SANGFOR_AC_v11.0_2016年度渠道初级认证培训05_基础认证

基础认证,认证方式介绍,认证功能配置,深信服公司简介,SANGFORAC&SG,用户注销,密码认证安全性,认证方式介绍,认证方式介绍,概述：认证功能主要用于对经过AC设备上网的用户进行身份的验证。通过认证功能可识别内网上网用户的身份，为后续的流量管理、用户上网权限策略及应用审计提供基础。,SANGFORAC/SG认证方式,不需要认证,密码认证,单点登录,不允许认证(禁止上网),本地密码认证,第三方服务器密码认证,短信认证,微信认证,二维码认证,LDAP单点登录,数据库单点登录,Web单点登录,PPPOE单点登录,POP3单点登录,PROXY单点登录,第三方设备单点登录（锐捷，H3C，城市热点）,深信服设备之间单点登录,Radius单点登录,(LOGON，域监控单点登录，IWA,监听),ADSSO,Dkey认证,认证方式介绍,认证方式介绍,1、不需要认证设备根据数据包的源IP地址、VLANID、源MAC地址、上网PC的计算机名来标识用户。优点：终端用户上网认证的过程是透明的，不会感知AC的存在。一般适用于对认证要求不严格的场景,认证方式介绍,当用户首次通过AC上网时，AC会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和AC本地（或第三方服务器）一致，则给予认证通过。一般适用于对认证要求严格，希望上网日志记录具体的帐号，或希望和客户现有的第三方服务器结合认证的场景。,2、密码认证,认证方式介绍,3、DKEY认证SANGFORAC&SG提供上网认证的DKEY有两种，绿色的认证KEY和紫色的特权KEY。如下图所示。,绿色的是认证KEY，提供给来宾使用，方便来宾用户上网。紫色的是特权key，可以支持免控制或免审计。,认证功能配置,典型应用场景与配置,以下通过案例介绍不需要认证，用户名和密码认证，和dkey认证三种场景的配置,案例背景一,某集团公司内部有多个部门，整体网络情况如下,案例背景一,现要求实现：（1）办公区用户不能修改IP地址上网。（2）公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到，且认证通过后，自动跳转至内网服务器上的公告页（）。（3）总经理的上网数据要保证安全，不能被审计。（4）IT部电脑IP不固定，认证不受限制。,解决方案,根据客户需求，我们可以将AC部署在防火墙与核心交换机之间，并通过如下认证设置来满足需求：（1）办公区用户采用不需要认证，自动录入IP和MAC的绑定关系（2）公共上网区采用密码认证，设置用户名和密码，并设置认证后跳转到服务器公告页面（3）总经理使用免审计KEY上网，确保数据不被记录（4）IT部采用不需要认证，不绑定任何地址,配置思路,1、配置认证策略认证策略决定了某个IP/网段/MAC地址的计算机的认证方式。通过认证策略可设置内网用户的认证方式。2、手动新建用户或者自动添加新用户新建用户，可编辑用户属性，定义用户具体的认证信息。包括用户名密码信息，以及IP/MAC绑定等。也可以通过认证策略自动添加新用户3、配置跨三层MAC识别因为三层环境，要绑定终端电脑的IP和MAC，需要配置跨三层MAC识别才能绑定，如是二层环境，则无需此步。,AC几种认证方式，DKEY认证在“认证高级选项”Dkey用户设置即可，不需要设置认证策略，且DKEY认证的优先级最高。其它认证（如不需要认证、密码认证、单点登录，短信认证和微信认证）这几种认证方式需要到认证策略中设置。,场景一配置（办公区用户上网禁止改IP/MAC）,1、首先为办公区的用户建一个用户组，在【用户认证与策略】-【用户管理】【组/用户】中，点新增，选择【组】，定义组名：办公区，设置完后点提交。