属性应该是读属性，因为ICG只要读即可，不用写交换机 单次扫描时： 请注意不要将IP网段填写的过大，应该是填写那些真正存在的网段，如果觉得网段过多，每次填写太 麻烦，可以采用后面介绍的文件导入IP网段方式。 持续扫描时：请注意如果配置了多个交换机，建议相应更改扫描间隔时间，避免扫描行为交叉（虽然交叉了也不会 造成什么影响，但存在漏报的可能） 持续扫描时：如果不去掉持续扫描的勾，那么扫描将一直进行，即使切换到其他界面时扫描还是持续的，主要是为 了可以让用户长时间扫描，比如扫描一天来获取最全面的IP用户信息。因此请注意，一旦认为已经获取了全部的IP 信息后，请大该页面中去掉持续扫描的勾来停止扫描，避免长期扫描影响ICG，被扫描交换机的性能 三层IP用户导入注意事项： Here comes your footer 34 扫描后没有获取到任何用户IP信息 1.请检查一下用户的3层交换机上的SNMP的读书性和ICG上交换机配置信息中的读书性是否相同。 2.请检查ICG是否可以ping通对一个的交换机 3.请检查这个交换机是不是一个3层交换机（开启了3层功能），如果是当作2层交换机，是无法联动扫描的 4.请检查这个交换机是不是下面有直接用户，如果是一个中枢交换机，那么也扫描不到用户IP。 提示输入的IP网段过大 1.注意网段不要超过一个A类地址，但真实建议是，只扫描真实存在的网段，不要让扫描网段内存在大量不存在 的地址 三层IP用户导入排错思路： Here comes your footer 35 IP导入培训完毕 LDAP导入培训开始 Here comes your footer 36 LDAP导入的意义说明（为什么要使用LDAP导入）： 如果客户的网络中具备LDAP服务器（微软的AD,SUN LDAP,NOVELL ED,IBM LDAP,OPEN LDAP） ，那么不用重新建立用户系统，而是的用户可以将用户信息引 入到ICG系统中，便于在后续的策略中引用LDAP系统中的部门，用户名称。 LDAP导入的是有用户名称的，因此无论是固定IP地址环境，或者DHCP环境，都可 以有效的使用，只不过DHCP环境下，还要结合单点登录或者联动认证才能真正有效 的识别用户。 Here comes your footer 37 LDAP用户导入： （配置操作）添加一个用户环境中的LDAP服务器 ，让ICG知道。可以添加多个LDAP服 务器 不同的LDAP服务器具备不同的特征， 如果要正确导入必须可以让ICG正确认 知这些特征。服务器类型一个特横模 板，便于添加服务器时引用 对于所有添加的LDAP服务器进行导入 时，通用的配置项，例如同步频率， 增量更新频率等 点击后将进行一次手工导入 对帮助文件的补充： 服务器类型设置： ICG默认提供了主流的服务器类型，导入时根据客户的网络中的LDAP的类型选择对 应的类型即可，如果不知道客户的LDAP系统器类型，可以选择自动识别类型，ICG会自动的 探测一下客户端额LDAP是什么类型。因为服务器类型对应的具体参数如果ICG不知道，那么 将无法正确导入 Here comes your footer 38 LDAP用户导入： （操作配置） 对帮助文件的补充 添加服务器具体操作： BaseDN：这是导入的一个入口，因为LDAP是一棵树，我们可以从树根导入，也可以从树的一个 枝干开始导入，所以需要告知ICG，从哪里进行导入。例如服务器的树根是，一 个树枝（用户组）名称是 搜索引擎组，那么如果要导入该组下全部子组和用户则格式为：ou=搜 索引擎组,dc=netentsec,dc=com 。如果一个树枝（是权限组 ）名称是 “特权用户组” ，根 是一样的。那么格式是：cn=特权用户组, dc=netentsec,dc=com .