网康ICG用户识别认证操作培训.ppt

ICG 产品知识系列培训(6) 用户识别与认证功能操作培训,产品市场部 2009-1-5,Page 2,文档使用注意事项： 自行学习本文档时请结合设备的帮助一起使用 具体的操作细节请查看设备的联机帮助 文档会对帮助中没有描述清楚的地方进行有效说明 文档会对操作配置点的目的，意义进行解释,Page 3,文档导读,Page 4,文档预期效果说明,Page 5,阅读本文档之后你应该可以掌握的内容： 掌握用户识别与认证的专业术语的含义 掌握ICG可以实现的户识别与认证的范围 能够树立清晰操作前的思路 能够灵活、准确的配置本功能，有效的实现客户网络环境下的需求 能够通过有效的手段检验已经配置的功能的正确性 能够对该功能出现的异常情况有一定的排查思路,Page 6,重 要 名 词 解 释,Page 7,名词解释： （认证识别的3种机理） 单点登录（网康叫透明识别）：指客户原来就存在用户身份的管理系统，ICG可利用原有的用户管理数据，在ICG上线后，上网的用户端人员不需要安装任何客户端、不需要进行附加的新的身份认证，ICG就可以识别出产生网络行为的人的用户名。 联动认证（网康叫第三方认证）：指客户原来存在用户身份的管理系统，ICG可利用原有的用户管理数据，在ICG上线后，上网的用户端人员需对ICG弹出的认证狂输入原有用户管理系统的用户名密码，或者安装待填用户名密码的客户端，使得ICG可以识别出产生网络行为的人的用户名，并应用到后期的策略和日志中（因为部分环境下无法实现单点登录，所以需要联动认证）,Page 8,名词解释： 本地认证：指客户不使用或没有已经存在的用户管理系统，仅在ICG设备上重新建立用户组织架构，并且通过ICG本地的自行建立用户组织架构识别网络行为产生者的用户名 （认证识别的3种实现手段） 用户识别：上网客户端用户无需输入用户名密码，无需安装客户端即可实现身份的识别 客户端认证：上网用户需要安装客户端才可以识别用户的身份 Web认证：上网用户在上网时需要先通过IE等浏览器弹出的认证框输入用户名密码，输入完毕后才能识别上网用户的身份,Page 9,名词解释： 用户导入：是指不采用手工逐条的方式建立ICG上的组织架构，而是通过已经存在的用户数据（用户信息文档，现有用户管理系统）批量自动的写入到ICG系统中，完成组织架构的建立。不进行用户导入，日志中依旧可以体现用户信息，但将无法在策略中引用用户信息。 混合认证：是指对同一个/多个主机（IP）可以串行的进行多种身份识别与认证方式，第一个正确匹配的识别认证信息中的身份信息将作为该用户的身份。 认证网段：是指指定的认证方式生效的网段。超出该网段的范围，指定的认证识别方式将不生效 时间有效期（自动下线配置）：是指认证通过后，多长时间按内该认证失效，也就是该用户和对应IP对应关系解除。如果是固定的一个时间，则表示从认证通过后开始计算，固定的时间后这个对应关系解除。如果是不活动后的一个时间，则表示认证通过后，如果在一段时间内用户没有报文通过ICG，则认证对应关系解除，而有效期内一旦有报文通过，自动从这一刻开始重新计算有效期。,Page 10,名词解释： Kerberos：是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。微软的AD域采用的是Kerberos协议 PPPOE：一种使用在ADSL技术上的协议，可以使得以太网报文中携带用户认证信息。 H3C CAMS,锐捷 SAM：是上述两个公司的准入系统的用户身份识别系统，可以识别用户名，主机mac，连接的交换机ID，连接的交换机端口等。,Page 11,名词解释： 嗅探器：是一种在认证服务器上的探针软件，可以和ICG联动实现基于IP获取用户名，主要用于单点登录技术 RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。普通电话上网、ADSL上网、小区宽带上网、IP电话、移动电话预付费等业务。