,2、配置认证策略新增认证策略，设置认证范围、认证方式及认证后处理，本案例的需求是不需要认证，并且同时绑定IP和MAC。,注意,1、非本地用户指的是认证之前不在用户组的用户；域用户指的是微软的域用户如AD域。2、认证后处理，自动录入用户到本地组织结构”如勾选则用户认证后会录入用户信息到本地组【用户管理】【组/用户】可以查到用户信息。如不勾选则不会录入到本地组。一般不建议录入。,3、核心交换机开启SNMP本场景中，因为AC需要绑定终端电脑的IP和MAC，所以需要能获取到电脑真实的IP和MAC地址，但电脑的上网的数据流是经过核心交换机转到AC，所以数据包的源MAC是核心交换机的MAC，AC无法从经核心交换机的流量中获取终端真实MAC。电脑的网关有电脑真实的MAC地址，本案例中，电脑的网关是核心交换机，所以AC需要通过SNMP协议从核心交换机获取终端真实的MAC。核心交换机（电脑网关设备）需要支持并开启SNMP协议，SNMP协议设置支持所有版本即可。,4、设备配置跨三层MAC识别,注意,此案例中，因为网络环境是三层环境，所以需要配置第3步和第4步。如果是二层环境，AC收到上网数据流的源MAC就是终端电脑真实的MAC，所以不需要配置第3步和第4步，即可实现绑定终端电脑的IP和MAC，达到不能任意修改IP的需求。,5、效果展示,（1）【系统管理】【在线用户管理】可以看到用户认证上线的身份。,（2）【用户管理】【IP/MAC绑定】可以查看到IP和MAC绑定成功。,办公区认证策略，“认证后处理”没有勾选“自动录入用户到本地组织结构”用户认证通过后是不会加入本地组的。一般不需要认证也无需录入。,6、注意,1、首先为办公区的用户建一个用户组，在【用户与策略管理】【用户管理】【组/用户】中，点新增，选择【组】，定义组名：公共区，设置完后点提交。,场景二配置（公共用户上网需要密码认证）,2、新增用户名密码认证的用户，设置用户名密码,注意,此案例中，为了演示，本地密码认证的帐号采用手动创建方式，而在实际客户中，密码认证的帐号很多，手动每个创建麻烦费时，所以采用把密码认证的帐号按要求格式做成csv表格，一次性导入设备，如下图。,3、配置认证策略：在【用户与策略管理】【用户认证】【认证策略】中，点击【新增】，如图，配置完成后点提交。,4、检查认证选项配置，以下选项需要启用,5、效果展示,公共区用户首次上网时，会弹出如下图所示的portal页面，要求提交帐号验证，认证成功后，先跳转至内网公告页面，如下图,密码认证成功后，先跳转到了内网公告页面,注意：(1)客户内网使用密码认证，想实现认证过程加密处理(2)客户申请了自己的域名，希望认证页面URL以域名呈现,(3)认证策略设置密码认证，默认https网站是不会触发弹密码认证页面的，如客户想实现内网未通过认证之前访问https页面也重定向到认证页面？,1、使用DKEY认证的用户，需下载并安装DKEY客户端,场景三配置（总经理上网使用DKEY认证）,2、新增DKEY认证的用户，手动生成DKEY,【用户认证与管理】【用户管理】【认证高级选项】选择Dkey用户,3、使用DKEY客户端进行认证,（1）用户安装完DKEY客户端后，会在桌面生成图标。,（2）电脑USB接口插入免审计key，并输入密码，如下图所示,（3）DKEY认证成功后，客户端会有如下提示,注意,认证Dkey有两种类型分别为免认证Key（绿色）、特权Key（紫色）；特权Key又分免控制和免审计,场景四配置（IT部使用不需要认证上网）,1、首先为办公区的用户建一个用户组，在【用户与策略管理】【用户管理】【组/用户】中，点新增，选择【组】，定义组名：IT部，设置完后点提交。,2、配置认证策略新增认证策略，选择认证方式，本案例的要求不需要认证，不绑定任何地址。