32防火墙用户管理与认证技术

1、乾颐堂网络用户管理及认证技术236733656乾颐堂网络前言l 在企业网应用场景中，用户是网络资源的主体，为了保证网络资源的安全性，应该对用户进行适当的认证的。支持对上网用户和接入用户分别进行管理，并且支持本地认证、服务器认证、单点登录等用户认证方式。本节主要讲解用户管理和认证的基本原理、应用场景、等知识。配置及故障排除236733656第1页乾颐堂网络目标课程后，您将能够:lp 列举p 描述p 描述p 配置p 配置支持的用户类别和认证上用户认证的流程上用户单点登录的原理上网用户本地认证上网用户单点登录236733656第2页乾颐堂网络目录1. 用户与认证基本概念2. 用户与认证应用场景3.

2、用户与认证配置4. 处理用户与认证故障236733656第3页乾颐堂网络用户与认证基本概念l 用户指的是网络资源的主体，表示“谁”在进行，是网络p 上网用户p 接入用户行为的重要标识，用户的两种形式：通过认证来验证者的，对者进行l认证的方式p 本地认证p 服务器认证p 单点登录：236733656第4页乾颐堂网络用户认证的目的l 基于用户实现精细化管理：p 基于用户进行策略的可视化制定，提高策略的易用性。p 基于用户进行威胁、流量的报表查看和统计分析，实现对用户网络行为的追踪审计。p 解决了IP地址动态变化带来的策略对变化的IP地址。问题，即以不变的用户应0 0

3、 管理者研发财务市场236733656第6页用户管理与认证乾颐堂网络树形用户组织结构l 用户按树形结构组织，用户隶属于组（部门）。管理员可以根据企业的组织结构来创建部门和用户。这种方式易于管理员、定位，是常用的用户组织方式。树形组织结构如右图所示： 部门对应用户组 员工对应用户 236733656第7页跨部门组对应安全组跨部门群组员工D员工C员工B员工A研发2部研发1部来访市场部认证域研发部乾颐堂网络认证域通过识别用户名中包含的认证域，将所有待认证的用l N户“分流”到对应的认证域中，根据认证域上的

4、配置来对用 户进行认证。l 用户名中后面的字符为认证域。p 如用户susansales属于sales认证域。l 如果用户名中无则用户属于缺省default域。p 如用户susan属于default域。236733656第8页乾颐堂网络用户/组的来源上的用户可以通过如下方式创建：p 手工创建p 从CSV文件导入p 从服务器导入l自动发现并创建p236733656第9页乾颐堂网络用户的基本属性l 登录名（必须）l 显示名l 描述l 所属组（必须）ll 账号过期时间多人同时使用该账号登录ll IP/MAC绑定236733656第11页乾颐堂网络上网用户认证触发方式l 免认证l 会话认证l 事前认证l

5、 AD域单点登录l TSM单点登录l RADIUS单点登录236733656第13页乾颐堂网络用户认证总体流程单点登录免认证会话认证事前认证否二次认证是上网用户认证流程接入用户认证流程接入用户二次认证236733656第14页接入用户认证触发完成认证本地认证本地用户/组认证服务器器服务器认证SecurID服务器认证域LDAP服务器AD服务器HWTACACS服务Radius服务器获取用户与IP/MAC双向绑定认证策略认证不认证与服务器联动上网用户上网用户上网用户上网用户乾颐堂网络免认证l 对于企业的高级管理者，他们希望可以简化操作过程，不输入用户名和就可以完成认证并网络资源，同时对安者可以使用免

6、认全要求又更加严格。此种情况下，这类证的方式来触发l 免认证是指上的认证。通过识别IP/MAC和用户的双向绑定，确定者的。进行免认证的网络资源。者只能使用特定的IP/MAC地址来236733656第15页乾颐堂网络会话认证l 如果实际网络环境中者只使用单一的HTTP业务网络资源，建议使用会话认证方式来触发上的认证。l 会话认证是指，在者不主动进行认证，先进行HTTP业务过程中自动触发认证。认证通过后，再进行业认证通过后务。1HTTP/HTTPS业务3HTTP/HTTPS业务者N2 重定向至认证页面认证数据流业务数据流236733656第16页乾颐堂网络事前认证l 事前认证是指面，先主动进行者在