最近IEEE提出了802.1x标准,Page 12,名词解释： 802.1x：协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN / WLAN。主要用于准入技术 以及 无线以太网的接入认证 原有认证系统在ICG外侧：用户原有认证系统的认证过程报文需要通过ICG后才到达原有的认证系统。 原有认证系统在ICG内测：用户原有认证系统的认证过程报文不会通过ICG就可以到达原有的认证系统,Page 13,名词解释： 第三方用户：当一个用户名被ICG获取后，通过遍历组织架构没有找到该用户名，则该用户名被放置在第三方用户中。 IP临时用户：当这个IP为源地址的报文通过了ICG，通过对组织架构遍历后，没有找到该IP，则该IP被放置在IP临时用户中。,Page 14,ICG用户认证与识别功能 总 体 框 架,Page 15,建立用户组织架构（实现在策略中引用用户信息） IP方式建立组织架构 LDAP同步方式建立组织架构 用户信息文件方式建立组织架构,ICG用户识别认证功能总体框架,管理用户的组织架构 增、删、修改用户/组信息 绑定帐号、IP、MAC,常用识别/认证用户（一些不常见的暂时先不讲解） 基础识别：IP地址识别，MAC 地址识别 单点登录识别：联合POP3，联合AD域，联合用户计算机名 本地认证：本地用户名密码方式，准入方式 联动认证：联合LDAP，联合RADIUS，联合POP3,Page 16,用户认证与识别功能使用前的 思 路 梳 理,Page 17,从客户需求角度来进行的思路梳理判断过程,通过思路整理，来判断应该采用什么方式，怎样简单有效的实现需求,Page 18,归纳一下思路就是： 明确需要开启识别与认证吗？ 明确需要导入用户信息吗？ 明确是采用本地认证还是采用结合原有的用户系统来识别认证？ 明确是结合原有用户系统时采用单点登录还是采用联动认证 明确需要开启混合认证吗？ 如果上述判断的结果无解，请引导客户退回一个最小的限制，使其有解,Page 19,细分功能操作讲解,Page 20,用户的识别/认证，提供策略/日志引用可能,共同实现,组织管理,用户查询,实现ICG 中有用户,实现用户 信息调整,实现用户 信息可查,实现用户信息和报文关联,Page 21,用户导入的意义说明 如果用户希望通过真实的用户名，部门信息进行策略配置，那么就需要采用导入机制。 如果没有组织架构在ICG上，将无法从策略中引用用户的信息，只能对全部用户做统一的策略 用户导入的几种方式： IP用户导入 ：快速建立以IP为身份标识的组织架构。 LDAP用户导入：快速建立以LDAP数据库信息中的用户为标识的组织架构 网康自定义文件导入：快速建立以文件内容信息中的用户为表示的组织架构,Page 22,IP用户导入培训开始,Page 23,IP导入意义说明（为什么要使用IP导入）： IP导入的使用是为了快速建立以IP地址为用户身份标识的组织架构，在后期可引用网段、或者引用IP地址作为用户信息来建立策略。 在固定IP地址环境下IP导入既方便，又快捷，并且标识用户有效是十分适合的。 注：但是对于DHCP环境下，由于IP地址和人员并不是一一对应，IP导入将无法起到有效的身份标识作用,Page 24,二层IP用户导入：,意义说明：在仅仅是2层网络环境中（没有3层交换机），2层导入可以快捷的建立以IP为用户标识的组织架构 具体的操作细节请参看该配置页面的联机帮助,开启后，导入时仅导入ICG在扫描时可以访到的设备,输入需要扫描并导入的网段,用文件方式导入IP信息，不用扫描方式,Page 25,二层IP用户导入结果的整理操作,导入按钮，点击后将显示的数据写入组织架构,选择导入的信息包含IP，还是MAC，还是全包含,勾选后可以用IP地址信息作为所有记录的用户名,选择将显示的记录导入到那个部门分组中,需要手工，或者自动填充的用户名,具体的操作细节请参看该配置页面的联机帮助,Page 26,二层IP用户导入注意事项： （扫描方式）,注意事项： 1- 勾选开机扫描，ICG将只把自己可以访问到的主机收写入扫描结果中 2- 勾选开机扫描时，如果用户的计算机上开启了防火墙，将无法被ICG扫描到 3- 勾选开机扫描时，如果被扫描的网段和ICG不再同一个网段时，则只能扫扫描到IP地址，而不能扫描到MAC地址（如果希望跨3层扫描到MAC地址，可采用后面介绍的3层IP导入） 4- 不勾选开机扫描，ICG将不进行主机的探测，而是将IP段内所有的IP都写到扫描结果中，无论ICG是否可以访问到该主机。 