,3、效果展示IT部员工通过AC上网时，在AC在线用户管理可以看到用户已在AC上线。如下图。,案例背景二,（1）IT部上网，认证不受限制，但是要求认证之前弹出来提醒页面。,某集团公司内部有多个部门，现各个部门的上网要求如下：,（2）公共上网区需要输入账号和密码才能上网，现管理员要求初次认证时自动绑定终端的MAC，保证每个账号只能在固定的1台电脑上登陆；且已经认证的用户下次上网无需输入账号密码可直接上网,场景一解决方案,1、设置认证策略，配置认证范围、认证方式选择不需要认证、认证后处理高级选项选择显示免责申明页面。,1、设置认证策略，配置认证范围、认证方式选择密码认证，认证后处理选择自动录入用户和IP/MAC的绑定关系选择绑定MAC；同时勾选开启免认证设置免认证的有效期。,场景二解决方案,2、【用户管理】【用户绑定】高级设置，设置每个用户终端数为“1”,说明：用户绑定指的是用户和ip或mac的绑定关系，配置后全局生效，账号可以是私有账号可以是公有账号。,3、测试效果,（1）终端打开网页输入账号密码认证成功,（2）【用户管理】【用户绑定】可以看到自动添加了账号和mac的绑定关系,（3）已经认证的用户下次需要上网，无需认证直接就可上网。,说明：如果希望密码认证免认证用户在上线时弹出免责申明页面也可以设置。,密码认证安全性,设置用户密码强度,设置密码强度主要为了满足对WEB认证用户的密码安全的需求。密码强度限制仅对私有用户在客户端修改密码有效，管理员在控制台建立或修改密码不受此限制。,设置用户密码强度,配置步骤：【用户与策略管理】【认证高级选项】,设置用户密码强度,客户端登陆修改密码：,强制客户端初次认证修改密码,应用背景：用户批量导入或者大量加入的时候，初始密码是一致的，这样很不安全，希望终端用户首次认证时，自行修改密码解决思路：强制要求用户初次认证时自行修改密码。注意事项：1.仅对设备本地密码认证的用户有效2.用户认证后会自动跳转到修改密码窗口，若不修改则无法上网。,配置方法：1.添加用户时：在【用户与策略管理】【用户管理】【组/用户】中，点击新增，在【本地密码】设置的下方勾选“初次认证修改密码”。,强制客户端初次认证修改密码,2.导入用户时：【用户与策略管理】【用户管理】【用户导入】，点击CSV格式文件导入时，勾选初次认证修改密码。,启用了初次认证修改密码，用户第一次认证通过后会跳转到修改密码页面，修改完成后出现如下页面：,提示：1.此页面为静态页面，不会自动跳转到之前访问的internet页面。2.修改密码后生效可能有30秒的延迟，建议在30秒内不要注销或重新登录。,用户注销,如何注销已经通过认证的用户,当需要已经认证成功的用户从AC下线时，可以通过AC网关控制台注销用户或在客户端手动注销来实现。,控制台注销用户：,1.在线用户列表强制注销（不需要认证用户，DKEY用户，临时用户不能被注销），（管理员可以通过此处强制注销在线用户，使用比较少）,2.无流量自动注销用户（适用于所有认证类型的用户，且对下线实时要求不高的用户，默认是采用这种注销方式）,3.密码认证用户，关闭注销窗口即下线（只适用于密码认证用户，且用户要求实时注销，即电脑关机就注销）,用户认证成功后，自动跳转到如下注销页面，用户可以手动点击页面上的“注销”按钮完成注销。,终端关闭此页面或手动点击注销按钮即可完成自动注销，使用户下线。,4.客户端手动注销认证，通过输入http:/ACIP打开认证和注销的页面，手动点击注销（只适用于密码认证的用户和单点登录的用户，使用的较少）。,5.定时强制注销所有在线用户功能（适用于所有认证类型的用户）,练练手,某酒店内部是一个二层网络（/24），每台电脑均分配了一个固定的IP地址，要求内部员工上网只能使用