1-网康ICG用户识别认证操作培训

ICG产品知识系列培训(6)用户识别与认证功能操作培训产品市场部2009-1-5覆盖的最新版本ICG5.5.1维护人陆继周Page2文档使用注意事项：1.自行学习本文档时请结合设备的帮助一起使用2.具体的操作细节请查看设备的联机帮助3.文档会对帮助中没有描述清楚的地方进行有效说明4.文档会对操作配置点的目的，意义进行解释Page3文档导读序号提纲点提纲点重要性说明1文档预期效果说明在阅读之前，阅读者可以了解这篇文档能给自己带来什么提升，应该掌握哪些知识2重要名词解释一些和该功能相关的专业术语，便于深入理解文档，更专业的和客户沟通3功能总体框架说明整体介绍功能模块的功能点，功能简介4功能使用前的思路梳理介绍功能使用的思考过程，从而有效，无风险的实现功能效果5细分功能操作讲解讲解配置点的意义，对联机帮助文档进行补充1.细分功能意义说明2.细分功能的配置点讲解3.细分功能配置的注意事项4.细分功能配置后检查方法5.细分功能的排错思路6.联系题目1.为什么要使用这个细分功能2.细分功能配置项的含义和带来的价值3.有什么要特别关注，避免犯错误的4.可确认配置后是对的5.出现问题时的思考方法6Page4文档预期效果说明Page5阅读本文档之后你应该可以掌握的内容：1.掌握用户识别与认证的专业术语的含义2.掌握ICG可以实现的户识别与认证的范围3.能够树立清晰操作前的思路4.能够灵活、准确的配置本功能，有效的实现客户网络环境下的需求5.能够通过有效的手段检验已经配置的功能的正确性6.能够对该功能出现的异常情况有一定的排查思路Page6重要名词解释Page7名词解释：（认证识别的3种机理）1.单点登录（网康叫透明识别）：指客户原来就存在用户身份的管理系统，ICG可利用原有的用户管理数据，在ICG上线后，上网的用户端人员不需要安装任何客户端、不需要进行附加的新的身份认证，ICG就可以识别出产生网络行为的人的用户名。2.联动认证（网康叫第三方认证）：指客户原来存在用户身份的管理系统，ICG可利用原有的用户管理数据，在ICG上线后，上网的用户端人员需对ICG弹出的认证狂输入原有用户管理系统的用户名密码，或者安装待填用户名密码的客户端，使得ICG可以识别出产生网络行为的人的用户名，并应用到后期的策略和日志中（因为部分环境下无法实现单点登录，所以需要联动认证）Page8名词解释：1.本地认证：指客户不使用或没有已经存在的用户管理系统，仅在ICG设备上重新建立用户组织架构，并且通过ICG本地的自行建立用户组织架构识别网络行为产生者的用户名（认证识别的3种实现手段）1.用户识别：上网客户端用户无需输入用户名密码，无需安装客户端即可实现身份的识别2.客户端认证：上网用户需要安装客户端才可以识别用户的身份3.Web认证：上网用户在上网时需要先通过IE等浏览器弹出的认证框输入用户名密码，输入完毕后才能识别上网用户的身份Page9名词解释：1.用户导入：是指不采用手工逐条的方式建立ICG上的组织架构，而是通过已经存在的用户数据（用户信息文档，现有用户管理系统）批量自动的写入到ICG系统中，完成组织架构的建立。不进行用户导入，日志中依旧可以体现用户信息，但将无法在策略中引用用户信息。2.混合认证：是指对同一个/多个主机（IP）可以串行的进行多种身份识别与认证方式，第一个正确匹配的识别认证信息中的身份信息将作为该用户的身份。3.认证网段：是指指定的认证方式生效的网段。超出该网段的范围，指定的认证识别方式将不生效4.时间有效期（自动下线配置）：是指认证通过后，多长时间按内该认证失效，也就是该用户和对应IP对应关系解除。如果是固定的一个时间，则表示从认证通过后开始计算，固定的时间后这个对应关系解除。如果是不活动后的一个时间，则表示认证通过后，如果在一段时间内用户没有报文通过ICG，则认证对应关系解除，而有效期内一旦有报文通过，自动从这一刻开始重新计算有效期。