5- 不勾选开机扫描，因为不进行主机探测，则扫描结果中将不包含主机的MAC地址 6- 扫描的IP范围要在一个C类地址内，否则会报错。目的是避免扫描网段过大，导致扫描时间过长,Page 27,二层IP用户导入注意事项： （文件导入方式）,注意事项： 1- 必须是TXT的文本文件 格式为： 00:01:02:03:04:05 2- 文档中只能包含IP，MAC信息，无法包含用户名 3- 如果要包含用户名，请采用网康自定义方式进行导入,Page 28,二层IP用户导入注意事项： （导入结果整理）,1- 用户名为必填项，不想用IP作为用户名可以手工填写。如果觉得一个一个写太麻烦，可以采用后面介绍的网康自定义方式导入而不用IP导入方式，因为IP导入方式主要是为了用IP作为用户标识的。 2- 点击填充用户名按钮后，所有记录将自动用IP作为各自的用户名，但可以在手工更改掉一些用户名 3- 已经显示的用户必须被一次性导入到组织架构中，不能仅仅选几个去导入到组织架构中,Page 29,二层IP用户导入： （排错思路）,1- 提示IP应该在同一网段，说明IP地址范围超出了一个C 2- 扫描开机设备时，不能扫描到任何主机，或者仅仅有很少的主机，说明网络中的计算机可能大部分都开启了防火墙 3- 扫描开机设备时，扫描的结果中不包含MAC地址信息，可能扫描的网段和ICG不在同一个网段。 4- 如果文件导入后，没有任何信息，请检查一下文件的格式是否正确。,Page 30,三层IP用户导入：,意义说明：在3层网络环境中（有3层交换机），3层导入可以快捷的建立以IP为用户标识的组织架构 具体的操作细节请参看该配置页面的联机帮助,3层扫描需要和3层交换机联动，需要想ICG提供一些3层交换机信息（SNMP的一些信息）,担心一次扫描不能全面的扫描到所有用户，可以选择长时间的反复扫描，不断增量增加扫描结果,连续扫描时，两次扫描的时间间隔，避免第一次还没完，第二次就开始了,扫描时需要扫描的IP范围，仅对这个范围内的IP进行扫描,由于输入的IP范围只能输入一个，因此如果需要一次扫描多个网段，可以用文件方式导入扫描的网段，扫描的过程和手工填写的方式没有区别,Page 31,三层IP用户导入：,对帮助文档的补充说明： 配置交换机： 3层扫描时，需要与3层交换机的SNMP协议进行联动，因此要获取到3层交换机的SNMP属性。 填写交换机信息是可以填写多个交换机信息，每个交换机信息需要填写该交换机的IP地址、该交换机上的SNMP的团体读属性。 如果交换机没有配置SNMP属性，请帮助客户把该交换机的SNMP属性配好，并将该属性获取填写到ICG的交换机信息中。填写了多个多个交换机的信息时，ICG会根据顺序逐个扫描 扫描方式(单次扫描) 在填写好交换机信息后，填写扫描的IP范围，例如-55 （只能填写一个IP范围），点击扫描即可，扫描完成后立刻会弹出扫描结果页面。对于每个交换机，一个C类网段的扫描预计花费的时间为3-5秒，一个B类子网扫描的时间为20-30秒，建议仅对真实存在的子网进行扫描，不要轻易使用大子网进行扫描,Page 32,三层IP用户导入：,扫描方式(持续扫描) 持续扫描的设计思想是因为单次扫描时由于一些用户没有开机，导致不能扫描到全部的信息，因此采用持续扫描，每次扫描后，ICG会把最近一次扫描不同于以前的扫描结果的内容增量的添加到扫描结果中，以丰富结果的全面性。 扫描时间默认是30秒，因为30秒内一般可以通过该交换机上扫描到下面所有的用户，因此每增加一个交换机，建议将扫描间隔增加30秒，避免ICG对两个不同交换机的扫描交叉在一起。 