hc用户管理与认证技术

1、HC13031034用户管理及认证技术Copyright © 2014Technologies Co.,.s.前言l 在企业网应用中场景中，用户是网络的主体，为了保证网络的安全性，应该对用户进行适当的认证和合理支持对上网用户和接入用户进行分别管的。理，并且支持本地认证、服务器认证、单点登陆等用户认证方式。本节主要讲解用户管理和认证的基本原理、应用场景、配置方法及故障排除方法等知识。Copyright © 2014Technologies Co.,.s.Page 1目标l 学完本课程后，您将能够:p 列举p 描述p 描述p 配置p 配置支持的用户类别和认证方法上用户认证的流程

2、上用户单点登陆的原理上网用户本地认证上网用户单点登陆Copyright © 2014Technologies Co.,.s.Page 2目录3.3 使用本地认证实现用户上网3.4 使用单点登陆实现用户上网Copyright © 2014Technologies Co.,.s.Page 3目录Copyright © 2014Technologies Co.,.s.Page 4用户与认证基本概念l 用户指的是网络的主体，表示“谁”在进行，是网络行为的重要标识，用户的两种形式：p 上网用户p 接入用户通过认证来验证方式包括：p 本地认证p 服务器认证p 单点登陆者的，对

3、者进行认证的lCopyright © 2014Technologies Co.,.s.Page 5用户认证的目的l 基于用户实现精细化管理p 基于用户进行策略的可视化制定，提高策略的易用性。p 基于用户进行威胁、流量的报表查看和统计分析，实现对用户网络行为的追踪审计。p 解决了IP地址动态变化带来的策略控制问题，即以不变的用户应对变化的IP地址。Copyright © 2014Technologies Co.,.s.Page 6用户的基本属性l 登录名（必须）l 显示名l 描述l 所属组（必须）ll 账号过期时间l 允许多人同时使用该账号登录l IP/MAC绑定Copyri

4、ght © 2014Technologies Co.,.s.Page 7树形用户组织结构l 用户按树形结构组织，用户隶属于组（部门）。管理员可以根据企业的组织结构来创建部门和用户。这种方式易于管理员、，是常用的用户组织方式。树形组织结构如图所示：Copyright © 2014Technologies Co.,.s.Page 8用户/组的来源上的用户可以通过如下方式创建p 手工创建p 从CSV文件导入p 从服务器导入p 设备自动发现并创建lCopyright © 2014Technologies Co.,.s.Page 9用户认证总体流程上的认证过程由多个环节组成

5、，各个环节的处理存在先后顺序。根据不同的部署方式和网络环l境，提供了多种用户认证方案供管理员选择，如右图所示：Copyright © 2014Technologies Co.,.s.Page 10上网用户认证触发方式l AD域单点登陆l TSM单点登陆l 免认证l 会话认证l 事前认证Copyright © 2014Technologies Co.,.s.Page 11单点登陆原理l 在企业网中可能同时部署了AD域服务器（或TSM服务器）对用户进行认证。者通常希望经过AD服务器（或TSM服务器）的认证后，就会自动通过的认证，然后可以者可以使用AD单点上的认证。所有的网络。此

6、种情况下，登录（或TSM单点登陆）的方式来触发Copyright © 2014Technologies Co.,.s.Page 12AD域单点登陆实现l 为了实现AD单点登录，管理员需要在AD服务器（AD域控制器）上部署AD单点登录服务，设置登录录参数，接收AD服务器和注销，同时在上配置AD单点登的用户登录/注销消息。AD域单点登陆示意图Copyright © 2014Technologies Co.,.s.Page 13TSM单点登陆实现l 为了实现TSM单点登录，管理员需要在TSM服务器（TSM控制器）上配置与的通信参数，确保TSM服务器可以将用户的登录至防火墙。同时在

7、上配置TSM服务器以及TSM单点登录参数，接收TSM控制器的用户登录/注销消息。TSM域单点登陆示意图Copyright © 2014Technologies Co.,.s.Page 14免认证l 对于企业的高级管理者，他们希望可以简化操作过程，不输入用户名和就可以完成认证并网络，同时对安全要求又更加严格。此种情况下，这类者可以使用免认证的方式来触发上的认证。通过识别IP/MAC和用户的双向绑定关系，确定者l的。进行免认证的者只能使用特定的IP/MAC地址来网络。Copyright © 2014Technologies Co.,.s.Page 15会话认证l 如果实际网络环