Page10名词解释：1.Kerberos：是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。Kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。微软的AD域采用的是Kerberos协议2.PPPOE：一种使用在ADSL技术上的协议，可以使得以太网报文中携带用户认证信息。3.H3CCAMS,锐捷SAM：是上述两个公司的准入系统的用户身份识别系统，可以识别用户名，主机mac，连接的交换机ID，连接的交换机端口等。Page11名词解释：1.嗅探器：是一种在认证服务器上的探针软件，可以和ICG联动实现基于IP获取用户名，主要用于单点登录技术2.RADIUS：RemoteAuthenticationDialInUserService，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。普通电话上网、ADSL上网、小区宽带上网、IP电话、移动电话预付费等业务。最近IEEE提出了802.1x标准Page12名词解释：1.802.1x：协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。主要用于准入技术以及无线以太网的接入认证2.原有认证系统在ICG外侧：用户原有认证系统的认证过程报文需要通过ICG后才到达原有的认证系统。3.原有认证系统在ICG内测：用户原有认证系统的认证过程报文不会通过ICG就可以到达原有的认证系统Page13名词解释：1.第三方用户：当一个用户名被ICG获取后，通过遍历组织架构没有找到该用户名，则该用户名被放置在第三方用户中。2.IP临时用户：当这个IP为源地址的报文通过了ICG，通过对组织架构遍历后，没有找到该IP，则该IP被放置在IP临时用户中。Page14ICG用户认证与识别功能总体框架Page15建立用户组织架构（实现在策略中引用用户信息）-IP方式建立组织架构-LDAP同步方式建立组织架构-用户信息文件方式建立组织架构ICG用户识别认证功能总体框架管理用户的组织架构-增、删、修改用户/组信息-绑定帐号、IP、MAC常用识别/认证用户（一些不常见的暂时先不讲解）-基础识别：IP地址识别，MAC地址识别-单点登录识别：联合POP3，联合AD域，联合用户计算机名-本地认证：本地用户名密码方式，准入方式-联动认证：联合LDAP，联合RADIUS，联合POP3Page16用户认证与识别功能使用前的思路梳理Page17从客户需求角度来进行的思路梳理判断过程用户需求用户希望日志中有用户名要采用识别或认证用户希望基于用户、部门名设置差异化策略要导入用户组织架构到ICG用户希望结合原有的认证系统要采用单点登录或联动认证，不能采用本地认证用户的网络中存在不同的人使用不同的识别/认证机制要采用混合识别/认证认证机制否决条件用户不希望任何认证框的弹出不能采用联动认证，本地认证。可采用单点登录，或者用户端客户端，静态IP用户名的映射用户不希望采用任何用户端客户端不能采用用户客户端，可采用联动认证，或者单点登录用户不希望采用服务器客户端不能采用嗅探器，可采用联动认证，单点登录（认证系统在ICG外侧）通过思路整理，来判断应该采用什么方式，怎样简单有效的实现需求Page18归纳一下思路就是：1.明确需要开启识别与认证吗？2.明确需要导入用户信息吗？3.明确是采用本地认证还是采用结合原有的用户系统来识别认证？4.明确是结合原有用户系统时采用单点登录还是采用联动认证5.明确需要开启混合认证吗？如果上述判断的结果无解，请引导客户退回一个最小的限制，使其有解Page19细分功能操作讲解Page20用户的识别/认证，提供策略/日志引用可能共同实现用户导入组织管理用户查询识别与认证实现ICG中有用户实现用户信息调整实现用户信息可查实现用户信息和报文关联Page21用户导入的意义说明如果用户希望通过真实的用户名，部门信息进行策略配置，那么就需要采用导入机制。