由于是持续扫描，在扫描过程中结果是持续增量增加的，因此扫描结果不会自动显示。如果要显示扫描结果，可以点击扫描结果按钮（在勾选持续扫描，并点击扫描后才显示的按钮）,Page 33,对帮助文档的补充 文件方式导入扫描网段 ： 由于扫描时建议对真实的网段进行扫描，因此可能导致扫描的网段很多，但是每次输入只能输入一个网段会导致手工的工作量比较大。为了简化用户的操作，ICG提供了文件方式导入IP扫描网段的方式。 编写一个TXT文件， 每行输入一个IP范围 例如 - 点击浏览找到这个TXT文件，点击导入即可实现对文档中列出的所有网段逐一自动进行扫描，扫描到的存在用户开机的IP会被记录到扫描结果中，没有开机的用户不会被记录。,Page 34,注意事项 ： 配置交换机信息时 请注意交换机的IP地址不非要和ICG在一个网段，只要ICG可以路由可达（访问到）即可。 配置交换机信息时 请注意ICG上填写的交换机SNMP团体属性应该是读属性，因为ICG只要读即可，不用写交换机 单次扫描时： 请注意不要将IP网段填写的过大，应该是填写那些真正存在的网段，如果觉得网段过多，每次填写太麻烦，可以采用后面介绍的文件导入IP网段方式。 持续扫描时：请注意如果配置了多个交换机，建议相应更改扫描间隔时间，避免扫描行为交叉（虽然交叉了也不会造成什么影响，但存在漏报的可能） 持续扫描时：如果不去掉持续扫描的勾，那么扫描将一直进行，即使切换到其他界面时扫描还是持续的，主要是为了可以让用户长时间扫描，比如扫描一天来获取最全面的IP用户信息。因此请注意，一旦认为已经获取了全部的IP信息后，请大该页面中去掉持续扫描的勾来停止扫描，避免长期扫描影响ICG，被扫描交换机的性能,三层IP用户导入注意事项：,Page 35,扫描后没有获取到任何用户IP信息 请检查一下用户的3层交换机上的SNMP的读书性和ICG上交换机配置信息中的读书性是否相同。 请检查ICG是否可以ping通对一个的交换机 请检查这个交换机是不是一个3层交换机（开启了3层功能），如果是当作2层交换机，是无法联动扫描的 请检查这个交换机是不是下面有直接用户，如果是一个中枢交换机，那么也扫描不到用户IP。 提示输入的IP网段过大 注意网段不要超过一个A类地址，但真实建议是，只扫描真实存在的网段，不要让扫描网段内存在大量不存在的地址,三层IP用户导入排错思路：,Page 36,IP导入培训完毕 LDAP导入培训开始,Page 37,LDAP导入的意义说明（为什么要使用LDAP导入）： 如果客户的网络中具备LDAP服务器（微软的AD,SUN LDAP,NOVELL ED,IBM LDAP,OPEN LDAP） ，那么不用重新建立用户系统，而是的用户可以将用户信息引入到ICG系统中，便于在后续的策略中引用LDAP系统中的部门，用户名称。 LDAP导入的是有用户名称的，因此无论是固定IP地址环境，或者DHCP环境，都可以有效的使用，只不过DHCP环境下，还要结合单点登录或者联动认证才能真正有效的识别用户。,Page 38,LDAP用户导入： （配置操作）,添加一个用户环境中的LDAP服务器，让ICG知道。可以添加多个LDAP服务器,不同的LDAP服务器具备不同的特征，如果要正确导入必须可以让ICG正确认知这些特征。服务器类型一个特横模板，便于添加服务器时引用,对于所有添加的LDAP服务器进行导入时，通用的配置项，例如同步频率，增量更新频率等,点击后将进行一次手工导入,对帮助文件的补充： 服务器类型设置： ICG默认提供了主流的服务器类型，导入时根据客户的网络中的LDAP的类型选择对应的类型即可，如果不知道客户的LDAP系统器类型，可以选择自动识别类型，ICG会自动的探测一下客户端额LDAP是什么类型。因为服务器类型对应的具体参数如果ICG不知道，那么将无法正确导入,Page 39,LDAP用户导入： （操作配置）,对帮助文件的补充 添加服务器具体操作： BaseDN：这是导入的一个入口，因为LDAP是一棵树，我们可以从树根导入，也可以从树的一个枝干开始导入，所以需要告知ICG，从哪里进行导入。