SANGFOR_AC_v10_XXXX年度渠道初级认证培训05_基础认证

基础认证培训内容培训目标认证方式介绍1.了解AC设备支持的认证方式及适用场景认证功能配置1.掌握不需要认证的配置2.掌握AC设备用户名密码认证的配置3.了解AC设备DKEY认证的适用场景和配置4.掌握地址绑定的适用场景和配置密码认证安全性1.掌握如何设置用户密码强度2.掌握如何强制客户端初次认证修改密码用户注销功能介绍1.掌握如何注销已经通过认证的用户认证方式介绍认证功能配置深信服公司简介SANGFORAC&SG用户注销密码认证安全性认证方式介绍认证方式介绍概述：认证功能主要用于对经过AC设备上网的用户进行身份的验证。通过认证功能可识别内网上网用户的身份，为后续的流量管理、用户上网权限策略及应用审计提供基础。SANGFORAC/SG认证方式不需要认证密码认证单点登录不允许认证(禁止上网)本地密码认证第三方服务器密码认证短信认证微信认证二维码认证LDAP单点登录数据库单点登录Web单点登录PPPOE单点登录POP3单点登录PROXY单点登录第三方设备单点登录（锐捷，H3C，城市热点）深信服设备之间单点登录Radius单点登录(LOGON，域监控单点登录，IWA,监听)ADSSODkey认证认证方式介绍认证方式介绍1、不需要认证设备根据数据包的源IP地址、VLANID、源MAC地址、上网PC的计算机名来标识用户。优点：终端用户上网认证的过程是透明的，不会感知AC的存在。一般适用于对认证要求不严格的场景认证方式介绍当用户首次通过AC上网时，AC会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和AC本地（或第三方服务器）一致，则给予认证通过。一般适用于对认证要求严格，希望上网日志记录具体的帐号，或希望和客户现有的第三方服务器结合认证的场景。2、密码认证认证方式介绍3、DKEY认证SANGFORAC&SG提供上网认证的DKEY有两种，绿色的认证KEY和紫色的特权KEY。如下图所示。绿色的是认证KEY，提供给来宾使用，方便来宾用户上网。紫色的是特权key，可以支持免控制或免审计。认证功能配置典型应用场景与配置不需要认证场景DKEY认证场景密码认证场景以下通过案例介绍不需要认证，用户名和密码认证，和dkey认证三种场景的配置案例背景一核心交换防火墙总经理办公区公共上网区IT部192.168.2.0/24192.168.3.0/24192.168.1.0/24172.16.1.1/24172.16.1.2/24mac:fe-fc-fe-e9-9e-95某集团公司内部有多个部门，整体网络情况如下案例背景一现要求实现：（1）办公区用户不能修改IP地址上网。（2）公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到，且认证通过后，自动跳转至内网服务器上的公告页（）。（3）总经理的上网数据要保证安全，不能被审计。（4）IT部电脑IP不固定，认证不受限制。解决方案根据客户需求，我们可以将AC部署在防火墙与核心交换机之间，并通过如下认证设置来满足需求：（1）办公区用户采用不需要认证，自动录入IP和MAC的绑定关系（2）公共上网区采用密码认证，设置用户名和密码，并设置认证后跳转到服务器公告页面（3）总经理使用免审计KEY上网，确保数据不被记录（4）IT部采用不需要认证，不绑定任何地址配置思路1、配置认证策略认证策略决定了某个IP/网段/MAC地址的计算机的认证方式。通过认证策略可设置内网用户的认证方式。2、手动新建用户或者自动添加新用户新建用户，可编辑用户属性，定义用户具体的认证信息。包括用户名密码信息，以及IP/MAC绑定等。也可以通过认证策略自动添加新用户3、配置跨三层MAC识别因为三层环境，要绑定终端电脑的IP和MAC，需要配置跨三层MAC识别才能绑定，如是二层环境，则无需此步。AC几种认证方式，DKEY认证在“认证高级选项”Dkey用户设置即可，不需要设置认证策略，且DKEY认证的优先级最高。