如果没有组织架构在ICG上，将无法从策略中引用用户的信息，只能对全部用户做统一的策略用户导入的几种方式：1.IP用户导入：快速建立以IP为身份标识的组织架构。2.LDAP用户导入：快速建立以LDAP数据库信息中的用户为标识的组织架构3.网康自定义文件导入：快速建立以文件内容信息中的用户为表示的组织架构Page22IP用户导入培训开始Page23IP导入意义说明（为什么要使用IP导入）：IP导入的使用是为了快速建立以IP地址为用户身份标识的组织架构，在后期可引用网段、或者引用IP地址作为用户信息来建立策略。在固定IP地址环境下IP导入既方便，又快捷，并且标识用户有效是十分适合的。注：但是对于DHCP环境下，由于IP地址和人员并不是一一对应，IP导入将无法起到有效的身份标识作用Page24二层IP用户导入：意义说明：在仅仅是2层网络环境中（没有3层交换机），2层导入可以快捷的建立以IP为用户标识的组织架构具体的操作细节请参看该配置页面的联机帮助开启后，导入时仅导入ICG在扫描时可以访到的设备输入需要扫描并导入的网段用文件方式导入IP信息，不用扫描方式Page25二层IP用户导入结果的整理操作导入按钮，点击后将显示的数据写入组织架构选择导入的信息包含IP，还是MAC，还是全包含勾选后可以用IP地址信息作为所有记录的用户名选择将显示的记录导入到那个部门分组中需要手工，或者自动填充的用户名具体的操作细节请参看该配置页面的联机帮助Page26二层IP用户导入注意事项：（扫描方式）注意事项：1-勾选开机扫描，ICG将只把自己可以访问到的主机收写入扫描结果中2-勾选开机扫描时，如果用户的计算机上开启了防火墙，将无法被ICG扫描到3-勾选开机扫描时，如果被扫描的网段和ICG不再同一个网段时，则只能扫扫描到IP地址，而不能扫描到MAC地址（如果希望跨3层扫描到MAC地址，可采用后面介绍的3层IP导入）4-不勾选开机扫描，ICG将不进行主机的探测，而是将IP段内所有的IP都写到扫描结果中，无论ICG是否可以访问到该主机。5-不勾选开机扫描，因为不进行主机探测，则扫描结果中将不包含主机的MAC地址6-扫描的IP范围要在一个C类地址内，否则会报错。目的是避免扫描网段过大，导致扫描时间过长Page27二层IP用户导入注意事项：（文件导入方式）注意事项：1-必须是TXT的文本文件格式为：192.168.1.100:01:02:03:04:052-文档中只能包含IP，MAC信息，无法包含用户名3-如果要包含用户名，请采用网康自定义方式进行导入Page28二层IP用户导入注意事项：（导入结果整理）1-用户名为必填项，不想用IP作为用户名可以手工填写。如果觉得一个一个写太麻烦，可以采用后面介绍的网康自定义方式导入而不用IP导入方式，因为IP导入方式主要是为了用IP作为用户标识的。2-点击填充用户名按钮后，所有记录将自动用IP作为各自的用户名，但可以在手工更改掉一些用户名3-已经显示的用户必须被一次性导入到组织架构中，不能仅仅选几个去导入到组织架构中Page29二层IP用户导入：（排错思路）1-提示IP应该在同一网段，说明IP地址范围超出了一个C2-扫描开机设备时，不能扫描到任何主机，或者仅仅有很少的主机，说明网络中的计算机可能大部分都开启了防火墙3-扫描开机设备时，扫描的结果中不包含MAC地址信息，可能扫描的网段和ICG不在同一个网段。4-如果文件导入后，没有任何信息，请检查一下文件的格式是否正确。Page30三层IP用户导入：意义说明：在3层网络环境中（有3层交换机），3层导入可以快捷的建立以IP为用户标识的组织架构具体的操作细节请参看该配置页面的联机帮助3层扫描需要和3层交换机联动，需要想ICG提供一些3层交换机信息（SNMP的一些信息）担心一次扫描不能全面的扫描到所有用户，可以选择长时间的反复扫描，不断增量增加扫描结果连续扫描时，两次扫描的时间间隔，避免第一次还没完，第二次就开始了扫描时