例如服务器的树根是，一个树枝（用户组）名称是 搜索引擎组，那么如果要导入该组下全部子组和用户则格式为：ou=搜索引擎组,dc=netentsec,dc=com 。如果一个树枝（是权限组 ）名称是 “特权用户组” ，根是一样的。那么格式是：cn=特权用户组, dc=netentsec,dc=com .如果就从树根导入，那么就写dc=netentsec,dc=com,Page 40,LDAP用户导入： （注意事项）,注意事项： LDAP的服务器类型，ICG已经内置了一些通用的，这些不能被删除， 当然使用者也可以添加新的类型，这是一个高级操作，请使用者了解好客户的LDAP的各个字段的名称，然后对应的配置。 全局设置：自动更新开启后会禁止手动更新，请注意这两个是互斥的。 如果客户的LDAP是动态变化的，请一定在全局配置中选择自动更新，否则ICG上的用户信息仅仅是第一次导入的用户信息，不会跟随LDAP的变化而变化,Page 41,LDAP用户导入： 排错思路,排错思路： 对添加的服务器导入不了用户信息时，请考虑 LDAP服务器的IP配置的对吗？ LDAP的端口对吗？可以询问管理员LDAP对外服务的端口是什么 选择的服务器类型模板对吗？如果类型没有错对，进一步针对模板的关键字段和管理员核实 如果管理员不告诉你相关信息，请你先放下手中的工作，去和管理员一起喝杯咖啡。,Page 42,文档导读,Page 43,LDAP导入培训完成 网康自定义导入培训开始,Page 44,网康自定义导入的意义（为什么要使用网康自定义导入）： 当用户没有现有的识别认证系统，网康可以帮助用户新建立一套组织用户识别体系，网康自定义导入可以快速的利用一个用户信息文档建立出组织架构，便于用户在策略中引入用户名。 网康自定义导入包含了用户名，登录名，IP，MAC,部门架构，其中登录名，IP，MAC，组织部门是可选项。因此可以适合固定IP地址的环境，也可以适合动态地址的环境。,Page 45,网康自定义导入,关于网康自定义导入文件的格式，联机帮助写的很清楚。请自行阅读。 补充：如果ICG上自行增加了拓展用户属性，例如电话号码，工位号等。可在导入文件中在标题行尾部，数据行的尾部也增加这写信息，一样可以导入,Page 46,网康自定义导入结果整理,对帮助文档的补充： 重复数据的说明：重复数据是指在原有的组织架构中已经存在了即将导入的信息的条目。（重复条目的定义联机帮助中写的很清楚） 如果在导入文件中有两条完全相同的内容，由于导入时一条条顺序进行的，因此在第一条导入完毕后，组织架构中就出现了这个信息，当第二条导入时，也会提示出现了重复的内容。 覆盖重复内容是指：先从组织架构中删除和导入文件中重复的条目，然后将导入文件的条目写到组织架构中。,Page 47,网康自定义导入注意事项：,注意事项： 如果用户是DHCP环境，那么不要导入IP的信息，因为导入IP信息后就变成了静态的IP和用户名的映射，会导致识别错误。 DHCP环境下如果希望能够识别真实的用户名，请开启认证 如果导入提示重复时，不要局限在刚刚导入的部门中找重复的内容，而是要在整个组织架构中查找可能重复的登录名，IP，MAC等,Page 48,用户的识别/认证，提供策略/日志引用可能,共同实现,组织管理,用户查询,实现ICG 中有用户,实现用户 信息调整,实现用户 信息可查,实现用户信息和报文关联,Page 49,组织管理功能的意义（为什么要使用组织管理菜单功能）： 组织管理是一个很重要，很强大的功能模块，要仔细学习 当用户希望对组织架构进行常见编辑时（增删/移动用户，增删/移动部门，IP和MAC绑定/取消，用户名和IP绑定/取消）需要使用组织管理功能 当用户希望增加一个ICG上原本没有的用户的额外附属信息字段（例如电话号码）时会用到此功能 当用户希望设置用户的帐号有效期，希望随着用户访问自动建立组织架构时，需要使用组织管理功能,Page 