8、境中者只使用单一的HTTP业务网络，建议使用会话认证方式来触发上的认证。l 会话认证是指者不主动进行认证，先进行HTTP业务，在问。过程中进行认证。认证通过后，再进行业务访会话认证示意图Copyright © 2014Technologies Co.,.s.Page 16事前认证l 事前认证是指者在网络网络之前，先主动进行。认证，认证通过后，再事前认证示意图Copyright © 2014Technologies Co.,.s.Page 17接入用户触发认证的方式接入用户接入用户接入用户l SSLl L2TPl IPSecl PPPoE接入用户Copyright ©

9、; 2014Technologies Co.,.s.Page 18认证策略l 认证策略的作用是选出需要进行免认证或会话认证的数据流p 对免认证的数据流，p 对会话认证的数据流，根据用户与IP/MAC地址的绑定关系来识别用户会推送认证页面p 认证策略对单点登录或事前认证方式不起作用l 认证策略的条件：p 源安全区域、目的安全区域p 源地址/地区、目的地址/地区l 认证策略的动作：认证、不认证Copyright © 2014Technologies Co.,.s.Page 19认证域l 用户名中后面的字符为认证域p 如用户susansales属于sales认证域l 如果用户名中无则用户的

10、缺省属于default域p 如用户susan属于default域l 认证域中可以配置的选项p 认证方式：本地认证或服务器认证p 认证服务器：服务器的地址p 地址池：L2TP用户和PPPoE用户需要p 新用户选项：单点登陆时需要Copyright © 2014Technologies Co.,.s.Page 20新用户处理方式根据新用户选项来决定对新用户的处理方式，包括：l Np 不允许新用户登录p 添加到指定的用户组中p 仅作为临时用户，不添加到本地用户列表中Copyright © 2014Technologies Co.,.s.Page 21认证服务器上用户认证支持的服务

11、器类型有p RADIUS服务器p HWTACACS服务器p LDAP服务器p AD服务器p SecurID服务器p TSM服务器lAD服务器示例Copyright © 2014Technologies Co.,.s.Page 22HWTACACS协议与RADIUS协议的比较Copyright © 2014Technologies Co.,.s.Page 23HWTACACSRADIUS使用TCP协议，网络传输更可靠使用UDP协议除了标准的HWTACACS报文头，对报文主体全部进行加密只是对认证报文中的字段进行加密认证与分离认证与一起处理适于进行安全控制适于进行计费支持对配置

12、命令进行不支持对配置命令进行目录Copyright © 2014Technologies Co.,.s.Page 24用户认证的使用场景l 上网用户认证的使用场景有：p 本地认证p AD单点登陆p TSM单点登陆p 服务器认证l 接入用户的使用场景有：接入后接入后接入后接入后p SSLp L2TPp L2TPp IPSecp PPPoE接入后Copyright © 2014Technologies Co.,.s.Page 25上网用户：本地认证上了用户/组和等信息。内部网络中的的认证。认证成功后，N者在网络资者使用的 上基于此用l N源之前，必须先通过N用户和IP地址之间的

13、对应关系。户或用户所属组的策略决定了者网络时，N者的权限和行为。Copyright © 2014Technologies Co.,.s.Page 26上网用户：AD单点登陆l 认证时，由AD服务器对者进行认证，并将认证至N，使能够获取用户与IP地址的对应关系。者通过AD服务器的认证后进行认证，这种认证方式也N，就可以直接网络，无需再由N称为“AD单点登录”。Copyright © 2014Technologies Co.,.s.Page 27上网用户：TSM单点登陆l 认证时，由TSM服务器对者进行认证，并将认证至N，使N能够获取用户与IP地址的对应关系。者通过TSM服务器

14、的认进行认证，这种认证方证后，就可以直接网络，无需再由N式也称为“TSM单点登录”。Copyright © 2014Technologies Co.,.s.Page 28上网用户：服务器认证l 认证时，N作为认证服务器的客户端，将用户名和给认证服务器进行认证。l 支持服务器有p RADIUS、HWTACACS、或SecurID认证服务器（需在上创建用户组）p AD、LDAP（可以导入用户组）Copyright © 2014Technologies Co.,.s.Page 29接入用户：SSL接入后l 分支机构员工或出差员工接入时，必须先通过N的认证。认证成功后，对于使用网络

15、扩展业务的者，N会为其分配私网IP地址，同时会者使用的用户和私网IP地址之间的对应关系。l 在系，N阶段，由于N已经了者使用的用户和私网IP地址的对应关上基于此用户或用户所属组的策略决定了者进行二次认证。者的权限和行为，在这一阶段无需对Copyright © 2014Technologies Co.,.s.Page 30接入用户：L2TP接入后拨号方式l LACp 在接入阶段，N问者可以直接（LNS）对LAC进行认证。隧道一旦建立，分支机构中的访总部的网络。通过二次认证对限定用户的权限与行为pCopyright © 2014Technologies Co.,.s.Page

