SANGFORAC度渠道培訓(xùn)用戶認(rèn)證課件_第1頁(yè)
SANGFORAC度渠道培訓(xùn)用戶認(rèn)證課件_第2頁(yè)
SANGFORAC度渠道培訓(xùn)用戶認(rèn)證課件_第3頁(yè)
SANGFORAC度渠道培訓(xùn)用戶認(rèn)證課件_第4頁(yè)
SANGFORAC度渠道培訓(xùn)用戶認(rèn)證課件_第5頁(yè)
已閱讀5頁(yè),還剩49頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

AC

認(rèn)

證SINFOR

TECHNOLOGIES

CO.,LTD.Page11、本機(jī)認(rèn)證2、第三方認(rèn)證3、批量添加用戶4、總

結(jié)1、本機(jī)認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page2用戶帳號(hào)信息保存在AC本機(jī),且檢驗(yàn)用戶信息在AC本機(jī)進(jìn)行稱為本機(jī)認(rèn)證。包括本機(jī)用戶名密碼認(rèn)證、綁定ip、綁定mac、同時(shí)綁定ip/mac和DKEY認(rèn)證。1.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page3內(nèi)網(wǎng)用戶首次通過AC上網(wǎng)時(shí),AC會(huì)檢驗(yàn)此電腦是否通過AC認(rèn)證,如果沒有則重定向彈出用戶名和密碼的認(rèn)證框,用戶輸入用戶名和密碼等帳號(hào)信息,驗(yàn)證通過后允許訪問外網(wǎng)。從而保證了上網(wǎng)的安全性。1.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證(續(xù))例:用戶hbz上網(wǎng)前采用用戶名和密碼認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page41.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證(續(xù))采用微軟彈出框的方式提交用戶名和密碼(默認(rèn)方式)SINFOR

TECHNOLOGIES

CO.,LTD.Page51.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page61.1、本機(jī)認(rèn)證用戶名和密碼認(rèn)證(續(xù))成功通過AC認(rèn)證的用戶在在線用戶列表顯示SINFOR

TECHNOLOGIES

CO.,LTD.Page7備注:基于這種通過瀏覽器提交用戶名和密碼進(jìn)行認(rèn)證的方式又稱為web認(rèn)證,包括后續(xù)介紹的第三方認(rèn)證。1.2、本機(jī)認(rèn)證同時(shí)綁定ip和macSINFOR

TECHNOLOGIES

CO.,LTD.Page8用戶上網(wǎng)前,AC會(huì)校驗(yàn)電腦的ip和mac地址與設(shè)備上綁定的ip和mac地址是否一致,如果一致則驗(yàn)證通過,允許訪問外網(wǎng),如果驗(yàn)證不通過,拒絕訪問網(wǎng)絡(luò)。有效防止了內(nèi)網(wǎng)用戶亂改IP的問題。一般適用于內(nèi)網(wǎng)IP統(tǒng)一規(guī)劃,不允許改IP的環(huán)境。1.2.1、本機(jī)認(rèn)證二層環(huán)境同時(shí)綁定ip和mac例:用戶hbz上網(wǎng)前采用ip/mac綁定認(rèn)證只綁定ip或只綁定mac認(rèn)證和同時(shí)綁定

ip/mac認(rèn)證類似,這里不單獨(dú)介紹。這些認(rèn)證可以與用戶名及密碼認(rèn)證結(jié)合使用,二者是“與”的關(guān)系。支持掃描mac地址SINFOR

TECHNOLOGIES

CO.,LTD.Page91.2.2、本機(jī)認(rèn)證跨三層同時(shí)綁定ip和macSINFOR

TECHNOLOGIES

CO.,LTD.Page10AC支持跨內(nèi)網(wǎng)有三層環(huán)境綁定電腦的IP,mac或ip/mac同時(shí)綁定認(rèn)證上網(wǎng)。三層環(huán)境