50,组织管理： （配置培训）,请在组织管理的主界面下点击帮助，点击ROOT连接查看各级的帮助,在组织架构中创建一个行政组，例如IT部,在组织架构中创建一个权限组，例如所有经理特权组，是一个虚拟组，主要用于权限的落实,创建一个随着新IP通过ICG而自动添加这些IP到组织架构中的组,创建一单个用户信息,将用户，组移动到其他的组下,删除用户，行政组，权限组,批量的绑定/取消登录名，IP，MAC,批量的设置允许/禁止使用SOCKS代理,Page 51,组织管理： （配置培训）,对帮助文档的补充：说明一些功能的意义 1- 权限组不是真实的行政组织架构，而是一些具备相同访问权限的人的集合。网康的用户管理很灵活，一个人可以属于一个行政架构，同时可以隶属于一个权限组。例如将所有部门的经理，将加入的具备特权的经理权限组。 2- 权限组的概念来自于微软的AD系统，因此网康的设备可以导入AD的OU（组织架构），也可以导入AD的权限组。可以在组织架构中选择已经建立的权限组，然后通过添加批量的将组织架构中的用户添加进来。 4- IP组的作用是为了帮助用户动态的自动建立以IP为表示的组织架构，例如用户只要建立了一个IP组，不用添加用户，那么随着这个网段下用户的报文通过，这些IP地址会被自动的添加到这个组下，建立起这个组的内容，方便管理员使用。,Page 52,组织管理： （配置培训）,对帮助文档的补充： 对于单个用户的编辑界面 1- 权限组隶属于：单个用户可以被添加到一个权限组中。这个用户此时即在一个行政架构中，也在一个权限组中。 2- 登录名有效期设置，必须设置登录名才起作用。登录名就是为了认证时使用的，不是用户的名称，因此当有效期到达后，用户对应的登录名将不再对ICG产生作用，不能作为认证用，因此只有在开启认证后，有效期到达用户才不能上网，如果不开启认证，有效期到达该用户不受影响。 3- 给每个用户信息增加新的附加属性，例如电话号码，身份证号码等。默认情况下设备没有这些信息提供。但是如果客户有需要的时候，可以通过点击“全部用户”，此时右侧的界面上方会出现“设置”的下拉菜单”，选择扩展 用户属性，就会出现扩展界面，我们可以自行定义6个用户的扩展属性。,Page 53,网康组织管理培训完成 认证管理的公共配置培训开始,Page 54,用户的识别/认证，提供策略/日志引用可能,共同实现,实现ICG 中有用户,实现用户 信息可查,实现用户信息和报文关联,用户查询,Page 55,用户查询就是为了当知道一个用户的（用户名，登录名，IP地址，MAC地址，附属信息等多个信息中的某一个信息时，可以通过查询获取该用户的其他信息 由于比较简单，就不进行讲述了,Page 56,用户的识别/认证，提供策略/日志引用可能,共同实现,实现ICG 中有用户,实现用户信息和报文关联,Page 57,认证管理使用的意义（为什么要认证管理） 如果没有认证/识别管理的功能，设备仅仅能够记录网络行为对应的IP地址信息，会导致查看日志时显示人员身份，定位问题也无法定位到真实的人。同时，即使根据人员信息配置了策略，由于无法识别出行为对应的人员信息，策略无法正确的生效。 启用了认证/识别功能后，每个行为对应的人员真实身份将被确定，便于日志记录，和策略的生效。,Page 58,常用的认证识别包含 IP识别 仅用来代表用户身份 MAC识别 仅用MAC来代表用户身份 本地认证识别/认证 用本地用户名来代表用户身份 POP3联动识别/认证 用邮件帐号来代表用户身份 AD/LDAP的联动识别/认证 用AD/LDAP帐号来代表用户身份 计算机名称识别 用计算机名称来代表用户身份 下面将针对上述6中的应用环境，进行配置指导,Page 59,用IP来标识用户，如果组织架构中有静态的IP和用户名对应，日志显示为用户名,用MAC来标识用户，如果组织架构中有静态的MAC和用户名对应，日志显示为用户名，仅能用在2层环境,单点登录的一些功能。