其它认证（如不需要认证、密码认证、单点登录，短信认证和微信认证）这几种认证方式需要到认证策略中设置。场景一配置（办公区用户上网禁止改IP/MAC）1、首先为办公区的用户建一个用户组，在【用户认证与策略】-【用户管理】－【组/用户】中，点新增，选择【组】，定义组名：办公区，设置完后点提交。2、配置认证策略新增认证策略，设置认证范围、认证方式及认证后处理，本案例的需求是不需要认证，并且同时绑定IP和MAC。注意1、非本地用户指的是认证之前不在用户组的用户；域用户指的是微软的域用户如AD域。2、认证后处理，自动录入用户到本地组织结构”如勾选则用户认证后会录入用户信息到本地组【用户管理】—【组/用户】可以查到用户信息。如不勾选则不会录入到本地组。一般不建议录入。3、核心交换机开启SNMP本场景中，因为AC需要绑定终端电脑的IP和MAC，所以需要能获取到电脑真实的IP和MAC地址，但电脑的上网的数据流是经过核心交换机转到AC，所以数据包的源MAC是核心交换机的MAC，AC无法从经核心交换机的流量中获取终端真实MAC。电脑的网关有电脑真实的MAC地址，本案例中，电脑的网关是核心交换机，所以AC需要通过SNMP协议从核心交换机获取终端真实的MAC。核心交换机（电脑网关设备）需要支持并开启SNMP协议，SNMP协议设置支持所有版本即可。4、设备配置跨三层MAC识别注意此案例中，因为网络环境是三层环境，所以需要配置第3步和第4步。如果是二层环境，AC收到上网数据流的源MAC就是终端电脑真实的MAC，所以不需要配置第3步和第4步，即可实现绑定终端电脑的IP和MAC，达到不能任意修改IP的需求。5、效果展示（1）【系统管理】—【在线用户管理】可以看到用户认证上线的身份。（2）【用户管理】—【IP/MAC绑定】可以查看到IP和MAC绑定成功。办公区认证策略，“认证后处理”没有勾选“自动录入用户到本地组织结构”用户认证通过后是不会加入本地组的。一般不需要认证也无需录入。6、注意1、首先为办公区的用户建一个用户组，在【用户与策略管理】－【用户管理】－【组/用户】中，点新增，选择【组】，定义组名：公共区，设置完后点提交。场景二配置（公共用户上网需要密码认证）2、新增用户名密码认证的用户，设置用户名密码注意此案例中，为了演示，本地密码认证的帐号采用手动创建方式，而在实际客户中，密码认证的帐号很多，手动每个创建麻烦费时，所以采用把密码认证的帐号按要求格式做成csv表格，一次性导入设备，如下图。3、配置认证策略：在【用户与策略管理】－【用户认证】－【认证策略】中，点击【新增】，如图，配置完成后点提交。4、检查认证选项配置，以下选项需要启用5、效果展示公共区用户首次上网时，会弹出如下图所示的portal页面，要求提交帐号验证，认证成功后，先跳转至内网公告页面，如下图“记住登录状态”功能，当认证用户从设备上自动下线注销后，下次再上网时，无需再次输入用户名和密码，直接上线密码认证成功后，先跳转到了内网公告页面注意：(1)客户内网使用密码认证，想实现认证过程加密处理(2)客户申请了自己的域名，希望认证页面URL以域名呈现(3)认证策略设置密码认证，默认https网站是不会触发弹密码认证页面的，如客户想实现内网未通过认证之前访问https页面也重定向到认证页面？1、使用DKEY认证的用户，需下载并安装DKEY客户端场景三配置（总经理上网使用DKEY认证）2、新增DKEY认证的用户，手动生成DKEY【用户认证与管理】—【用户管理】—【认证高级选项】选择Dkey用户3、使用DKEY客户端进行认证（1）用户安装完DKEY客户端后，会在桌面生成图标。启用保存密码，只需要dkey第一次认证时输入密码，后续再认证，直接插key即自动认证，无需再输入密码（2）电脑USB接口插入免审计key，并输入密码，如下图所示（3）DKEY认证成功后，客户端会有如下提示注意认证Dkey有两种类型分别为免认证Key（绿色）、特权Key（紫色）；特权Key又分免控制和免审计场景四配置（IT部使用不需要认证上网）1、首先为办公区的用户建一个用户组，在【用户与策略管理】－【用户管理】－【组/用户】中，点新增，选择【组】，定义组名：IT部，设置完后点提交。