SANGFORAC2011年度渠道初级认证培训03基础认证技术YQ.ppt

SANGFOR AC 基础 认证技术 培训内容培训目标 SANGFOR AC 认证 功能介绍 1. 掌握AC设备的认证方式 SANGFOR AC 认证 功能配置 1.掌握AC设备IP/MAC认证方式（跨三层环境） 的配置步骤 2.掌握AC设备用户名密码认证方式的配置步骤 3.掌握AC设备DKEY认证方式配置步骤 SANGFOR AC 认证功能介绍 所有计算机上网前必须通过SANGFOR AC的认证才可上网。通过认 证功能用于识别内网上网用户的身份，为后续流量管理、用户上网权 限策略及应用审计提供基础。 SANGFOR AC的认证方式： 1、不需要认证（IP/MAC绑定） 2、密码认证（包括本地密码认证和第三方服务器认证） 3、单点登陆 4、DKEY认证 认证方式介绍 1、不需要认证 设备根据数据包的源IP地址、源MAC地址、上网计算机的 计算机名来识别用户。 不需要认证的识别方式，优点是用户上网前浏览器中不会 弹出认证框，要求输入正确的用户名密码才能上网。因此 用户不会感知到设备的存在。 认证方式介绍 当用户首次通过AC上网时，AC会要求用户提交用户名密码信息，如 果用户提交的用户名密码信息和AC本机保存的信息一致时，给予认 证通过。 用户名密码认证适用于内网用户IP/MAC不固定，或者内网存在第三 方用户名密码认证服务器的网络环境。 可以手动在AC上新建用户名和密码，也可以直接沿用第三方认证服务 器上的账号和密码(SANGFOR AC与第三方认证服务器结合，支持 LDAP，RADIUS, POP3第三方服务器认证)。 2、密码认证(包括本地密码认证和第三方服务器认证) 认证方式介绍 3、单点登录 当客户有自己的第三方认证服务器对内网用户进行认证时，单点登录 可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备 的认证，并且获取到相关的权限上网。 SANGFOR AC支持域单点登录，POP3单点登录，PROXY单点登录， WEB单点登录（后续PPT详细介绍相关功能和配置，此PPT不再累述 ） 认证方式介绍 4、DKEY认证 SANGFOR AC提供上网认证的DKEY有两种，绿色的认证KEY和紫色 的免审计KEY。 管理员生成DKEY，然后分发给用户。用户上网时，把DKEY插入个人 电 脑，使用DKEY认证客户端提交认证信息，通过认证后才允许接入 互联网。 DKEY 认证使用于对认证安全要求较高的网络环境，也适应于公司高 层机密信息不被随意审计的情况。 认证方式介绍 绿色的是认证KEY，紫 色的是免审计KEY，这 两种KEY不能混淆。 AC还有一种咖啡色的 KEY，用于数据中心查 询。 IP/MAC 认证场 景 DKEY 认证 场景 用户 名密 码认 证场 景 典型应用场景与配置 案例背景 某集团公司内部有办公区和公 共上网区， 要求实现办公区 （/24）用户上网 不能修改IP和MAC地址，公共 上网区（/24）则 需要输入账号和密码才能上网 ，确保网络行为能跟踪到，另 外总经理的上网数据要保证安 全，不能被审计到。 核心交换 防火墙 DMZ服务器 解决方案 根据客户需求，我们可以 用如下方式来满足： 1、办公区用户采用IP/MAC认 证方式 2、公共上网区采用密码认证 ，设置用户名和密码 3、总经理使用免审计KEY上 网，确保数据不被记录 核心交换 防火墙 DMZ服务器 配置思路 1、新建认证策略 认证策略决定了某个IP/网段/MAC地址上计算机的认证方式。通过认 证策略设置内网用户的认证方式，以及新用户添加的策略。 2、手动新建用户或者自动添加新用户 新建用户，可编辑用户属性，定义用户具体的认证信息。包括用户名 密码信息， 启用DKEY以及IP/MAC绑定 如果采用自动添加新用户，在认证策略里开启和定义即可。 AC几种认证方式中，DKEY认证在对应的用户属性中设置即可，不需要 设置认证策略，且DKEY认证的优先级最高。 不需要认证、密码认证、单点登录这几种认证方式是由认证策略设置决 定的。 配置步骤一（IP/MAC认证的用户） 1、首先为办公区的用户建一个用户组 办公区用户 配置步骤一（IP/MAC认证的用户） 2、配置认证策略 新增一个认证策略，选择认证方式，。需求是同时绑定IP/MAC，因 此选择IP/MAC绑定，且绑定方式为用户和地址双向绑定。 开启新用户选项，自动添加新用户到办公区用户组。 配置步骤一（IP/MAC认证的用户） 注意： 如果AC和内网用户是跨三层环境，请开启SNMP功能实现IP和MAC的绑定 填入和AC相连 的三层交换机 的IP 配置步骤二（用户名密码认证） 1、新建密码认证用户的认证策略 配置步骤二（用户名密码认证） 2、手动新增用户名密码认证的用户，设置用户名密码 配置步骤二（用户名密码认证） 3、客户端输入用户名密码认证 当用户访问网站时，AC会重定 向一个认证的页面，如左图所示 ，用户输入正确的用户名密码认 证后，才可以继续上网。 配置步骤三（DKEY认证的用户） 1、新增DKEY认证的用户，手动生成DKEY 勾选使用该DKEY登陆后，不 审计此用户的网络应用，则为 免审计DKEY，另外需要注意 的是点写入DKEY前需要先下 载并安装好DKEY驱动 配置步骤三（DKEY认证的用户） 2、使用DKEY认证的用户，下载并安装DKEY客户端 http:/ACIP 配置步骤三（DKEY认证的用户） 3、使用DKEY客户端进行认证 用户安装完DKEY客户端后 ，会在桌面生成图标。 把紫色DKEY插入电脑，双击图标 ，输入DKEY密码，认证成功后， 桌面右下角图标会提示您： “认证成功，您正处于不受监控状 态” 练练手 某酒店内部是一个二层DHCP自动分配IP地址的网络（ /24），要求内部员工上网只能使用自己的电 脑，确保网络行为能跟踪到人。客房区的用户需分配账 号和密码才能上网，方便计费和管理。 您有什么样的方案 能满足客户的需求 呢？ 我们的建议： 为酒