例如POP3,AD等,给用户安装一个待填AD认证信息的客户端，实现不用输入密码的AD联动认证,需要实现准入功能时，要开启该该功能，但准入还需要后续的策略配置,在客户端输入用户名，密码的本地认证方式,需要IE中输入用户名密码方式的本地认证,需要IE中输入LDAP信息中的用户名密码方式的联动认证,需要IE中输入RADIUS信息中的用户名密码方式的联动认证,需要IE中输入邮箱帐号信息中的用户名密码方式的联动认证,Page 60,IP身份识别配置培训,注：设备不用配置，默认就是IP身份识别。并且其他方法识别不了的用户，也会默认采用IP身份识别,Page 61,MAC身份识别配置培训,注：MAC身份识别不需要配置，但MAC识别仅适合2层网络环境。,Page 62,本地识别/认证 通过ICG上建立的帐号识别/认证用户,Page 63,本地认证的使用场景以及意义,需要识别认证的用户位置要在在ICG内测,ICG,意义：建立一个新的用户系统，可以让日志信息中带有用户信息。,Page 64,本地认证的配置说明,要开启识别（适合于静态IP环境），请先确保ICG建立了组织架构，并且用户名对应了固定的IP地址。要开启认证（适合DHCP环境识别用户），请先确保ICG中建立的组织架构，包含用户名和登录名,本地的用户识别，只要建立组织架构的用户名和对应的IP地址即可。不去要其他的配置,要采用客户端的本地认证，先配置客户端本地认证。,全局密码表示，所有人默认都用一个密码。临时密码表示每个人生成随机密码，但是下载密码列表后，需要管理员自行分发给每个员工。,要采用WEB的本地认证，先配置WEB本地认证。,设置认证有效期为登录后绝对的一天，不论是否活跃，一天后都需要重新认证,设置认证有效期为不活动开始xxx，表示如果在规定的时间内用户没有报文到达ICG，则用户认证过期,强制更改密码：每个用户第一次使用认证时必须手工更改自己的密码。才可以使用,详细信息配置说明请看联机帮助。,Page 65,本地识别认证的配置说明,注意事项： 本地识别时，不用配置认证信息，但是需要确保是在静态的IP地址环境中，因为本地识别是用户名和IP的静态对应关系 如果用户是DHCP环境，要识别到用户，则需要用本地认证才可以。,Page 66,POP3单点登录/联动认证 通过单位的邮箱帐号就可以认知上网用户,Page 67,POP3单点登录的使用场景以及意义,邮件服务器需位置要在在ICG外侧可实现POP3单点登录,ICG,意义：简化识别工作，通过POP3实现单点登录，可以将邮箱帐号作为用户上网日志的用户信息，无论是DHCP,还是静态地址环境都可以。并且用户不用额外输入用户名密码。,Page 68,POP3联动认证的使用场景以及意义,邮件服务器需位置要在在ICG内侧可采用POP3联动认证,ICG,意义：简化识别工作，通过POP3联动认证，可以将邮箱帐号作为用户上网日志的用户信息，无论是DHCP,还是静态地址环境都可以。但用户需要额外输入用户名密码。,Page 69,先配置透明用户识别。,POP3单点登录的配置说明,勾选表示选择这个透明识别方式,邮件服务器的地址,邮件服务器的端口,选择透明识别作为默认的认证方式,详细信息配置说明请看联机帮助,Page 70,POP3单点登录的配置说明,注意事项： 邮件服务器只能填写一个 邮件服务器如果要填写域名，那么ICG必须之前已经配置了DNS服务器才可以 如果用户的邮件服务器采用了加密端口传输，这个功能将无法使用。 ICG不需要能够访问邮箱服务器，也可以实现POP3的透明识别,Page 71,POP3单点登录的配置说明,排错思路： 配置完毕后不能识别到用户名 1- 是否用户进行了邮件的收取，只有用户收取邮件后才能识别大用户名 2-用户是否采用了加密的收发邮件端口，例如加密的收取邮件端口995，如果是则无法进行POP3帐号识别 3-设置的邮箱服务器地址是否正确，如果用户收发邮件用的不是我们填写的服务器，将无法进行识别。,Page 72,先配置邮箱帐号认证,POP3联动认证的配置说明,选择透明识别作为默认的认证方式,详细信息配置说明请看联机帮助。 补充解释：SSL加密的方式是指用户的邮件收发是采用加密端口的，勾选后，ICG将不用默认的25.