SANGFOR_AC_v110_2016年度渠道初級(jí)認(rèn)證培訓(xùn)05_基礎(chǔ)認(rèn)證

1、基礎(chǔ)認(rèn)證培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)認(rèn)證方式介紹1. 了解AC設(shè)備支持的認(rèn)證方式及適用場景認(rèn)證功能配置1.掌握不需要認(rèn)證的配置2.掌握AC設(shè)備用戶名密碼認(rèn)證的配置3.了解AC設(shè)備DKEY認(rèn)證的適用場景和配置4.掌握地址綁定的適用場景和配置密碼認(rèn)證安全性1.掌握如何設(shè)置用戶密碼強(qiáng)度2.掌握如何強(qiáng)制客戶端初次認(rèn)證修改密碼用戶注銷功能介紹1.掌握如何注銷已經(jīng)通過認(rèn)證的用戶認(rèn)證方式介紹認(rèn)證功能配置深信服公司簡介SANGFOR AC&SG用戶注銷密碼認(rèn)證安全性認(rèn)證方式介紹認(rèn)證方式介紹認(rèn)證方式介紹概述：認(rèn)證功能主要用于對(duì)經(jīng)過AC設(shè)備上網(wǎng)的用戶進(jìn)行身份的驗(yàn)證。通過認(rèn)證功能可識(shí)別內(nèi)網(wǎng)上網(wǎng)用戶的身份，為后續(xù)的流量管

2、理、用戶上網(wǎng)權(quán)限策略及應(yīng)用審計(jì)提供基礎(chǔ)。SANGFORAC/SG認(rèn)證方式不需要認(rèn)證密碼認(rèn)證單點(diǎn)登錄不允許認(rèn)證(禁止上網(wǎng))本地密碼認(rèn)證第三方服務(wù)器密碼認(rèn)證短信認(rèn)證微信認(rèn)證二維碼認(rèn)證LDAP單點(diǎn)登錄數(shù)據(jù)庫單點(diǎn)登錄Web單點(diǎn)登錄PPPOE單點(diǎn)登錄POP3單點(diǎn)登錄PROXY單點(diǎn)登錄第三方設(shè)備單點(diǎn)登錄（銳捷，H3C，城市熱點(diǎn)）深信服設(shè)備之間單點(diǎn)登錄Radius單點(diǎn)登錄(LOGON，域監(jiān)控單點(diǎn)登錄，IWA ,監(jiān)聽) ADSSO Dkey認(rèn)證認(rèn)證方式介紹認(rèn)證方式介紹認(rèn)證方式介紹認(rèn)證方式介紹 1、不需要認(rèn)證 設(shè)備根據(jù)數(shù)據(jù)包的源IP地址、VLANID、源MAC地址、上網(wǎng)PC的計(jì)算機(jī)名來標(biāo)識(shí)用戶。 優(yōu)點(diǎn)：終端用戶

3、上網(wǎng)認(rèn)證的過程是透明的，不會(huì)感知AC的存在。一般適用于對(duì)認(rèn)證要求不嚴(yán)格的場景 認(rèn)證方式介紹認(rèn)證方式介紹當(dāng)用戶首次通過AC上網(wǎng)時(shí)，AC會(huì)要求用戶提交用戶名密碼信息，如果用戶提交的用戶名密碼信息和AC本地（或第三方服務(wù)器）一致，則給予認(rèn)證通過。 一般適用于對(duì)認(rèn)證要求嚴(yán)格，希望上網(wǎng)日志記錄具體的帳號(hào)，或希望和客戶現(xiàn)有的第三方服務(wù)器結(jié)合認(rèn)證的場景。 2、密碼認(rèn)證認(rèn)證方式介紹認(rèn)證方式介紹 3、DKEY認(rèn)證 SANGFOR AC&SG提供上網(wǎng)認(rèn)證的DKEY有兩種，綠色的認(rèn)證KEY和紫色的特權(quán)KEY。如下圖所示。 綠色的是認(rèn)證KEY，提供給來賓使用，方便來賓用戶上網(wǎng)。紫色的是特權(quán)key，可以支持免控