7、网络资源之前，已经知道认证页认证，认证通过后，再网络资源。1认证页面进行认证N者2认证通过后Internet认证数据流业务数据流236733656第17页乾颐堂网络单点登录原理l 在企业能部署了AD域服务器（或RADIUS服务器、TSM服务器）对用户进行认证。者通常希望经过这些服务器的认证后，就会自动通过的认证，把访该用户添加到指定的用户组中，然后可以所有的问的网络资源。此种情况下，者可以使用AD单点登录（或TSM单点登录）的方式来触发上的认证。236733656第18页乾颐堂网络AD域单点登录实现l 在AD环境中，会自动通过N 此种情况下，者通常希望经过AD服务器的认证后，就的认证，然后可以

8、所有的网络资源。者可以使用AD单点登录的方式来触发上的认证。Nl AD单点登录时，N的消息：提供如下两种方式获取用户认证通过：插件方式：免插件方式pp236733656第19页乾颐堂网络AD域单点登录实现（插件方式）AD服务器(AD域器)13 确认用户登录AD域N者发送用户登录24发送用户登录AD器(可以与AD服务器部署在一起)认证数据流业务数据流236733656第20页AD单点登录服务登录脚本/注销脚本乾颐堂网络AD域单点登录实现（非插件方式）AD服务器(AD域器)登录AD域认证数据流镜像数据流者N认证数据流镜像数据流业务数据流236733656第21页乾颐堂网络TSM单点登录实现l 为了

9、实现TSM单点登录，管理员需要在TSM服务器（TSM器）上配置与息发送至的通信参数，确保TSM服务器可以将用户的登录信。同时在上配置TSM服务器以及TSM单点登录参数，接收TSM器发送的用户登录/注销消息。TSM服务器(TSM器)2发送用户登录1登录TSM者N认证数据流业务数据流236733656第22页增加N乾颐堂网络RADIUS单点登录实现l 在RADIUS环境中，就会自动通过N者通常希望经过RADIUS服务器的认证后，的认证，然后可以所有的网络资源；此种情况下，的认证。者可以使用RADIUS单点登录的方式来触发N上RADIUS服务器2NAS14N3镜像接口者认证数据流业务数据流23673

10、3656第23页乾颐堂网络接入用户触发认证的方式接入用户接入用户接入用户l SSLl L2TPl IPSecl PPPoE接入用户236733656第24页乾颐堂网络认证策略l 认证策略的作用是选出需要进行免认证或会话认证的数据流。p 对免认证的数据流，p 对会话认证的数据流，根据用户与IP/MAC地址的绑定会推送认证页面。来识别用户。p 认证策略对单点登录或事前认证方式不起作用。l 认证策略的条件：p 源安全区域、目的安全区域、源地址/地区、目的地址/地区l 认证策略的动作：认证、不认证。l 匹配顺序：从上往下进行匹配。236733656第25页乾颐堂网络认证服务器上用户认证支持的服务器类型

11、有：p RADIUS服务器p HWTACACS服务器p LDAP服务器p AD服务器p SecurID服务器p TSM服务器lAD服务器示例第26页236733656乾颐堂网络HWTACACS协议与RADIUS协议的比较236733656第27页HWTACACSRADIUS使用TCP协议，网络传输更可靠使用UDP，网络传输效率更高除了标准的HWTACACS报文头，对报文主体全部进行加密只是对认证报文中的字段进行加密认证与分离，使得认证、服务可以分离在不同的服务器上实现认证与一起处理，难以分离适于进行安全适于进行计费支持对配置命令进行，用户输入的每一条命令都需要通过服务器如果通过，命令就可以被执

12、行不支持对配置命令进行乾颐堂网络目录1. 用户与认证基本概念2. 用户与认证应用场景3. 用户与认证配置4. 处理用户与认证故障236733656第28页乾颐堂网络用户认证的使用场景l 上网用户认证的使用场景有：p 本地认证p AD单点登录p TSM单点登录p RADIUS单点登录p 服务器认证l 接入用户的使用场景有：接入后接入后接入后资源资源资源资源p SSLp L2TPp IPSecp PPPoE接入后236733656第29页乾颐堂网络上网用户：本地认证上了用户/组和等。内部网络中的者在网络资者使用的上基于此l N源之前，必须先通过N用户名和IP地址之间的对应的认证。认证后，N网络资源