如果就从树根导入，那么就 写dc=netentsec,dc=com Here comes your footer 39 LDAP用户导入： （注意事项） 注意事项： LDAP的服务器类型，ICG已经内置了一些通用的，这些不能被删除， 当然使用者也可以添加新的类型，这是一个高级操作，请使用者了解好客户的LDAP的各个字 段的名称，然后对应的配置。 全局设置：自动更新开启后会禁止手动更新，请注意这两个是互斥的。 如果客户的LDAP是动态变化的，请一定在全局配置中选择自动更新，否则ICG上的用户信息 仅仅是第一次导入的用户信息，不会跟随LDAP的变化而变化 Here comes your footer 40 LDAP用户导入： 排错思路 排错思路： 对添加的服务器导入不了用户信息时，请考虑 1. LDAP服务器的IP配置的对吗？ 2.LDAP的端口对吗？可以询问管理员LDAP对外服务的端口是什么 3.选择的服务器类型模板对吗？如果类型没有错对，进一步针对模板的关键字段和管理员核 实 如果管理员不告诉你相关信息，请你先放下手中的工作，去和管理员一起喝杯咖啡。 Here comes your footer 41 文档导读 序号提纲点提纲点重要性说明 1文档预期效果说明在阅读之前，阅读者可以了解这篇文档能给自己带来什么提升，应该掌握哪些知识 2重要名词解释一些和该功能相关的专业术语，便于深入理解文档，更专业的和客户沟通 3功能总体框架说明整体介绍功能模块的功能点，功能简介 4功能使用前的思路梳理介绍功能使用的思考过程，从而有效，无风险的实现功能效果 5细分功能操作讲解讲解配置点的意义，对联机帮助文档进行补充 1.细分功能意义说明 2.细分功能的配置点讲解 3.细分功能配置的注意事项 4.细分功能配置后检查方法 5.细分功能的排错思路 6.联系题目 1.为什么要使用这个细分功能 2.细分功能配置项的含义和带来的价值 3.有什么要特别关注，避免犯错误的 4.可确认配置后是对的 5.出现问题时的思考方法 6 Here comes your footer 42 LDAP导入培训完成 网康自定义导入培训开始 Here comes your footer 43 网康自定义导入的意义（为什么要使用网康自定义导入）： 当用户没有现有的识别认证系统，网康可以帮助用户新建立一套组织用户识别体系 ，网康自定义导入可以快速的利用一个用户信息文档建立出组织架构，便于用户在 策略中引入用户名。 网康自定义导入包含了用户名，登录名，IP，MAC,部门架构，其中登录名，IP， MAC，组织部门是可选项。因此可以适合固定IP地址的环境，也可以适合动态地址 的环境。 Here comes your footer 44 网康自定义导入 关于网康自定义导入文件的格式，联机帮助写的很清楚。请自行阅读。 补充：如果ICG上自行增加了拓展用户属性，例如电话号码，工位号等。可在导入文件中在标 题行尾部，数据行的尾部也增加这写信息，一样可以导入 Here comes your footer 45 网康自定义导入结果整理 对帮助文档的补充： 重复数据的说明：重复数据是指在原有的组织架构中已经存在了即将导入的信息的条目。（重 复条目的定义联机帮助中写的很清楚） 如果在导入文件中有两条完全相同的内容，由于导入时一条条顺序进行的，因此在第一条导入 完毕后，组织架构中就出现了这个信息，当第二条导入时，也会提示出现了重复的内容。 覆盖重复内容是指：先从组织架构中删除和导入文件中重复的条目，然后将导入文件的条目写 到组织架构中。 Here comes your footer 46 网康自定义导入注意事项： 注意事项： 如果用户是DHCP环境，那么不要导入IP的信息，因为导入IP信息后就变成了静态的IP和用户名 的映射，会导致识别错误。 