____年度渠道初级认证培训03_基础认证技术.ppt

SANGFORAC基础认证技术 认证功能介绍 SANGFORAC认证功能介绍 概述 认证功能主要用于对经过AC设备上网的用户进行身份的验证 通过认证功能可识别内网上网用户的身份 为后续的流量管理 用户上网权限策略及应用审计提供基础 SANGFORAC的认证方式 1 不需要认证 IP MAC绑定 2 密码认证 包括本地密码认证和第三方服务器认证 3 单点登陆4 DKEY认证 认证方式介绍 1 不需要认证设备根据数据包的源IP地址 源MAC地址 上网PC的计算机名来识别用户 不需要认证的方式 优点是用户上网前浏览器中不会弹出认证框 不需要通过用户名密码验证才能上网 因此用户不会感知到设备的存在 认证方式介绍 当用户首次通过AC上网时 AC会要求用户提交用户名密码信息 如果用户提交的用户名密码信息和AC本机保存的信息一致时 给予认证通过 用户名密码认证适用于内网用户IP MAC不固定 或者内网存在第三方认证服务器的网络环境 可以手动在AC上新建用户名和密码 也可以直接沿用第三方认证服务器上的账号和密码 SANGFORAC与第三方认证服务器结合 支持LDAP RADIUS POP3 数据库 H3CCAMS等第三方服务器认证 2 密码认证 包括本地密码认证和第三方服务器认证 认证方式介绍 3 单点登录当客户有自己的第三方认证服务器对内网用户进行认证时 单点登录可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备的认证 并且获取到相关的权限上网 SANGFORAC支持域单点登录 POP3单点登录 PROXY单点登录 WEB单点登录 PPPOE单点登陆 数据库单点登陆 第三方设备单点登陆 包括锐捷SAM系统 城市热点 H3CCAMS系统等 单点登录功能培训 PPT将详细介绍相关功能和配置 此PPT不再赘述 认证方式介绍 4 DKEY认证SANGFORAC提供上网认证的DKEY有两种 绿色的认证KEY和紫色的免审计KEY DKEY认证过程 管理员生成DKEY 然后分发给用户 用户上网时 把DKEY插入个人电脑 使用DKEY认证客户端提交认证信息 通过认证后才允许接入互联网 DKEY认证适用于对认证安全要求较高的网络环境 也适用于公司高层机密信息不被随意审计的情况 认证方式介绍 绿色的是认证KEY 紫色的是免审计KEY 这两种KEY不能混淆 AC还有一种咖啡色的KEY 用于数据中心查询 认证功能配置 IP MAC认证场景 DKEY认证场景 用户名密码认证场景 典型应用场景与配置 案例背景 某集团公司内部有办公区和公共上网区 要求实现办公区 192 168 1 0 24 用户上网不能修改IP和MAC地址 公共上网区 192 168 2 0 24 则需要输入账号和密码才能上网 确保网络行为能跟踪到 另外总经理的上网数据要保证安全 不能被审计 核心交换 防火墙 总经理 办公区 公共上网区 解决方案 根据客户需求 我们可以将AC部署在防火墙与核心交换机之间 并通过如下认证设置来满足需求 1 办公区用户采用IP MAC认证方式2 公共上网区采用密码认证 设置用户名和密码3 总经理使用免审计KEY上网 确保数据不被记录 核心交换 防火墙 总经理 办公区 公共上网区 配置思路 1 新建认证策略认证策略决定了使用某个IP 网段 MAC地址的计算机的认证方式 通过认证策略可设置内网用户的认证方式 2 手动新建用户或者自动添加新用户新建用户 可编辑用户属性 定义用户具体的认证信息 包括用户名密码信息 启用DKEY以及IP MAC绑定 如果采用自动添加新用户 在认证策略里开启和定义即可 AC几种认证方式中 DKEY认证在对应的用户属性中设置即可 不需要设置认证策略 且DKEY认证的优先级最高 不需要认证 密码认证 单点登录这几种认证方式需要到认证策略中设置 配置步骤一 IP MAC认证的用户 1 首先为办公区的用户建一个用户组 在 用户与策略管理 用户管理 组 用户 中 点新增 选择 组 定义组名 办公区 设置完后点提交 配置步骤一 IP MAC认证的用户 2 配置认证策略新增一个认证策略 选择认证方式 本案例的需求是同时绑定IP MAC 