13、时，N。者用户或用户所属组的策略决定者的权限和行为。资源服务器2者N1group认证数据流业务数据流user1/pwd1user2/pwd2user3/pwd3236733656第30页乾颐堂网络上网用户：AD单点登录groupuser1/pwd1 user2/pwd2 user3/pwd3资源服务器AD服务器(AD域器)1N者2group认证数据流业务数据流user1 user2user3236733656第31页乾颐堂网络上网用户：TSM单点登录groupuser1/pwd1 user2/pwd2 user3/pwd3资源服务器TSM 服务器1N者2group认证数据流业务数据流user1

14、 user2user3236733656第32页乾颐堂网络上网用户：RADIUS单点登录groupuser1/pwd1 user2/pwd2user3/pwd3RADIUS服务器资源服务器1NASN者2认证数据流业务数据流groupuser1user2user3236733656第33页乾颐堂网络上网用户：服务器认证l 认证时，N作为认证服务器group的客户端，将用户名和发送给认证服务器进行认证。l 支持服务器有：p RADIUS、HWTACACS、或SecurID认证服务器（需在上创建用户组）。p AD、LDAP（可以导入用户组）。user1/pwd1 user2/pwd2 user3/p

15、wd3认证服务器资源服务器1者2Ngroup 认证数据流业务数据流user1user2user3236733656第34页乾颐堂网络资源接入用户：SSL接入后l 分支机构员工或出差员工接入时，必须先通过N的认证。认证后，对于使者使用用网络扩展业务的者，N会为其分配私网IP地址，同时会。的用户和私网IP地址之间的对应l 在，N资源阶段，由于N已了者使用的用户和私网IP地址的对应上基于此用户或用户所属组的策略决定了者的权限和行为，在这一阶分支机构员工/出差员工段无需对者进行二次认证。21总部SSLTunnel者资源服务器Ngroup认证数据流业务数据流user1/pwd1 user2/pwd2 u

16、ser3/pwd3236733656第35页乾颐堂网络资源接入用户：L2TP接入后拨号方式：l LACp 在接入阶段，N问者可以直接（LNS）对LAC进行认证。隧道一旦建立，分支机构中的访总部的网络资源。通过二次认证限定用户的权限与行为。p1一次认证分支机构者总部L2TP TunnelN(LNS)LAC资源服务器2二次认证3group认证数据流业务数据流/pwd1 user2/pwd2 user3/pwd3236733656第36页乾颐堂网络资源接入用户：L2TP接入后-Initiated方式：l NAS-Initiated/p 在接入阶段，使用用户名和通过拨号方式来触发L2TP隧道的建立。此

17、时，（LNS）会资源阶段，N者使用的用户和私网IP地址之间的对应。者的权Np 在可以直接根据接入阶段者进行二次认证。的用户来限和行为，不需要对2一次认证1分支机构者总部NAS-Initialized L2TP Tunnel-Initialized L2TP TunnelN(LNS)资源服务器LAC出差员工12一次认证group认证数据流业务数据流user1/pwd1 user2/pwd2 user3/pwd3236733656第37页乾颐堂网络资源接入用户：IPSec接入后l 分支机构与总部建立IPSec隧道。隧道建立后，分支机构中的者在访问企业总部的网络资源之前，必须先通过N者使用的用户和I

18、P地址之间的对应的认证。认证。分支机构中的后，N总部网络资者源时，N上基于此用户或用户所属组的策略决定了者的权限和行为。分支机构者总部IPSec Tunnel资源服务器N_AN_B12group认证数据流业务数据流user1/pwd1 user2/pwd2user3/pwd3236733656第38页乾颐堂网络资源接入用户：PPPoE接入后作为PPPoE Server，者作为PPPoE。在接入阶段，者使用用会为l N户名和通过拨号方式来触发PPPoE协商。PPPoE连接建立过程中，N者分配私网IP地址，同时会系。者使用的用户和私网IP地址之间的对应关l 在资源阶段，N可以直接根据资源接服入务阶