下綁定mac或同時(shí)綁定pc的ip和mac可以通準(zhǔn)入規(guī)則和snmp協(xié)議兩種方式實(shí)現(xiàn)。1.2.2、本機(jī)認(rèn)證跨三層同時(shí)綁定ip和mac(續(xù))通過SNMP協(xié)議實(shí)現(xiàn)(重點(diǎn)掌握)AC通過snmp協(xié)議讀取三層交換機(jī)的mac表,以獲得內(nèi)網(wǎng)各電腦真實(shí)的mac地址,實(shí)現(xiàn)

ip/mac綁定及驗(yàn)證,支持只綁定mac地址或同時(shí)綁定ip/mac。AC

1.96及后續(xù)版本新增的功能,需要三層交換機(jī)開啟snmp服務(wù),AC支持的snmp版本為v2和v3版本。SINFOR

TECHNOLOGIES

CO.,LTD.Page11網(wǎng)關(guān)lan

ip:PCIP:10GW:54客戶需求:內(nèi)網(wǎng)電腦IP統(tǒng)一分配,不能隨意更改,更改后電腦上不了網(wǎng)。1.2.2、本機(jī)認(rèn)證跨三層同時(shí)綁定ip和mac(續(xù))案例SINFOR

TECHNOLOGIES

CO.,LTD.Page12AC端配置第一步:?jiǎn)⒂眯掠脩粽J(rèn)證,選擇同時(shí)綁定IP/macSINFOR

TECHNOLOGIES

CO.,LTD.Page13SNMP服務(wù)器列表添寫:三層交換機(jī)的IP地址/三層交換機(jī)的

MAC/SNMP的Oid/三層交換機(jī)的Communit,用/分隔第二步:設(shè)置snmp選項(xiàng)設(shè)置備注:Oid現(xiàn)在發(fā)現(xiàn)只有二個(gè),..1.2和.2.1.2SINFOR

TECHNOLOGIES

CO.,LTD.Page14三層交換機(jī)上的配置三層交換機(jī)需要開啟SNMP服務(wù),以cisco和huawei為例:華為的命令:system_viewsnmp-agent

community

read

publicSINFOR

TECHNOLOGIES

CO.,LTD.Page15其中public為三層交換機(jī)的Communitsnmp-agent

sys-info

version

all

其中all表示所有版本思科的命令:config

terminal

進(jìn)入全局配置狀態(tài)Cdp

run

啟用CDPsnmp-server

community

public

ro

其中public為三層交換機(jī)的Communitsnmp-server

enable

traps

允許設(shè)備將所有類型SNMP

Trap發(fā)送出去通過AC認(rèn)證的用戶自動(dòng)添加到組織結(jié)構(gòu)通過AC認(rèn)證的用戶自動(dòng)添加到在線用戶列表SINFOR

TECHNOLOGIES

CO.,LTD.Page16通過準(zhǔn)入規(guī)則實(shí)現(xiàn)三層環(huán)境ip/mac綁定AC通過準(zhǔn)入實(shí)現(xiàn)三層環(huán)境下同時(shí)綁定客房端電腦的ip/mac地址。在AC上建立相關(guān)帳號(hào)并綁定電腦真實(shí)的ip和mac地址,在電腦上安裝準(zhǔn)入客戶端軟件,從而實(shí)現(xiàn)驗(yàn)證pc真實(shí)的ip和mac地址與AC上綁定的IP和mac地址是否一致,如果一致,則允許訪問外網(wǎng)。SINFOR