16、31接入用户：L2TP接入后l NAS-Initiated/Client-Initiated方式p 在接入阶段，使用用户名和通过拨号方式来触发L2TP隧道的建立。此时，（LNS）会阶段，N者使用的用户和私网IP地址之间的对应关系。Np 在可以直接根据接入阶段者进行二次认证。的用户来控制者的权限和行为，不需要对Copyright © 2014Technologies Co.,.s.Page 32接入用户：IPSec接入后l 分支机构与总部建立IPSec隧道。隧道成功建立后，分支机构中的者在访问企业总部的网络之前，必须先通过N的认证。认证成功后，N者使用的用户和IP地址之间的对应关系。分

17、支机构中的者总部网络资源时，N上基于此用户或用户所属组的策略决定了者的权限和行为。Copyright © 2014Technologies Co.,.s.Page 33接入用户：PPPoE接入后作为PPPoE Server，者作为PPPoE Client。在接入阶段，者使用用会为l N户名和通过拨号方式来触发PPPoE协商。PPPoE连接建立过程中，N者分配私网IP地址，同时会系。者使用的用户和私网IP地址之间的对应关l 在阶段，N可以直接根据接入阶段者进行二次认证。的用户来控制者的权限和行为，不需要对Copyright © 2014Technologies Co.,.s.

18、Page 34目录l 原理：用户与认证基本概念l 场景：用户与认证应用场景l 命令：配置用户与用户组l 命令：配置认证服务器l 案例1：使用本地认证实现用户上网l 案例2：使用单点登陆实现用户上网l 排障：处理用户与认证故障Copyright © 2014Technologies Co.,.s.Page 35命令配置用户和组Copyright © 2014Technologies Co.,.s.Page 36步骤配置项目配置命令1、配置用户名user-manage user user001alias tom001password1232、（可选）配置过期时间expire-t

19、ime 2015/12/313、（可选 ）配置多人登陆及IP绑定multi-ip online enable bind mode unidirectional bind ipv4 14、配置用户组user-manage group /researchuser-manage group /research/group1 user-manage group /research/group25、（可选）组中添加用户user-manage group /research/group1add user user001命令导入或导出用户和组CSV文件示例Copyright ©

20、2014Technologies Co.,.s.Page 38步骤配置项目配置命令1、（可选）导出组中用户到CSVuser-manage user-export from group /research/group1 to group1.csv2、（可选）导出单个用户到CSVuser-manage user-export user user001 to user001.csv3、（可选）从CSV导入用户user-manage user-import group2.csv auto-create-group override4、（可选）从服务器导入用户user-manage import-pol

21、icy policy_import from ad server template auth_server_adserver basedn destination-group rootuser-attribute sAMAccountName user-filter(&(|(objectclass=person)(objectclass=organizationalPerson)(cn=*)(!(objectcl puter)group-filter (|(objectclass=organizationalUnit)(ou=*) import-type allimport-overr

22、ide enableWEB配置组l 点击“对象-用户-用户/组”，点“新建-新建组”Copyright © 2014Technologies Co.,.s.Page 39WEB配置用户l 点击“对象-用户-用户/组”，选中组后点“新建-新建用户”Copyright © 2014Technologies Co.,.s.Page 40WEB导入本地用户l 点击“对象-用户-用户导入”，点“本地导入”p 点“CSV模板”，用户及组模板p 在模板里编辑用户信息，修改好后保存p 最后点“浏览”，选中修改好的CSV文件，点“开始导入”Copyright © 2014Techn

23、ologies Co.,.s.Page 41WEB导入AD域用户l 点击“对象-用户-用户导入”，点“服务器导入”p 如下配置参数（选服务器类型为AD）p 其中服务器名称里，需要新建一个AD服务器Copyright © 2014Technologies Co.,.s.Page 42WEB导入TSM用户l 点击“对象-用户-用户导入”，点“服务器导入”p 如下配置参数（选服务器类型为TSM）p 其中服务器名称里，需要新建一个TSM服务器Copyright © 2014Technologies Co.,.s.Page 43目录3.3 案例1：使用本地认证实现用户上网3.4 案例

24、2：使用单点登陆实现用户上网Copyright © 2014Technologies Co.,.s.Page 44命令配置认证选项Copyright © 2014Technologies Co.,.s.Page 45步骤配置项目配置命令1、配置策略password-policy level high firstmodify enablelefttime 90 alarmtime 102、配置认证页面user-manage web-authentication enableuser-manage web-authentication security port 8088 us