19、器段的用户来者的权限和行为，不需要对者进行二次认证。2N(PPPoE Server)1者(PPPoE)group认证数据流业务数据流user1/pwd1 user2/pwd2 user3/pwd3236733656第39页乾颐堂网络目录1. 用户与认证基本概念2. 用户与认证应用场景3. 用户与认证配置3.1 配置用户与用户组3.2 配置认证选项3.3 配置认证服务器3.4 案例1：使用本地认证实现用户上网3.5 案例2：使用单点登录实现用户上网4. 处理用户与认证故障236733656第40页乾颐堂网络命令配置认证域236733656第41页步骤配置项目配置命令1配置aaaaaa2配置认证策

20、略authentication-scheme ad authentication-mode ad3配置认证域domain domain001 authentication-scheme ad ad-server ad001service-type internetaccess referenced by usergroup /sales referenced by usergroup /research new-user add-local group root auto- import ad001本配置中以AD认证域为示例，其它认证类型参考备注乾颐堂网络WEB配置认证域l 接入：对用户的类型

21、。l 认证服务器：服务器的地址。l IP地址池：L2TP用户和PPPoE用户需要。l 新用户认证选项：单点登录时需要。236733656第42页乾颐堂网络新用户处理方式根据新用户选项来决定对新用户的处理方式，新用户登录。：l Np 不p 添加到指定的用户组中。p 仅作为临时用户，不添加到本地用户列表中。236733656第43页乾颐堂网络命令配置用户和组236733656第44页步骤配置项目配置命令1配置用户名user-manage user user001alias tom001password1232（可选）配置过期时间expire-time 2015/12/313（可选 ）配置多人登录及

22、IP绑定multi-ip online enable bind mode unidirectional bind ipv4 14配置用户组user-manage group /researchuser-manage group /research/group1 user-manage group /research/group25（可选）组中添加用户user-manage group /research/group1 add user user001乾颐堂网络命令导入或导出用户和组CSV文件示例236733656第45页步骤配置项目配置命令1（可选）导出组中用户到CSVuse

23、r-manage user-export from group /research/group1 to group1.csv2（可选）导出单个用户到CSVuser-manage user-export user user001 to user001.csv3（可选）从CSV导入用户user-manage user-import group2.csv auto-create-group override4（可选）从服务器导入用户user-manage import-policy policy_import from ad server template auth_server_adserver

24、basedn dc=cce,dc=com destination-group rootuser-attribute sAMName user-filter(&(|(objectclass=)(objectclass=organizational)(cn=*)(!(objectcl ass=computer)group-filter (|(objectclass=organizationalUnit)(ou=*) import-type allimport-override enable乾颐堂网络WEB配置组l 点击“对象-用户-用户/组”，点“新建-新建组”。236733656第46页

25、乾颐堂网络WEB配置用户l 点击“对象-用户-用户/组”，选中组后点“新建-新建用户”。236733656第47页乾颐堂网络从WEB导入本地用户l 点击“对象-用户-用户导入”，点“本地导入”。p 点“CSV模板p 在模板里编辑用户”，用户及组模板。，修改好后保存。p 最后点“浏览”，选中修改CSV文件，点“开始导入”。236733656第48页乾颐堂网络从WEB导入AD域用户l 点击“对象-用户-用户导入”，点“服务器导入”。p 如下配置参数（选服务器类型为AD）。p 其中服务器名称里，需要新建一个AD服务器。236733656第49页乾颐堂网络从WEB导入TSM用户l 点击“对象-用户-用

26、户导入”，点“服务器导入”。p 如下配置参数（选服务器类型为TSM）。p 其中服务器名称里，需要新建一个TSM服务器。236733656第50页乾颐堂网络目录1. 用户与认证基本概念2. 用户与认证应用场景3. 用户与认证配置3.1 配置用户与用户组3.2 配置认证选项3.3 配置认证服务器3.4 案例1：使用本地认证实现用户上网3.5 案例2：使用单点登录实现用户上网4. 处理用户与认证故障236733656第51页乾颐堂网络命令配置认证选项236733656第52页步骤配置项目配置命令1配置策略password-policy level high firstmodify enablelef

27、ttime 90 alarmtime 102配置认证页面user-manage web-authentication enableuser-manage web-authentication security port8088user-manage redirectuser-manage local-authentication authentication- failed-times 3 locked-time locked-time 5user-manage online-user aging-time 240乾颐堂网络WEB配置认证选项l 点击“对象-用户-认证选项-全局配置”，如下参数