TECHNOLOGIES

CO.,LTD.Page17第一步:在AC上建用戶,同時(shí)綁定PC的IP和macSINFOR

TECHNOLOGIES

CO.,LTD.Page18AC支持跨三層環(huán)境掃描mac地址,通過netbios協(xié)議實(shí)現(xiàn)。如果掃描不到,請(qǐng)確認(rèn)電腦的

netbios協(xié)議是否開啟;電腦是否配有多IP;是否有防火墻阻止了設(shè)備和電腦間UDP

137端口通訊第二步:定義準(zhǔn)入規(guī)則三層綁定ip/mac(自定義規(guī)則)SINFOR

TECHNOLOGIES

CO.,LTD.Page19第三步:新增上網(wǎng)策略跨三層綁定ip/macSINFOR

TECHNOLOGIES

CO.,LTD.Page20第四步、將上網(wǎng)策略和用戶或組關(guān)聯(lián)SINFOR

TECHNOLOGIES

CO.,LTD.Page21此時(shí)用戶hbz如果改變IP,AC驗(yàn)證ip/mac綁定關(guān)系不通過,拒絕用戶hbz上網(wǎng)1、用戶名密碼認(rèn)證和ip/mac認(rèn)證的關(guān)系?SINFOR

TECHNOLOGIES

CO.,LTD.Page222、通過snmp協(xié)議解決三層環(huán)境綁定ip/mac與通過準(zhǔn)入解決三層環(huán)境的綁定ip/mac的區(qū)別?1.3、本機(jī)認(rèn)證DKEY認(rèn)證AC相關(guān)的DKEY有三種:認(rèn)證的DKEY和免審計(jì)的

DKEY和數(shù)據(jù)中心查詢Dkey。而用于上網(wǎng)認(rèn)證的dkey兩種:認(rèn)證Dkey和免審計(jì)Dkey。三種KEY不可能混用。SINFOR

TECHNOLOGIES

CO.,LTD.Page231.3.1、認(rèn)證KEYSINFOR

TECHNOLOGIES

CO.,LTD.Page24用戶上網(wǎng)前需向電腦的USB接口插入

KEY,驗(yàn)證通過后才可以上網(wǎng),保證了認(rèn)證的安全性及使用的方便性,一般適用于外來(lái)用戶。1.3.1、認(rèn)證KEY(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page25例:用戶hbz上網(wǎng)前采用DKEY認(rèn)證生成DKEY前,先下載DKEY驅(qū)動(dòng)并安裝1.3.1、認(rèn)證KEY(續(xù))下載DKEY認(rèn)證客戶端,打開IE。輸入http://gwip,彈出如下頁(yè)面下載DKEY認(rèn)證客戶端并安裝SINFOR

TECHNOLOGIES

CO.,LTD.Page261.3.2、免審計(jì)KEY某些高層領(lǐng)導(dǎo)上網(wǎng)時(shí),希望自己的行為不被AC監(jiān)控,可以建議其使用免監(jiān)控DKEY,使用免監(jiān)控KEY上網(wǎng),不會(huì)記錄網(wǎng)絡(luò)行為,一般適應(yīng)BOSS生成免審計(jì)KEY只需在下圖選擇“啟用DKEY防監(jiān)控”即可,其它的設(shè)置及使用方法和認(rèn)證

KEY的一樣SINFOR

TECHNOLOGIES

CO.,LTD.Page271.3.3、數(shù)據(jù)中心KEYSINFOR

TECHNOLOGIES

CO.,LTD.Page28為了保證審計(jì)日志的安全,只有擁有key的管理員才可以進(jìn)數(shù)據(jù)中心查詢?nèi)罩?,無(wú)key的管理員只能查詢報(bào)表,系統(tǒng)設(shè)置等權(quán)限,無(wú)具體日志查詢權(quán)限。1.3.3、數(shù)據(jù)中心KEY(續(xù))數(shù)據(jù)中心key功能默認(rèn)不可用,需要通過多功能序列號(hào)激活。例如:控制臺(tái)用戶admin需要啟用數(shù)據(jù)中心Dkey檢查,以實(shí)現(xiàn)用key登陸AC時(shí)可以進(jìn)行日志查詢,無(wú)key登陸時(shí)無(wú)具體日志查詢權(quán)限。SINFOR