4、制或免審計(jì)。認(rèn)證功能配置典型應(yīng)用場景與配置典型應(yīng)用場景與配置不需要認(rèn)證場景DKEY認(rèn)證場景密碼認(rèn)證場景 以下通過案例介紹不需要認(rèn)證，用戶名和密碼認(rèn)證，和dkey認(rèn)證三種場景的配置 案例背景一案例背景一核心交換防火墻總經(jīng)理辦公區(qū)公共上網(wǎng)區(qū)IT部/24/24/24/24/24 mac:fe-fc-fe-e9-9e-95某集團(tuán)公司內(nèi)部有多個(gè)部門，整體網(wǎng)絡(luò)情況如下案例背景一案例背景一現(xiàn)要求實(shí)現(xiàn)：（1）辦公區(qū)用戶不能修改IP地址上網(wǎng)。（2）公共上網(wǎng)區(qū)則需要輸入賬號(hào)和密碼才能上網(wǎng)，確保網(wǎng)絡(luò)行為能跟蹤到

5、，且認(rèn)證通過后，自動(dòng)跳轉(zhuǎn)至內(nèi)網(wǎng)服務(wù)器上的公告頁（）。（3）總經(jīng)理的上網(wǎng)數(shù)據(jù)要保證安全，不能被審計(jì)。（4）IT部電腦IP不固定，認(rèn)證不受限制。解決方案解決方案根據(jù)客戶需求，我們可以將AC部署在防火墻與核心交換機(jī)之間，并通過如下認(rèn)證設(shè)置來滿足需求：（1）辦公區(qū)用戶采用不需要認(rèn)證，自動(dòng)錄入IP和MAC的綁定關(guān)系（2）公共上網(wǎng)區(qū)采用密碼認(rèn)證，設(shè)置用戶名和密碼，并設(shè)置認(rèn)證后跳轉(zhuǎn)到服務(wù)器公告頁面（3）總經(jīng)理使用免審計(jì)KEY上網(wǎng)，確保數(shù)據(jù)不被記錄（4）IT部采用不需要認(rèn)證，不綁定任何地址配置思路配置思路1、配置認(rèn)證策略 認(rèn)證策略決定了某個(gè)IP/網(wǎng)段/MAC地址的計(jì)算機(jī)的

6、認(rèn)證方式。通過認(rèn)證策略可設(shè)置內(nèi)網(wǎng)用戶的認(rèn)證方式。 2、手動(dòng)新建用戶或者自動(dòng)添加新用戶 新建用戶，可編輯用戶屬性，定義用戶具體的認(rèn)證信息。包括用戶名密碼信息， 以及IP/MAC綁定等。也可以通過認(rèn)證策略自動(dòng)添加新用戶 3、配置跨三層MAC識(shí)別 因?yàn)槿龑迎h(huán)境，要綁定終端電腦的IP和MAC，需要配置跨三層MAC識(shí)別才能綁定，如是二層環(huán)境，則無需此步。AC幾種認(rèn)證方式，DKEY認(rèn)證在“認(rèn)證高級(jí)選項(xiàng)”Dkey用戶設(shè)置即可，不需要設(shè)置認(rèn)證策略，且DKEY認(rèn)證的優(yōu)先級(jí)最高。其它認(rèn)證（如不需要認(rèn)證、密碼認(rèn)證、單點(diǎn)登錄，短信認(rèn)證和微信認(rèn)證）這幾種認(rèn)證方式需要到認(rèn)證策略中設(shè)置。場景一配置（辦公區(qū)用戶上網(wǎng)禁止改場景

7、一配置（辦公區(qū)用戶上網(wǎng)禁止改IP/MAC）1、首先為辦公區(qū)的用戶建一個(gè)用戶組，在【用戶認(rèn)證與策略】-【用戶管理】【組/用戶】中，點(diǎn)新增，選擇【組】，定義組名：辦公區(qū)，設(shè)置完后點(diǎn)提交。 2、配置認(rèn)證策略 新增認(rèn)證策略，設(shè)置認(rèn)證范圍、認(rèn)證方式及認(rèn)證后處理，本案例的需求是不需要認(rèn)證，并且同時(shí)綁定IP和MAC。注意1、非本地用戶指的是認(rèn)證之前不在用戶組的用戶；域用戶指的是微軟的域用戶如AD域。2、認(rèn)證后處理，自動(dòng)錄入用戶到本地組織結(jié)構(gòu)”如勾選則用戶認(rèn)證后會(huì)錄入用戶信息到本地組【用戶管理】【組/用戶】可以查到用戶信息。如不勾選則不會(huì)錄入到本地組。一般不建議錄入。 3、核心交換機(jī)開啟SNMP 本場景中，因