28、：236733656第53页乾颐堂网络命令配置单点登录236733656第54页步骤配置项目配置命令1配置AD域单点登录user-manage single-sign-on ad shared-key123user-manage single-sign-on ad add-temporary group /researchuser-manage single-sign-on ad enable2配置TSM单点登录user-manage single-sign-on tsm add-temporary group /researchuser-manage single-sign-on tsm e

29、nable乾颐堂网络WEB配置单点登录l 点击“对象-用户-认证选项-单点登录”，如下参数：236733656第55页乾颐堂网络目录1. 用户与认证基本概念2. 用户与认证应用场景3. 用户与认证配置3.1 配置用户与用户组3.2 配置认证选项3.3 配置认证服务器3.4 案例1：使用本地认证实现用户上网3.5 案例2：使用单点登录实现用户上网4. 处理用户与认证故障236733656第56页乾颐堂网络命令配置RADIUS服务器236733656第57页步骤配置项目配置命令1创建服务器模板radius-server template radius0012配置认证服务器地址radius-serv

30、er authentication 00 18123（可选 ）配置计费服务器地址radius-servering 00 18134配置shared-keyradius-server shared-key1235（可选 ）配置用户名格式radius-server user-name domain-included6（可选）配置服务器的重传次数radius-server retransmit 37（可选）配置服务器的重传超时radius-server timeout 58测试服务器radius-server test user 123乾颐堂网

31、络WEB配置RADIUS服务器l 点击“对象-认证服务器-RADIUS-新建”，按如下参数配置：236733656第58页乾颐堂网络命令配置AD服务器236733656第59页步骤配置项目配置命令1创建AD服务器模板ad-server template ad0012配置AD认证服务器ad-server authentication 00 883配置AD服务器的根区别名ad-server authentication base-dn dc=wlan,dc=,dc=com4配置AD服务器的管理员区别名和管理员ad-server authentication manager cn

32、=Administrator1235配置AD认证服务器的主机名ad-server authentication host-name WIN- 3Y01ER2QP1R.6配置AD服务器的LDAP端口ad-server authentication ldap-port 3897配置管理员DN附带Base DNad-server authentication manager-with-base-dn enable8配置AD服务器的用户过滤字段ad-server user-filter sAMName9配置AD服务器的组过滤字段ad-server group-filter ou乾颐堂网

33、络WEB配置AD服务器l 点击“对象-认证服务器-AD-新建”，按如下参数配置：236733656第60页乾颐堂网络命令配置TSM服务器236733656第61页步骤配置项目配置命令1创建TSM服务器模板tsm-server template tsm0012配置TSM服务器的IP地址tsm-server shared-key1233配置TSM服务器的共享密钥tsm-server ip-address 50乾颐堂网络WEB配置TSM服务器l 点击“对象-认证服务器-TSM-新建”，按如下参数配置：236733656第62页乾颐堂网络命令配置认证策略236733656第63页步

34、骤配置项目配置命令1进入认证策略视图auth-policy2配置不认证策略rule name ADSRV source-zone trust destination-zone untrustsource-address 00 32 action no-auth3配置认证策略rule name AccessInternet source-zone trust destination-zone untrustsource-address 24 action auth4移动策略rule move rule-name1 after | before rule-

35、name2乾颐堂网络WEB配置认证策略l 点击“策略-认证策略-新建”，按如下参数配置：236733656第64页乾颐堂网络用户登陆测试l 使用PC连接到trust区域，任何untrust区域的IP地址。236733656第65页乾颐堂网络在上用户l 点击“对象-用户-”，可以完成：p 用户刷用户状态。p 强制注销、全部强制注销。p 用户冻结、解冻。236733656第66页乾颐堂网络目录1. 用户与认证基本概念2. 用户与认证应用场景3. 用户与认证配置3.1 配置用户与用户组3.2 配置认证选项3.3 配置认证服务器3.4 案例1：使用本地认证实现用户上网3.5 案例2：使用单点登录实现用

36、户上网4. 处理用户与认证故障236733656第67页乾颐堂网络组网拓扑及场景l 某企业在网络边界处部署了USG作为出口网关，连接内部网络与Internet。l 企业内部网络中的者角色高级管理者、研发部员工、市场部员工和来访客户。其中，高级管理者使用固定的IP地址；研发部员工、市场部员工和来访客户动态获取IP地址。236733656第68页乾颐堂网络组网需求l 在N上用户和部门的，体现公司的组织结构，供策略。l 对于高级管理者，为了提高其办公效率，要求省略认证过程。l 研发部员工和市场部员工网络资源之前必须通过N的认证。l 对于来访客户，网络资源之前必须通过N的认证，并且只能