TECHNOLOGIES

CO.,LTD.Page29第一步:激活數(shù)據(jù)中心DKEY檢查第二步:編輯admin帳戶,啟用DKEY檢查功能。生成DKEY前先下載DKEY驅(qū)動(dòng)并安裝SINFOR

TECHNOLOGIES

CO.,LTD.Page30第三步:使用數(shù)據(jù)中心查詢DKEY以用戶名密碼登陸數(shù)據(jù)中心以DKEY登陸數(shù)據(jù)中心SINFOR

TECHNOLOGIES

CO.,LTD.Page31使用DKEY登陸數(shù)據(jù)中心效果圖使用

admin登陸數(shù)據(jù)中心效果圖SINFOR

TECHNOLOGIES

CO.,LTD.Page32注意1、認(rèn)證key,免審計(jì)key和數(shù)據(jù)中心KEY查詢不能混用。2、外置數(shù)據(jù)中心也支持?jǐn)?shù)據(jù)中心KEY查詢功能,但需要內(nèi)置數(shù)據(jù)中心激活,外置數(shù)據(jù)中心和內(nèi)置數(shù)據(jù)中心同樣不能使用同一個(gè)數(shù)據(jù)中心查詢KEY。SINFOR

TECHNOLOGIES

CO.,LTD.Page332、第三方認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page34用戶信息保存在第三方服器(ldap,Radius,pop3,proxy)且檢驗(yàn)用戶信息在第三方服務(wù)器進(jìn)行稱為第三方認(rèn)證。第三方認(rèn)證包括ldap認(rèn)證,radius認(rèn)證,pop3認(rèn)證和proxy。其中l(wèi)dap、pop3和Proxy認(rèn)證支持單點(diǎn)登陸。2.1、第三方認(rèn)證數(shù)據(jù)流第三方服務(wù)器PC①③SINFOR

TECHNOLOGIES

CO.,LTD.Page35②第三方服務(wù)器在內(nèi)網(wǎng)①PC提交用戶名和密碼②AC將用戶名和密碼提交到第三方服務(wù)器驗(yàn)證③第三方服務(wù)器返回驗(yàn)證信息給AC2.1、第三方認(rèn)證數(shù)據(jù)流(續(xù))第三方服務(wù)器在外網(wǎng)②③第三方服務(wù)器SINFOR

TECHNOLOGIES

CO.,LTD.Page36①PC①PC提交用戶名和密碼③第三方服務(wù)器返回驗(yàn)證信息給AC②AC將用戶名和密碼提交到第三方服務(wù)器驗(yàn)證2.2、第三方認(rèn)證LDAP認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page37AC設(shè)備支持LDAP第三方認(rèn)證,一般用于客戶網(wǎng)絡(luò)中已部署ldap服務(wù)器,AC結(jié)合LDAP服務(wù)器認(rèn)證,方便管理。其中支持的LDAP有MS

LDAP,SUN

LDAP和OPENLDAP2.2、第三方認(rèn)證LDAP認(rèn)證(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page38填寫管理的帳號(hào),帳號(hào)格式為:

administrator@2.2、第三方認(rèn)證LDAP認(rèn)證(續(xù))填寫ldap用戶四種認(rèn)證方式之間是“或”的關(guān)系,從上到下依次匹配,可以和ip/mac認(rèn)證結(jié)合。設(shè)置帳號(hào)屬性及過期時(shí)間,如果是私有帳號(hào),同時(shí)只能允許一個(gè)人登陸SINFOR

TECHNOLOGIES

CO.,LTD.Page39上網(wǎng)時(shí)IE會(huì)彈出對(duì)話框要求身份認(rèn)證,輸入域用戶hbz。2.2、第三方認(rèn)證LDAP認(rèn)證(續(xù))通過AC認(rèn)證的用戶在這里顯示SINFOR