8、為AC需要綁定終端電腦的IP和MAC，所以需要能獲取到電腦真實(shí)的IP和MAC地址，但電腦的上網(wǎng)的數(shù)據(jù)流是經(jīng)過核心交換機(jī)轉(zhuǎn)到AC，所以數(shù)據(jù)包的源MAC是核心交換機(jī)的MAC，AC無法從經(jīng)核心交換機(jī)的流量中獲取終端真實(shí)MAC。 電腦的網(wǎng)關(guān)有電腦真實(shí)的MAC地址，本案例中，電腦的網(wǎng)關(guān)是核心交換機(jī)，所以AC需要通過SNMP協(xié)議從核心交換機(jī)獲取終端真實(shí)的MAC。核心交換機(jī)（電腦網(wǎng)關(guān)設(shè)備）需要支持并開啟SNMP協(xié)議，SNMP協(xié)議設(shè)置支持所有版本即可。4、設(shè)備配置跨三層MAC識(shí)別 注意 此案例中，因?yàn)榫W(wǎng)絡(luò)環(huán)境是三層環(huán)境，所以需要配置第3步和第4步。如果是二層環(huán)境，AC收到上網(wǎng)數(shù)據(jù)流的源MAC就是終端電腦真實(shí)的

9、MAC，所以不需要配置第3步和第4步，即可實(shí)現(xiàn)綁定終端電腦的IP和MAC，達(dá)到不能任意修改IP的需求。5、效果展示 （1）【系統(tǒng)管理】【在線用戶管理】可以看到用戶認(rèn)證上線的身份。（2）【用戶管理】【IP/MAC綁定】可以查看到IP和MAC綁定成功。辦公區(qū)認(rèn)證策略，“認(rèn)證后處理”沒有勾選“自動(dòng)錄入用戶到本地組織結(jié)構(gòu)”用戶認(rèn)證通過后是不會(huì)加入本地組的。一般不需要認(rèn)證也無需錄入。6、注意1、首先為辦公區(qū)的用戶建一個(gè)用戶組，在【用戶與策略管理】【用戶管理】【組/用戶】中，點(diǎn)新增，選擇【組】，定義組名：公共區(qū)，設(shè)置完后點(diǎn)提交。場景二配置（公共用戶上網(wǎng)需要密碼認(rèn)證）場景二配置（公共用戶上網(wǎng)需要密碼認(rèn)證）

10、2、新增用戶名密碼認(rèn)證的用戶，設(shè)置用戶名密碼注意 此案例中，為了演示，本地密碼認(rèn)證的帳號(hào)采用手動(dòng)創(chuàng)建方式，而在實(shí)際客戶中，密碼認(rèn)證的帳號(hào)很多，手動(dòng)每個(gè)創(chuàng)建麻煩費(fèi)時(shí)，所以采用把密碼認(rèn)證的帳號(hào)按要求格式做成csv表格，一次性導(dǎo)入設(shè)備，如下圖。3、配置認(rèn)證策略：在【用戶與策略管理】【用戶認(rèn)證】【認(rèn)證策略】中，點(diǎn)擊【新增】，如圖，配置完成后點(diǎn)提交。4、檢查認(rèn)證選項(xiàng)配置，以下選項(xiàng)需要啟用5、效果展示 公共區(qū)用戶首次上網(wǎng)時(shí)，會(huì)彈出如下圖所示的portal頁面，要求提交帳號(hào)驗(yàn)證，認(rèn)證成功后，先跳轉(zhuǎn)至內(nèi)網(wǎng)公告頁面，如下圖“記住登錄狀態(tài)”功能，當(dāng)認(rèn)證用戶從設(shè)備上自動(dòng)下線注銷后，下次再上網(wǎng)時(shí)，無需再次輸入用戶名和