25、er-manage redirectuser-manage local-authentication authentication-failed- times 3 locked-time locked-time 5user-manage online-user aging-time 240WEB配置认证选项l 点击“对象-用户-认证选项-全局配置”，如下参数：Copyright © 2014Technologies Co.,.s.Page 46命令配置单点登陆Copyright © 2014Technologies Co.,.s.Page 47步骤配置项目配置命令1、配置A

26、D域单点登陆user-manage single-sign-on ad shared-key123user-manage single-sign-on ad add-temporary group/researchuser-manage single-sign-on ad enable2、配置TSM单点登陆user-manage single-sign-on tsm add-temporary group/researchuser-manage single-sign-on tsm enableWEB配置单点登陆l 点击“对象-用户-认证选项-单点登陆”，如下参数：Copyright 

27、9; 2014Technologies Co.,.s.Page 48目录3.3 案例1：使用本地认证实现用户上网3.4 案例2：使用单点登陆实现用户上网Copyright © 2014Technologies Co.,.s.Page 49命令配置RADIUS服务器Copyright © 2014Technologies Co.,.s.Page 50步骤配置项目配置命令1、创建服务器模板radius-server template radius0012、配置认证服务器地址radius-server authentication 0018123、（可选 ）配

28、置计费服务器地址radius-server accounting 00 18134、配置shared-keyradius-server shared-key1235、（可选 ）配置用户名格式radius-server user-name domain-included6、（可选）配置服务器的重传次数radius-server retransmit 37、（可选）配置服务器的重传超时radius-server timeout 58、测试服务器radius-server test user123WEB配置RADIUS服务器l 点击“对象-认证服务器-RADIUS-新建”,按如下

29、参数配置Copyright © 2014Technologies Co.,.s.Page 51命令配置配置AD服务器Copyright © 2014Technologies Co.,.s.Page 52步骤配置项目配置命令1、创建AD服务器模板ad-server template ad0012、配置AD认证服务器ad-server authentication 00 883、配置AD服务器的根区别名ad-server authentication base-dndc=wla4、配置AD服务器的管理员区别名和管理员ad-server authenticat

30、ion manager cn=Administrator 1235、配置AD认证服务器的主机名ad-server authentication host-name WIN-3Y01ER2QP6、配置AD服务器的LDAP端口ad-server authentication ldap-port 3897、配置管理员DN附带Base DNad-server authentication manager-with-base-dn enablead-server user-filter sAMAccountNamead-server group-filter ouWEB配置配置AD服务器l 点击“对象-

31、认证服务器-AD-新建”,按如下参数配置Copyright © 2014Technologies Co.,.s.Page 53命令配置配置TSM服务器Copyright © 2014Technologies Co.,.s.Page 54步骤配置项目配置命令1、创建TSM服务器模板tsm-server template tsm0012、配置TSM服务器的IP地址tsm-server shared-key1233、配置TSM服务器的共享密钥tsm-server ip-address 50WEB配置配置TSM服务器l 点击“对象-认证服务器-TSM-新建”,按

32、如下参数配置Copyright © 2014Technologies Co.,.s.Page 55命令配置认证域Copyright © 2014Technologies Co.,.s.Page 56步骤配置项目配置命令1、配置aaaaaa2、配置认证策略authentication-scheme adauthentication-mode ad3、配置认证域domain domain001 authentication-scheme ad ad-server ad001service-type internetaccess referenced by usergroup /

33、sales referenced by usergroup /research new-user add-local group root auto- import ad001本配置中以AD认证域为示例，其它认证类型参考备注WEB配置配置认证域l 点击“对象-用户-认证域-新建”,按如下参数配置Copyright © 2014Technologies Co.,.s.Page 57命令配置配置认证策略Copyright © 2014Technologies Co.,.s.Page 58步骤配置项目配置命令1、进入认证策略视图auth-policy2、配置不认证策略rule n

34、ame ADSRV source-zone trust destination-zone untrustsource-address 00 32 action no-auth3、配置认证策略rule name AccessInternet source-zone trust destination-zone untrustsource-address 24 action auth4、移动策略rule move rule-name1 after | before rule-name2WEB配置认证策略l 点击“策略-认证策略-新建”,按如下参数配置Cop