TECHNOLOGIES

CO.,LTD.Page402.2、第三方認(rèn)證Radius認(rèn)證SINFOR

TECHNOLOGIES

CO.,LTD.Page41AC設(shè)備支持Radius第三方認(rèn)證,用戶信息存放在Radius服務(wù)器上,用戶上網(wǎng)時(shí)提交Radius服務(wù)器上的用戶信息,經(jīng)Radius服務(wù)器驗(yàn)證后,發(fā)送驗(yàn)證信息給AC,如果驗(yàn)證成功,允許此用戶上網(wǎng)。一般用于客戶網(wǎng)絡(luò)中已部署Radius服務(wù)器,AC結(jié)合

Radius服務(wù)器認(rèn)證,方便管理。適用服務(wù)器在內(nèi)網(wǎng)和外網(wǎng)情況。2.2、第三方認(rèn)證Radius認(rèn)證(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page42填寫Radius服務(wù)器IP、端口、共享密鑰及協(xié)議2.2、第三方認(rèn)證Radius認(rèn)證(續(xù))填寫Radius服務(wù)器上的用戶SINFOR

TECHNOLOGIES

CO.,LTD.Page432.2、第三方認(rèn)證Radius認(rèn)證(續(xù))上網(wǎng)時(shí)IE會(huì)彈出對(duì)話框要求身份認(rèn)證,輸入Radius服務(wù)器上的用戶hbz。通過AC認(rèn)證的用戶在這里顯示SINFOR

TECHNOLOGIES

CO.,LTD.Page443、批量添加新用戶SINFOR

TECHNOLOGIES

CO.,LTD.Page45一般情況下,客戶內(nèi)網(wǎng)用戶很多,如果采用前面介紹的逐個(gè)新增用戶方式來(lái)添加用戶不太現(xiàn)實(shí),AC提供三種批量添加用戶的方式:新用戶認(rèn)證(自動(dòng)添加新用戶),用戶導(dǎo)入和AD域同步。3.1、認(rèn)證選項(xiàng)設(shè)置新用戶認(rèn)證AC以IP地址和mac地址來(lái)標(biāo)識(shí)用戶,當(dāng)一終端

用戶user1試圖通過AC上網(wǎng)時(shí)(假設(shè)沒有通過AC認(rèn)證),AC會(huì)根據(jù)該用戶上網(wǎng)數(shù)據(jù)包的源IP和源mac地址檢測(cè)AC組織結(jié)構(gòu)中是否有用戶綁定此IP或mac,如果有符合條件的用戶,則終端用戶user1以相關(guān)用戶的身份上網(wǎng),如果沒有符合條件的用戶,則匹配下面的新用戶認(rèn)證策略。SINFOR

TECHNOLOGIES

CO.,LTD.Page463.1、認(rèn)證選項(xiàng)設(shè)置新用戶認(rèn)證(續(xù))新用戶認(rèn)證四種處理方式新用戶認(rèn)證支持根據(jù)不同的IP段采用不同的認(rèn)證方式并自動(dòng)添加到各個(gè)組,以方便匹配各自的策略。SINFOR

TECHNOLOGIES

CO.,LTD.Page473.1、認(rèn)證選項(xiàng)設(shè)置(續(xù))SINFOR

TECHNOLOGIES

CO.,LTD.Page48認(rèn)證成功后直接跳轉(zhuǎn)指定頁(yè)面,可以設(shè)置跳轉(zhuǎn)至公告頁(yè)面。私有帳號(hào)認(rèn)證沖突時(shí)的處理方式設(shè)置用戶無(wú)流量自動(dòng)注銷時(shí)間及未通過認(rèn)證的用戶具有的權(quán)限。3.2、用戶導(dǎo)入支持掃描單個(gè)IP,IP范圍和子網(wǎng)AC支持通過掃描內(nèi)網(wǎng)計(jì)算機(jī)和從域服務(wù)器中導(dǎo)入

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論