DHCP环境下如果希望能够识别真实的用户名，请开启认证 如果导入提示重复时，不要局限在刚刚导入的部门中找重复的内容，而是要在整个组织架构中 查找可能重复的登录名，IP，MAC等 Here comes your footer 47 用户的识别用户的识别/ /认证，提供策略认证，提供策略/ /日志引用可能日志引用可能 共同实现 用户导入用户导入组织管理组织管理 用户查询用户查询 识别与认证识别与认证 实现ICG 中有用户 实现用户 信息调整 实现用户 信息可查 实现用户信息 和报文关联 Here comes your footer 48 组织管理功能的意义（为什么要使用组织管理菜单功能）： 组织管理是一个很重要，很强大的功能模块，要仔细学习 当用户希望对组织架构进行常见编辑时（增删/移动用户，增删/移动部门，IP和 MAC绑定/取消，用户名和IP绑定/取消）需要使用组织管理功能 当用户希望增加一个ICG上原本没有的用户的额外附属信息字段（例如电话号码）时 会用到此功能 当用户希望设置用户的帐号有效期，希望随着用户访问自动建立组织架构时，需要 使用组织管理功能 Here comes your footer 49 组织管理： （配置培训） 请在组织管理的主界面下点击帮助，点击ROOT连接查看各级的帮助 在组织架构中创建一个行政组，例如 IT部 在组织架构中创建一个权限组，例如 所有经理特权组，是一个虚拟组，主 要用于权限的落实 创建一个随着新IP通过ICG而自动添 加这些IP到组织架构中的组 创建一单个用户信息 将用户，组移动到其他的组下 删除用户，行政组，权限组 批量的绑定/取消登录名，IP，MAC 批量的设置允许/禁止使用SOCKS代 理 Here comes your footer 50 组织管理： （配置培训） 对帮助文档的补充：说明一些功能的意义 1- 权限组不是真实的行政组织架构，而是一些具备相同访问权限的人的集合。网康的用户管理 很灵活，一个人可以属于一个行政架构，同时可以隶属于一个权限组。例如将所有部门的经理 ，将加入的具备特权的经理权限组。 2- 权限组的概念来自于微软的AD系统，因此网康的设备可以导入AD的OU（组织架构），也 可以导入AD的权限组。可以在组织架构中选择已经建立的权限组，然后通过添加批量的将组 织架构中的用户添加进来。 4- IP组的作用是为了帮助用户动态的自动建立以IP为表示的组织架构，例如用户只要建立了一 个IP组，不用添加用户，那么随着这个网段下用户的报文通过，这些IP地址会被自动的添加到 这个组下，建立起这个组的内容，方便管理员使用。 Here comes your footer 51 组织管理： （配置培训） 对帮助文档的补充： 对于单个用户的编辑界面 1- 权限组隶属于：单个用户可以被添加到一个权限组中。这个用户此时即在一个行政架构中， 也在一个权限组中。 2- 登录名有效期设置，必须设置登录名才起作用。登录名就是为了认证时使用的，不是用户的 名称，因此当有效期到达后，用户对应的登录名将不再对ICG产生作用，不能作为认证用，因 此只有在开启认证后，有效期到达用户才不能上网，如果不开启认证，有效期到达该用户不受 影响。 3- 给每个用户信息增加新的附加属性，例如电话号码，身份证号码等。默认情况下设备没有这 些信息提供。但是如果客户有需要的时候，可以通过点击“全部用户”，此时右侧的界面上方 会出现“设置”的下拉菜单”，选择扩展 用户属性，就会出现扩展界面，我们可以自行定义6 个用户的扩展属性。 Here comes your footer 52 网康组织管理培训完成 认证管理的公共配置培训开始 Here comes your footer 53 用户的识别用户的识别/ /认证，提供策略认证，提供策略/ /日志引用可能日志引用可能 共同实现 用户导入用户导入 识别与认证识别与认证 实现ICG 中有用户 实现用户 信息可查 实现用户信息 和报文关联 用户查询用户查询 Here comes your footer 54 用户查询就是为了当知道一个用户的（用户名，登录名，IP地址，MAC地址，附属信息等 多个信息中的某一个信息时，可以通过查询获取该用户的其他信息 由于比较简单，就不进行讲述了 Here comes your footer 55 用户的识别用户的识别/ /认证，提供策略认证，提供策略/ /日志引用可能日志引用可能 共同实现 用户导入用户导入识别与认证识别与认证 实现ICG 中有用户 实现用户信息和 报文关联 Here comes your footer 56 认证管理使用的意义（为什么要认证管理） 1.