35、yright © 2014Technologies Co.,.s.Page 59用户登陆测试l 使用PC连接到trust区域，任何untrust区域的IP地址Copyright © 2014Technologies Co.,.s.Page 60在上用户l 点击“对象-用户-”，可以完成p 用户刷用户状态p 强制注销、全部强制注销p 用户冻结、解冻Copyright © 2014Technologies Co.,.s.Page 61目录3.3 案例1：使用本地认证实现用户上网3.4 案例2：使用单点登陆实现用户上网Copyright © 2014Techn

36、ologies Co.,.s.Page 62组网拓扑及需求l 某企业在网络边界处部署了USG作为出口网关，连接内部网络与Internet。l 企业内部网络中的者包级管理者、研发部员工、市场部员工和来访客户。其中，高级管理者使用固定的IP地址；研发部员工、市场部员工和来访客户动态获取IP地址。Copyright © 2014Technologies Co.,.s.Page 63配置思路l 针对组网需求，制定如下配置思路p 接口和安全域基本配置（略）p 创建用户和组p 配置高级管理者用户绑定IPp 配置default域，添加参考的用户组p 配置安全策略l 配置流程如右图所

37、示Copyright © 2014Technologies Co.,.s.Page 64创建用户组l 选择“对象 -用户 -用户/组”点“新建”p 分别创建用户组manager、research、marketingCopyright © 2014Technologies Co.,.s.Page 65创建本地用户l 在“成员管理”中，单击“新建”，选择“新建用户”，按如下参数配置Copyright © 2014Technologies Co.,.s.Page 66认证全局配置l 选择“对象-认证-全局选项”，配置参数如下Copyright © 2014Te

38、chnologies Co.,.s.Page 67配置认证策略-高级管理者不认证l 选择“策略-认证策略”点“新建”，如下所示Copyright © 2014Technologies Co.,.s.Page 68配置认证策略-普通用户认证l 选择“策略-认证策略”点“新建”，如下所示Copyright © 2014Technologies Co.,.s.Page 69配置认证域l 选择“对象 > 用户 > 认证域”，单击“default”，按如下参数配置：Copyright © 2014Technologies Co.,.s.Page 70配置安全策略

39、l 选择“策略 > 安全策略”，如下新建两条策略Copyright © 2014Technologies Co.,.s.Page 71测试用户认证l 在USG上的“对象 > 用户 > 用户/组”中可以查看到用户/组的信息。l 高级管理者A无需进行认证就可以网络，l 研发部、市场部员工和访客使用IE浏览器，将会重定向至认证页面，输入相应的用户名后可以l 在USG上的“对象 > 用户 >。”中可以查看到用户的信息。Copyright © 2014Technologies Co.,.s.Page 72目录3.3 案例1：使用本地认证实现用户上网3.4

40、 案例2：使用单点登陆实现用户上网Copyright © 2014Technologies Co.,.s.Page 73组网拓扑及需求l 某企业在网络边界处部署了USG作为出口网关，连接内部网络与Internet。具体情况如下：p 内部网络中已经部署了AD认证机制，AD服务器上存放了用户和组的信息。p 内部网络中的者包括研发部员工和市场部员工。Copyright © 2014Technologies Co.,.s.Page 74配置思路l 针对组网需求，制定如下配置思路p 配置接口IP和安全区域（略）p 在USG上配置AD服务器p 配置用户导入策略、导入AD上用户p 在US

41、G上配置单点登陆p 修改用户超时时间p 在AD上配置单点登陆服务l 右图为AD单点登陆认证流程Copyright © 2014Technologies Co.,.s.Page 75配置安全策略放行AD服务到Locall 选择“策略-安全策略”点“新建”，配置策略允许AD和防火墙双向通信Copyright © 2014Technologies Co.,.s.Page 76配置AD服务器l 选择“对象 > 认证服务器 > AD”，点“新建”Copyright © 2014Technologies Co.,.s.Page 77配置AD用户导入策略l 选择“对

42、象 > 用户 > 用户导入 > 服务器导入”点“新建”l 单击确定后，在策略中点击“”启动用户导入。Copyright © 2014Technologies Co.,.s.Page 78在USG上创建新用户所属的组l 选择“对象 > 用户 > 用户/组”，在成员管理中“新建”Copyright © 2014Technologies Co.,.s.Page 79在USG上配置单点登录参数l 选择“对象 > 用户 > 认证选项 > 单点登录”，配置如下Copyright © 2014Technologies Co.,.s.Page 80配置用户超时时间l 选择“对象 > 用户 > 认证选项 > 全局配置”Copyright © 2014Technologies Co.,.s.Page 81配置AD单点登录服务l 选择“对象 > 用户 > 认证选项 > 单点登录”，程序Copyright © 2014Technologies Co.,.s.Page 82在AD服务器上安装单点登陆程序l