因此选择IP MAC绑定 且绑定方式为用户和地址双向绑定 在新用户选项中 自动添加新用户到办公区用户组 定义需要使用IP MAC认证的IP范围 这里也可以用MAC地址或计算机名做为新用户 选择用户组 勾选后 客户端登陆时自动绑定IPMAC 配置完成 点击确定 配置步骤一 IP MAC认证的用户 注 如果AC和内网用户是跨三层环境 需开启SNMP功能实现IP和MAC的绑定 用户与策略管理 用户认证 认证选项 跨三层MAC识别 填入与AC相连的三层交换机的地址 格式如图 配置步骤二 用户名密码认证 1 配置认证策略 在 用户与策略管理 用户认证 认证策略 中 点击 新增 如图 配置完成后点提交 配置步骤二 用户名密码认证 2 新增用户名密码认证的用户 设置用户名密码 勾选后 该账号可供多人使用 也可不勾选 为每个用户单独建立用户名和密码 配置步骤二 用户名密码认证 3 客户端输入用户名密码认证 当用户访问网站时 AC会重定向到这个认证的页面 用户输入正确的用户名密码认证后 才可以继续上网 配置步骤三 DKEY认证的用户 1 新增DKEY认证的用户 手动生成DKEY 勾选后 会弹出提示信息 要求生成KEY 点关闭即可 使用免审计KEY时 需要勾选此项 设置DEY的初始密码 点写入DKEY前请先在本机安装KEY驱动 配置步骤三 DKEY认证的用户 2 使用DKEY认证的用户 需下载并安装DKEY客户端 172 16 0 1为设备LAN口IP地址 点击下载并安装DKEY客户端 配置步骤三 DKEY认证的用户 3 使用DKEY客户端进行认证 用户安装完DKEY客户端后 会在桌面生成图标 若将紫色DKEY插入电脑 双击图标 输入DKEY密码 认证成功后 桌面右下角图标会提示您 认证成功 您正处于不受监控状态 密码认证加强 设置用户密码强度 设置密码强度主要为了满足对WEB认证用户的密码安全的需求 密码强度限制仅对私有用户在客户端修改密码有效 管理员在控制台建立或修改密码不受此限制 设置用户密码强度 配置步骤 用户与策略管理 用户认证 认证选项 其它认证选项 按照用户需求勾选相应条目 可复选 设置用户密码强度 客户端登陆修改密码 输入密码的时候会实时检测并根据输入情况在右边显示相应的提示 点击确定时会再次检测 若不符合要求 则修改不成功 并会弹出相应提示 强制客户端初次认证修改密码 应用背景 用户批量导入或者大量加入的时候 初始密码是一致的 这样很不安全解决思路 强制要求用户初次登录时自行修改密码 注意事项 1 仅对设备本地密码认证的用户有效2 用户认证后会自动跳转到修改密码窗口 若不修改则无法上网 配置方法 1 添加用户时 在 用户与策略管理 用户管理 组 用户 中 点击新增 在 本地密码 设置的下方勾选 初次认证修改密码 强制客户端初次认证修改密码 强制客户端初次认证修改密码 2 导入用户时 用户与策略管理 用户管理 用户导入 点击CSV格式文件导入时 勾选初次认证修改密码 强制客户端初次认证修改密码 启用了初次认证修改密码 用户第一次认证通过后会跳转到修改密码页面 修改完成后出现如下页面 提示 1 此页面为静态页面 不会自动跳转到之前访问的internet页面 2 修改密码后生效可能有30秒的延迟 建议在30秒内不要注销或重新登录 用户注销 如何注销已经通过认证的用户 当需要注销已经认证成功的用户时 可以通过AC网关控制台注销用户或在客户端手动注销来实现 控制台注销用户 1 在线用户列表强制注销 不需要认证用户 DKEY用户 临时用户不能被注销 如何注销已经通过认证的用户 2 无流量自动注销用户 适用于所有认证类型的用户 如何注销已经通过认证的用户 3 开启密码认证的用户 通过弹出注销窗口 只适用于本地密码认证的用户 如何注销已经通过认证的用户 用户认证成功后 自动跳转到如下注销页面 用户可以手动点击页面上的 注销 按钮完成注销 如何注销已经通过认证的用户 4 客户端手动注销认证 通过输入http ACIP打开手动认证和注销的页面 点击注销 只适用于密码认证的用户和单点登录的用户 练练手 某酒店内部是一个二层网络 192 168 1 0 24 每台电脑均分配了一个固定的IP地址 要求内部员工上网只能使用自己的电脑 不能