如果没有认证/识别管理的功能，设备仅仅能够记录网络行为对应的IP地址信息，会导致查 看日志时显示人员身份，定位问题也无法定位到真实的人。同时，即使根据人员信息配置了 策略，由于无法识别出行为对应的人员信息，策略无法正确的生效。 2.启用了认证/识别功能后，每个行为对应的人员真实身份将被确定，便于日志记录，和策略 的生效。 Here comes your footer 57 常用的认证识别包含 1.IP识别 仅用来代表用户身份 2.MAC识别 仅用MAC来代表用户身份 3.本地认证识别/认证 用本地用户名来代表用户身份 4.POP3联动识别/认证 用邮件帐号来代表用户身份 5.AD/LDAP的联动识别/认证 用AD/LDAP帐号来代表用户身份 6.计算机名称识别 用计算机名称来代表用户身份 下面将针对上述6中的应用环境，进行配置指导 Here comes your footer 58 用IP来标识用户，如果组织架构中有 静态的IP和用户名对应，日志显示为 用户名 用MAC来标识用户，如果组织架构中 有静态的MAC和用户名对应，日志显 示为用户名，仅能用在2层环境 单点登录的一些功能。例如POP3,AD 等 给用户安装一个待填AD认证信息的客 户端，实现不用输入密码的AD联动认 证 需要实现准入功能时，要开启该该功 能，但准入还需要后续的策略配置 在客户端输入用户名，密码的本地认 证方式 需要IE中输入用户名密码方式的本地 认证 需要IE中输入LDAP信息中的用户名 密码方式的联动认证 需要IE中输入RADIUS信息中的用户 名密码方式的联动认证 需要IE中输入邮箱帐号信息中的用户 名密码方式的联动认证 Here comes your footer 59 IP身份识别配置培训 注：设备不用配置，默认就是IP身份识别。并且其他 方法识别不了的用户，也会默认采用IP身份识别 Here comes your footer 60 MAC身份识别配置培训 注：MAC身份识别不需要配置，但MAC识别仅适合2 层网络环境。 Here comes your footer 61 本地识别/认证 通过ICG上建立的帐号识别/认 证用户 Here comes your footer 62 本地认证的使用场景以及意义 需要识别认证的用户位置要在在ICG内测 ICG 意义：建立一个新的用户系统，可以让日志信息中 带有用户信息。 Here comes your footer 63 本地认证的配置说明 要开启识别（适合于静态IP环境），请先确保ICG建立了组织架构，并且用户名 对应了固定的IP地址。要开启认证（适合DHCP环境识别用户），请先确保ICG中 建立的组织架构，包含用户名和登录名 本地的用户识别，只要建立组织架构 的用户名和对应的IP地址即可。不去 要其他的配置 要采用客户端的本地认证，先配置客 户端本地认证。 全局密码表示，所有人默认都用一个 密码。临时密码表示每个人生成随机 密码，但是下载密码列表后，需要管 理员自行分发给每个员工。 要采用WEB的本地认证，先配置 WEB本地认证。 设置认证有效期为登录后绝对的一天 ，不论是否活跃，一天后都需要重新 认证 设置认证有效期为不活动开始xxx，表 示如果在规定的时间内用户没有报文 到达ICG，则用户认证过期 强制更改密码：每个用户第一次使用 认证时必须手工更改自己的密码。才 可以使用 详细信息配置说明请看联机帮助。 