11、密碼，直接上線密碼認(rèn)證成功后，先跳轉(zhuǎn)到了內(nèi)網(wǎng)公告頁面注意：(1)客戶內(nèi)網(wǎng)使用密碼認(rèn)證，想實(shí)現(xiàn)認(rèn)證過程加密處理 (2)客戶申請了自己的域名，希望認(rèn)證頁面URL以域名呈現(xiàn)(3)認(rèn)證策略設(shè)置密碼認(rèn)證，默認(rèn)https網(wǎng)站是不會(huì)觸發(fā)彈密碼認(rèn)證頁面的，如客戶想實(shí)現(xiàn)內(nèi)網(wǎng)未通過認(rèn)證之前訪問https頁面也重定向到認(rèn)證頁面 ？ 1、使用DKEY認(rèn)證的用戶，需下載并安裝DKEY客戶端場景三配置（總經(jīng)理上網(wǎng)使用DKEY認(rèn)證） 2、新增DKEY認(rèn)證的用戶，手動(dòng)生成DKEY【用戶認(rèn)證與管理】【用戶管理】【認(rèn)證高級(jí)選項(xiàng)】選擇Dkey用戶3、使用DKEY客戶端進(jìn)行認(rèn)證（1）用戶安裝完DKEY客戶端后，會(huì)在桌面生成圖標(biāo)。 啟

12、用保存密碼，只需要dkey第一次認(rèn)證時(shí)輸入密碼，后續(xù)再認(rèn)證，直接插key即自動(dòng)認(rèn)證，無需再輸入密碼（2）電腦USB接口插入免審計(jì)key，并輸入密碼，如下圖所示 （3）DKEY認(rèn)證成功后，客戶端會(huì)有如下提示注意 認(rèn)證Dkey有兩種類型分別為免認(rèn)證Key（綠色）、特權(quán)Key（紫色）；特權(quán)Key又分免控制和免審計(jì)場景四配置（IT部使用不需要認(rèn)證上網(wǎng)）1、首先為辦公區(qū)的用戶建一個(gè)用戶組，在【用戶與策略管理】【用戶管理】【組/用戶】中，點(diǎn)新增，選擇【組】，定義組名：IT部，設(shè)置完后點(diǎn)提交。 2、配置認(rèn)證策略 新增認(rèn)證策略，選擇認(rèn)證方式，本案例的要求不需要認(rèn)證，不綁定任何地址。 3、效果展示 IT部員工通

13、過AC上網(wǎng)時(shí)，在AC在線用戶管理可以看到用戶已在AC上線。如下圖。案例背景二案例背景二（1）IT部上網(wǎng)，認(rèn)證不受限制，但是要求認(rèn)證之前彈出來提醒頁面。某集團(tuán)公司內(nèi)部有多個(gè)部門，現(xiàn)各個(gè)部門的上網(wǎng)要求如下：（2）公共上網(wǎng)區(qū)需要輸入賬號(hào)和密碼才能上網(wǎng)，現(xiàn)管理員要求初次認(rèn)證時(shí)自動(dòng)綁定終端的MAC，保證每個(gè)賬號(hào)只能在固定的1臺(tái)電腦上登陸；且已經(jīng)認(rèn)證的用戶下次上網(wǎng)無需輸入賬號(hào)密碼可直接上網(wǎng)場景一解決方案場景一解決方案1、設(shè)置認(rèn)證策略，配置認(rèn)證范圍、認(rèn)證方式選擇不需要認(rèn)證、認(rèn)證后處理高級(jí)選項(xiàng)選擇顯示免責(zé)申明頁面。1、設(shè)置認(rèn)證策略，配置認(rèn)證范圍、認(rèn)證方式選擇密碼認(rèn)證，認(rèn)證后處理選擇自動(dòng)錄入用戶和IP/MAC的

14、綁定關(guān)系選擇綁定MAC；同時(shí)勾選開啟免認(rèn)證設(shè)置免認(rèn)證的有效期。場景二解決方案場景二解決方案 2、【用戶管理】【用戶綁定】高級(jí)設(shè)置，設(shè)置每個(gè)用戶終端數(shù)為“1”說明：用戶綁定指的是用戶和ip或mac的綁定關(guān)系，配置后全局生效，賬號(hào)可以是私有賬號(hào)可以是公有賬號(hào)。3、測試效果（1）終端打開網(wǎng)頁輸入賬號(hào)密碼認(rèn)證成功（2）【用戶管理】【用戶綁定】可以看到自動(dòng)添加了賬號(hào)和mac的綁定關(guān)系（3）已經(jīng)認(rèn)證的用戶下次需要上網(wǎng)，無需認(rèn)證直接就可上網(wǎng)。說明：如果希望密碼認(rèn)證免認(rèn)證用戶在上線時(shí)彈出免責(zé)申明頁面也可以設(shè)置。密碼認(rèn)證安全性設(shè)置用戶密碼強(qiáng)度設(shè)置用戶密碼強(qiáng)度設(shè)置密碼強(qiáng)度主要為了滿足對(duì)WEB認(rèn)證用戶的密碼安全的需