2、配置认证策略新增认证策略，选择认证方式，本案例的要求不需要认证，不绑定任何地址。3、效果展示IT部员工通过AC上网时，在AC在线用户管理可以看到用户已在AC上线。如下图。案例背景二（1）IT部上网，认证不受限制，但是要求认证之前弹出来提醒页面。某集团公司内部有多个部门，现各个部门的上网要求如下：（2）公共上网区需要输入账号和密码才能上网，现管理员要求初次认证时自动绑定终端的MAC，保证每个账号只能在固定的1台电脑上登陆；且已经认证的用户下次上网无需输入账号密码可直接上网场景一解决方案1、设置认证策略，配置认证范围、认证方式选择不需要认证、认证后处理高级选项选择显示免责申明页面。1、设置认证策略，配置认证范围、认证方式选择密码认证，认证后处理选择自动录入用户和IP/MAC的绑定关系选择绑定MAC；同时勾选开启免认证设置免认证的有效期。场景二解决方案2、【用户管理】—【用户绑定】高级设置，设置每个用户终端数为“1”说明：用户绑定指的是用户和ip或mac的绑定关系，配置后全局生效，账号可以是私有账号可以是公有账号。3、测试效果（1）终端打开网页输入账号密码认证成功（2）【用户管理】—【用户绑定】可以看到自动添加了账号和mac的绑定关系（3）已经认证的用户下次需要上网，无需认证直接就可上网。说明：如果希望密码认证免认证用户在上线时弹出免责申明页面也可以设置。密码认证安全性设置用户密码强度设置密码强度主要为了满足对WEB认证用户的密码安全的需求。密码强度限制仅对私有用户在客户端修改密码有效，管理员在控制台建立或修改密码不受此限制。设置用户密码强度配置步骤：【用户与策略管理】—【认证高级选项】设置用户密码强度客户端登陆修改密码：强制客户端初次认证修改密码应用背景：用户批量导入或者大量加入的时候，初始密码是一致的，这样很不安全，希望终端用户首次认证时，自行修改密码解决思路：强制要求用户初次认证时自行修改密码。注意事项：1.仅对设备本地密码认证的用户有效2.用户认证后会自动跳转到修改密码窗口，若不修改则无法上网。配置方法：1.添加用户时：在【用户与策略管理】－【用户管理】－【组/用户】中，点击新增，在【本地密码】设置的下方勾选“初次认证修改密码”。强制客户端初次认证修改密码2.导入用户时：【用户与策略管理】－【用户管理】－【用户导入】，点击CSV格式文件导入时，勾选初次认证修改密码。启用了初次认证修改密码，用户第一次认证通过后会跳转到修改密码页面，修改完成后出现如下页面：提示：1.此页面为静态页面，不会自动跳转到之前访问的internet页面。2.修改密码后生效可能有30秒的延迟，建议在30秒内不要注销或重新登录。用户注销如何注销已经通过认证的用户当需要已经认证成功的用户从AC下线时，可以通过AC网关控制台注销用户或在客户端手动注销来实现。控制台注销用户：1.在线用户列表强制注销（不需要认证用户，DKEY用户，临时用户不能被注销），（管理员可以通过此处强制注销在线用户，使用比较少）2.无流量自动注销用户（适用于所有认证类型的用户，且对下线实时要求不高的用户，默认是采用这种注销方式）3.密码认证用户，关闭注销窗口即下线（只适用于密码认证用户，且用户要求实时注销，即电脑关机就注销）用户认证成功后，自动跳转到如下注销页面，用户可以手动点击页面上的“注销”按钮完成注销。终端关闭此页面或手动点击注销按钮即可完成自动注销，使用户下线。4.客户端手动注销认证，通过输入打开认证和注销的页面，手动点击注销（只适用于密码认证的用户和单点登录的用户，使用的较少）。5.定时强制注销所有在线用户功能（适用于所有认证类型的用户）练练手某酒店内部是一个二层网络（192.168.1.0/24），每台电脑均分配了一个固定的IP地址，要