Here comes your footer 64 本地识别认证的配置说明 注意事项： 本地识别时，不用配置认证信息，但是需要确保是在静态的IP地址环境中，因为本地识 别是用户名和IP的静态对应关系 如果用户是DHCP环境，要识别到用户，则需要用本地认证才可以。 Here comes your footer 65 POP3单点登录/联动认证 通过单位的邮箱帐号就可以认知 上网用户 Here comes your footer 66 POP3单点登录的使用场景以及意义 邮件服务器需位置要在在ICG外侧可实现POP3单点登录 ICG 邮件服务器 或者在这里 邮件服务器 在这里 邮件服务器 意义：简化识别工作，通过POP3实现单点登录，可 以将邮箱帐号作为用户上网日志的用户信息，无论 是DHCP,还是静态地址环境都可以。并且用户不用 额外输入用户名密码。 Here comes your footer 67 POP3联动认证的使用场景以及意义 邮件服务器需位置要在在ICG内侧可采用POP3联动认证 ICG 邮件服务器 在这里 意义：简化识别工作，通过POP3联动认证，可以将 邮箱帐号作为用户上网日志的用户信息，无论是 DHCP,还是静态地址环境都可以。但用户需要额外 输入用户名密码。 Here comes your footer 68 先配置透明用户识别。 POP3单点登录的配置说明 勾选表示选择这个透明识别方式 邮件服务器的地址 邮件服务器的端口 选择透明识别作为默认的认证方式 详细信息配置说明请看联机帮助 Here comes your footer 69 POP3单点登录的配置说明 注意事项： 邮件服务器只能填写一个 邮件服务器如果要填写域名，那么ICG必须之前已经配置了DNS服务器才可以 如果用户的邮件服务器采用了加密端口传输，这个功能将无法使用。 ICG不需要能够访问邮箱服务器，也可以实现POP3的透明识别 Here comes your footer 70 POP3单点登录的配置说明 排错思路： 配置完毕后不能识别到用户名 1- 是否用户进行了邮件的收取，只有用户收取邮件后才能识别大用户名 2-用户是否采用了加密的收发邮件端口，例如加密的收取邮件端口995，如果是则无法 进行POP3帐号识别 3-设置的邮箱服务器地址是否正确，如果用户收发邮件用的不是我们填写的服务器，将 无法进行识别。 Here comes your footer 71 先配置邮箱帐号认证 POP3联动认证的配置说明 选择透明识别作为默认的认证方式 详细信息配置说明请看联机帮助。 补充解释：SSL加密的方式是指用户的邮件收发是采用加密端口的，勾选后，ICG将不用默认的25.或 者110作为认证端口，而是用户要手工填写服务器的加密端口 选择是用POP3还是SMTP进行认证联动 邮件服务器的对应协议的服务端口 如果用户采用加密端口收邮件，则需要勾 选这个 邮件服务器的地址 邮件帐号和IP在对应关系在ICG中最 大的存在时间，不论用户是否活跃， 到了这个时间就会拆除对应，用户需 要重新认证。 Here comes your footer 72 POP3单点登录的配置说明 注意事项： 配置后，用户打开浏览器时将弹出认证框。输入的用户名和密码就是邮箱的用户名和密 码。 邮件服务器只能填写一个 邮件服务器如果要填写域名，那么ICG必须之前已经配置了DNS服务器才可以 如果用户的邮件服务器采用了加密端口传输，则必须填写正确的邮件服务器加密端口 ICG必须可以访问邮箱服务器，才可以实现POP3的联动认证 超时时间是绝对的，就是第一次认证之后经过这个时间，认证将失效，必须再次认证。 Here comes your footer 73 POP3单点登录的配置说明 排错思路： 配置完毕后不能认证成功 1-用户是否采用了加密的收发邮件端口，例如加密的收取邮件端口995，则必须配置正 确的邮箱端口 2-设置的邮箱服务器地址是否正确，如果用户收发邮件用的不是我们填写的服务器，将 无法进行认证。