37、使用特定的用户Guest来进行认证。者使用会话认证的方式来触发认证过程，即者使用IE浏览器l某个WEB页面，N会将IE浏览器重定向到认证页面。认证通过后，IE浏览器的界面会自动跳转到先前的WEB页面。236733656第69页乾颐堂网络配置思路组网需求，制定如下配置思路：lp 接口和基本配置（略）。p 创建用户和组。p 配置高级管理者用户绑定IP。p 配置default域，添加参考的用户组。p 配置安全策略。l 配置流程如右图所示：236733656第70页乾颐堂网络创建用户组l 选择“对象-用户-用户/组”，点“新建”。p 分别创建用户组manager、research、marketing。

38、236733656第71页乾颐堂网络创建本地用户l 在“成员管理”中，单击“新建”，选择“新建用户”，按如下参数配置：236733656第72页乾颐堂网络认证全局配置l 选择“对象-认证-全局选项”，配置参数如下：236733656第73页乾颐堂网络配置认证策略-高级管理者不认证l 选择“策略-认证策略”，点“新建”，如下所示：236733656第74页乾颐堂网络配置认证策略-普通用户认证l 选择“策略-认证策略”，点“新建”，如下所示：236733656第75页乾颐堂网络配置认证域l 选择“对象 > 用户 > 认证域”，单击“default”，按如下参数配置：236733656第

39、76页乾颐堂网络配置安全策略l 选择“策略 > 安全策略”，如下新建两条策略：236733656第77页乾颐堂网络测试用户认证l 在USG上的“对象 > 用户 > 用户/组”中可以查看到用户/组的。l 高级管理者A无需进行认证就可以网络资源。l 研发部、市场部员工和访客使用IE浏览器，将会重定向至认证页面，输入相应的用户名后可以l 在USG上的“对象 > 用户 >。”中可以查看到在线用户的。236733656第78页乾颐堂网络目录1. 用户与认证基本概念2. 用户与认证应用场景3. 用户与认证配置3.1 配置用户与用户组3.2 配置认证选项3.3 配置认证服务器3

40、.4 案例1：使用本地认证实现用户上网3.5 案例2：使用单点登录实现用户上网4. 处理用户与认证故障236733656第79页乾颐堂网络组网场景及拓扑l 某企业在网络边界处部署了USG作为出口网关，连接内部网络与Internet。具体情况如下：DMZ/24文件服务器邮件服务器p 内部网络中已经部署了Trust/24Untrust认证机制，AD服ADAD服务器务器上存放了用户和组(AD域器)51的。GE1/0/2 /24GE1/0/3 10 3 0 1/24p 内部网络中的者角研发部员工GE1/0/1 /24色研发部

41、员工和市N场部员工。市场部员工AD器54236733656第80页乾颐堂网络组网需求l 在N上用户和部门的组织结构，供策略。l 研发部员工和市场部员工使用域账号和登录AD域后，无需再进行认证就可以网络资源。l 对于新入职的员工，通过认证后先将其添加到指定的组中，后续管理员再调整其所属组。236733656第81页乾颐堂网络配置思路组网需求，制定如下配置思路：p 配置接口IP和安全区域（略）。p 在USG上配置AD服务器。p 配置用户导入策略、导入AD上用户。p 在USG上配置单点登录。p 修改用户超时时间。p 在AD上配置单点登录服务。l 右图为AD单点登录认证流程：l2367

42、33656第82页乾颐堂网络配置安全策略放行AD服务到Locall 选择“策略-安全策略”，点“新建”，配置策略火墙双向通信。AD和防236733656第83页乾颐堂网络配置AD服务器l 选择“对象 > 认证服务器 > AD”，点“新建”。236733656第84页乾颐堂网络配置AD用户导入策略l 选择“对象 > 用户 > 用户导入 > 服务器导入”，点“新建”。l 单击确定后，在策略中点击“”启动用户导入。236733656第85页乾颐堂网络在USG上创建新用户所属的组l 选择“对象 > 用户 > 用户/组”，在成员管理中“新建”。236733656第86页乾颐堂网络在USG上配置单点登录参数l