或者110作为认证端口，而是用户要手工填写服务器的加密端口,选择是用POP3还是SMTP进行认证联动,邮件服务器的对应协议的服务端口,如果用户采用加密端口收邮件，则需要勾选这个,邮件服务器的地址,邮件帐号和IP在对应关系在ICG中最大的存在时间，不论用户是否活跃，到了这个时间就会拆除对应，用户需要重新认证。,Page 73,POP3单点登录的配置说明,注意事项： 配置后，用户打开浏览器时将弹出认证框。输入的用户名和密码就是邮箱的用户名和密码。 邮件服务器只能填写一个 邮件服务器如果要填写域名，那么ICG必须之前已经配置了DNS服务器才可以 如果用户的邮件服务器采用了加密端口传输，则必须填写正确的邮件服务器加密端口 ICG必须可以访问邮箱服务器，才可以实现POP3的联动认证 超时时间是绝对的，就是第一次认证之后经过这个时间，认证将失效，必须再次认证。,Page 74,POP3单点登录的配置说明,排错思路： 配置完毕后不能认证成功 1-用户是否采用了加密的收发邮件端口，例如加密的收取邮件端口995，则必须配置正确的邮箱端口 2-设置的邮箱服务器地址是否正确，如果用户收发邮件用的不是我们填写的服务器，将无法进行认证。即使配置正确后，是否ICG可以访问到该邮箱服务器，可以用telnet 服务器IP地址 端口 的方式看看是否通畅。 3-如果邮箱配置了域名，那么ICG是否配置了DNS 4-如果用户总是需要不断的重新认证，是否设置了过短的超期时间。,Page 75,AD域单点登录/联动认证 通过单位的AD帐号来认知上网用户,Page 76,AD单点登录的使用场景以及意义,AD服务器需位置要在在ICG外侧可实现AD单点登录 AD服务器如果在ICG内测，可以通过嗅探器方式实现单点登录,ICG,意义：简化识别工作，通过AD实现单点登录，可以将AD帐号作为用户上网日志的用户信息，无论是DHCP,还是静态地址环境都可以。并且用户不用额外输入用户名密码。,Page 77,AD联动认证的使用场景以及意义,客户允许客户端方式时可以采用AD客户端，待填认证信息，用户上网不用手工认证 用户不允许客户端方式时可以联动认证，用户上网需要手工输入用户名密码,ICG,意义：简化识别工作，通过AD实现联动认证，可以将AD帐号作为用户上网日志的用户信息，无论是DHCP,还是静态地址环境都可以。并且用户不用额外输入用户名密码。,Page 78,先配置透明用户识别。,AD单点登录的配置说明,勾选Kerberos表示选择这个透明识别方式,AD服务器的地址,如果AD服务器在ICG内测，可以勾选这个实现单点认证，但是要在服务器上装插件,选择透明识别作为默认的认证方式,详细信息配置说明请看联机帮助,Page 79,AD单点登录的配置说明,注意事项： AD服务器可填写多个 每个的格式是 服务器IP：端口。 AD嗅探器的方式会在服务器上安装一个插件，对服务器没有影响，可以放心 嗅探器方式下，必须保证ICG可以和AD服务器互访,Page 80,AD单点登录的配置说明,排错思路： 配置完毕后不能识别到用户名 1-设置的服务器地址、端口是否正确. 2-ICG是否可以访问到AD服务器 3-必要情况下，可以使用ICG的抓包工具（系统管理网络工具TCPSUMP命令），看看是否有用户到达AD服务器的报文，或者ICG到达服务器的报文。如果没有，说明要们是网路拓扑了解的不够，要么是配置错误了,Page 81,计算机名识别用户,Page 82,计算机名称识别的使用场景以及意义,需要识别认证的用户位置要在在ICG内测,ICG,意义：用现有的计算机名称识别用户信息。,Page 83,先配置透明用户识别。,AD单点登录的配置说明,勾选计算机名识别表示选择这个透明识别方式，勾选后ICG自动根据内部机理展开工作，无需进一步配置,选择透明识别作为默认的认证方式,详细信息配置说明请看联机帮助,Page 84,本地识别认证的配置说明,注意事项： 计算机名称识别时，如果内网用户基本都开启防火墙，那么识别效果会不是很理想。通常情况下是作为一个辅助识别功能开启