即使配置正确后，是否ICG可以访问到该邮箱服务器，可以用telnet 服 务器IP地址 端口 的方式看看是否通畅。 3-如果邮箱配置了域名，那么ICG是否配置了DNS 4-如果用户总是需要不断的重新认证，是否设置了过短的超期时间。 Here comes your footer 74 AD域单点登录/联动认证 通过单位的AD帐号来认知上网 用户 Here comes your footer 75 AD单点登录的使用场景以及意义 1.AD服务器需位置要在在ICG外侧可实现AD单 点登录 2.AD服务器如果在ICG内测，可以通过嗅探器 方式实现单点登录 ICG AD服务器 在这里 可以实现透明识 别的单点登录 意义：简化识别工作，通过AD实现单点登录，可以 将AD帐号作为用户上网日志的用户信息，无论是 DHCP,还是静态地址环境都可以。并且用户不用额 外输入用户名密码。 AD服务器 在这里 可以实现嗅探器 方式的单点登录 Here comes your footer 76 AD联动认证的使用场景以及意义 1.客户允许客户端方式时可以采用AD客户端， 待填认证信息，用户上网不用手工认证 2.用户不允许客户端方式时可以联动认证，用户 上网需要手工输入用户名密码 ICG 意义：简化识别工作，通过AD实现联动认证，可以 将AD帐号作为用户上网日志的用户信息，无论是 DHCP,还是静态地址环境都可以。并且用户不用额 外输入用户名密码。 AD服务器 在这里 Here comes your footer 77 先配置透明用户识别。 AD单点登录的配置说明 勾选Kerberos表示选择这个透明识别 方式 AD服务器的地址 如果AD服务器在ICG内测， 可以勾选这个实现单点认证 ，但是要在服务器上装插件 选择透明识别作为默认的认证方式 详细信息配置说明请看联机帮助 Here comes your footer 78 AD单点登录的配置说明 注意事项： AD服务器可填写多个 每个的格式是 服务器IP：端口。 AD嗅探器的方式会在服务器上安装一个插件，对服务器没有影响，可以放心 嗅探器方式下，必须保证ICG可以和AD服务器互访 Here comes your footer 79 AD单点登录的配置说明 排错思路： 配置完毕后不能识别到用户名 1-设置的服务器地址、端口是否正确. 2-ICG是否可以访问到AD服务器 3-必要情况下，可以使用ICG的抓包工具（系统管理网络工具TCPSUMP命令）， 看看是否有用户到达AD服务器的报文，或者ICG到达服务器的报文。如果没有，说明 要们是网路拓扑了解的不够，要么是配置错误了 Here comes your footer 80 计算机名识别用户 Here comes your footer 81 计算机名称识别的使用场景以及意义 需要识别认证的用户位置要在在ICG内测 ICG 意义：用现有的计算机名称识别用户信息。 Here comes your footer 82 先配置透明用户识别。 AD单点登录的配置说明 勾选计算机名识别表示选择这个透明 识别方式，勾选后ICG自动根据内部 机理展开工作，无需进一步配置 选择透明识别作为默认的认证方式 详细信息配置说明请看联机帮助 Here comes your footer 83 本地识别认证的配置说明 注意事项： 计算机名称识别时，如果内网用户基本都开启防火墙，那么识别效果会不是很理想。通 常情况下是作为一个辅助识别功能开启的。 要求内网的计算机应该可以访问到 ICG。也就是路由可达。 要在高级配置中的全局配置中选择获取机器名 Here comes your footer 84 认证管理的高级配置 讲解 Here comes your footer 85 高级配置说明 选择透明识别作为默认的认证方式 详细信息配置说明请看联机帮助 补充：高级配置主要是为了对所有的认证识别配置一些统一的系统参数。一旦配置对所有 认证功能生效。如果和认证