15、求。密碼強(qiáng)度限制僅對(duì)私有用戶在客戶端修改密碼有效，管理員在控制臺(tái)建立或修改密碼不受此限制。設(shè)置用戶密碼強(qiáng)度設(shè)置用戶密碼強(qiáng)度 配置步驟：【用戶與策略管理】【認(rèn)證高級(jí)選項(xiàng)】設(shè)置用戶密碼強(qiáng)度設(shè)置用戶密碼強(qiáng)度客戶端登陸修改密碼：強(qiáng)制客戶端初次認(rèn)證修改密碼強(qiáng)制客戶端初次認(rèn)證修改密碼 應(yīng)用背景：用戶批量導(dǎo)入或者大量加入的時(shí)候，初始密碼是一致的，這樣很不安全，希望終端用戶首次認(rèn)證時(shí)，自行修改密碼 解決思路：強(qiáng)制要求用戶初次認(rèn)證時(shí)自行修改密碼。 注意事項(xiàng)：1. 僅對(duì)設(shè)備本地密碼認(rèn)證的用戶有效2. 用戶認(rèn)證后會(huì)自動(dòng)跳轉(zhuǎn)到修改密碼窗口，若不修改則無法上網(wǎng)。配置方法：1. 添加用戶時(shí)：在【用戶與策略管理】【用戶管理

16、】【組/用戶】中，點(diǎn)擊 新增，在【本地密碼】設(shè)置的下方勾選“初次認(rèn)證修改密碼”。強(qiáng)制客戶端初次認(rèn)證修改密碼強(qiáng)制客戶端初次認(rèn)證修改密碼2. 導(dǎo)入用戶時(shí)：【用戶與策略管理】【用戶管理】【用戶導(dǎo)入】，點(diǎn)擊 CSV格式文件導(dǎo)入時(shí)，勾選初次認(rèn)證修改密碼。啟用了初次認(rèn)證修改密碼，用戶第一次認(rèn)證通過后會(huì)跳轉(zhuǎn)到修改密碼頁面，修改完成后出現(xiàn)如下頁面：提示：1.此頁面為靜態(tài)頁面，不會(huì)自動(dòng)跳轉(zhuǎn)到之前訪問的internet頁面。2.修改密碼后生效可能有30秒的延遲，建議在30秒內(nèi)不要注銷或重新登錄。用戶注銷如何注銷已經(jīng)通過認(rèn)證的用戶如何注銷已經(jīng)通過認(rèn)證的用戶 當(dāng)需要已經(jīng)認(rèn)證成功的用戶從AC下線時(shí)，可以通過AC網(wǎng)關(guān)控制

17、臺(tái)注銷用戶或在客戶端手動(dòng)注銷來實(shí)現(xiàn)?？刂婆_(tái)注銷用戶：1. 在線用戶列表強(qiáng)制注銷（不需要認(rèn)證用戶，DKEY用戶，臨時(shí)用戶不能被注銷），（管理員可以通過此處強(qiáng)制注銷在線用戶，使用比較少）2. 無流量自動(dòng)注銷用戶（適用于所有認(rèn)證類型的用戶，且對(duì)下線實(shí)時(shí)要求不 高的用戶，默認(rèn)是采用這種注銷方式） 3. 密碼認(rèn)證用戶，關(guān)閉注銷窗口即下線（只適用于密碼認(rèn)證用戶，且用戶要求實(shí)時(shí)注銷，即電腦關(guān)機(jī)就注銷）用戶認(rèn)證成功后，自動(dòng)跳轉(zhuǎn)到如下注銷頁面，用戶可以手動(dòng)點(diǎn)擊頁面上的“注銷”按鈕完成注銷。終端關(guān)閉此頁面或手動(dòng)點(diǎn)擊注銷按鈕即可完成自動(dòng)注銷，使用戶下線。4. 客戶端手動(dòng)注銷認(rèn)證，通過輸入http:/ACIP打開認(rèn)證和注銷的頁面，手動(dòng)點(diǎn)擊注銷（只適用于密碼認(rèn)證的用戶和單點(diǎn)登錄的用戶，使用的較少）。 5. 定時(shí)強(qiáng)制注銷所有在線用戶功能（適用于所有認(rèn)證類型的用戶）練練手練練手 某酒店內(nèi)部是一個(gè)二層網(wǎng)絡(luò)（192.168.1