年度渠道初級認(rèn)證培訓(xùn)03-基礎(chǔ)認(rèn)證技術(shù)-0428

1、SANGFOR AC 根底認(rèn)證技術(shù)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)SANGFOR AC 認(rèn)證功能介紹1. 掌握AC設(shè)備支持的認(rèn)證方式SANGFOR AC 認(rèn)證功能配置1.掌握AC設(shè)備IP/MAC認(rèn)證（跨三層環(huán)境）的配置步驟2.掌握AC設(shè)備用戶名密碼認(rèn)證的配置步驟3.掌握AC設(shè)備DKEY認(rèn)證的配置步驟密碼認(rèn)證加強(qiáng)1.掌握如何設(shè)置用戶密碼強(qiáng)度2.掌握如何強(qiáng)制客戶端初次認(rèn)證修改密碼用戶注銷功能介紹1.掌握如何注銷已經(jīng)通過認(rèn)證的用戶認(rèn)證功能引見SANGFOR AC 認(rèn)證功能引見概述：認(rèn)證功能主要用于對經(jīng)過AC設(shè)備上網(wǎng)的用戶進(jìn)展身份的驗(yàn)證。經(jīng)過認(rèn)證功能可識別內(nèi)網(wǎng)上網(wǎng)用戶的身份，為后續(xù)的流量管理、用戶上網(wǎng)權(quán)限戰(zhàn)略及運(yùn)用審

2、計提供根底。SANGFOR AC的認(rèn)證方式：1、不需求認(rèn)證IP/MAC綁定2、密碼認(rèn)證包括本地密碼認(rèn)證和第三方效力器認(rèn)證 3、單點(diǎn)登陸4、DKEY認(rèn)證認(rèn)證方式引見 1、不需求認(rèn)證 設(shè)備根據(jù)數(shù)據(jù)包的源IP地址、源MAC地址、上網(wǎng)PC的計算機(jī)名來識別用戶。 不需求認(rèn)證的方式，優(yōu)點(diǎn)是用戶上網(wǎng)前閱讀器中不會彈出認(rèn)證框,不需求經(jīng)過用戶名密碼驗(yàn)證才干上網(wǎng)。因此用戶不會感知到設(shè)備的存在。 認(rèn)證方式引見 當(dāng)用戶初次經(jīng)過AC上網(wǎng)時，AC會要求用戶提交用戶名密碼信息，假設(shè)用戶提交的用戶名密碼信息和AC本機(jī)保管的信息一致時，給予認(rèn)證經(jīng)過。 用戶名密碼認(rèn)證適用于內(nèi)網(wǎng)用戶IP/MAC不固定，或者內(nèi)網(wǎng)存在第三方認(rèn)證效力器

3、的網(wǎng)絡(luò)環(huán)境。 可以手動在AC上新建用戶名和密碼，也可以直接沿用第三方認(rèn)證效力器上的賬號和密碼(SANGFOR AC與第三方認(rèn)證效力器結(jié)合，支持LDAP、RADIUS、 POP3、數(shù)據(jù)庫、H3C CAMS等第三方效力器認(rèn)證)。 2、密碼認(rèn)證(包括本地密碼認(rèn)證和第三方效力器認(rèn)證)認(rèn)證方式引見 3、單點(diǎn)登錄 當(dāng)客戶有本人的第三方認(rèn)證效力器對內(nèi)網(wǎng)用戶進(jìn)展認(rèn)證時，單點(diǎn)登錄可以實(shí)如今內(nèi)網(wǎng)用戶經(jīng)過第三方認(rèn)證效力器認(rèn)證時自動經(jīng)過AC設(shè)備的認(rèn)證，并且獲取到相關(guān)的權(quán)限上網(wǎng)。 SANGFOR AC支持域單點(diǎn)登錄，POP3單點(diǎn)登錄，PROXY單點(diǎn)登錄，WEB單點(diǎn)登錄、PPPOE單點(diǎn)登陸，數(shù)據(jù)庫單點(diǎn)登陸，第三方設(shè)備單點(diǎn)

4、登陸包括銳捷SAM系統(tǒng)，城市熱點(diǎn)，H3C CAMS系統(tǒng)等，PPT將詳細(xì)引見相關(guān)功能和配置，此PPT不再贅述。認(rèn)證方式引見 4、DKEY認(rèn)證 SANGFOR AC提供上網(wǎng)認(rèn)證的DKEY有兩種，綠色的認(rèn)證KEY和紫色的免審計KEY。 DKEY認(rèn)證過程：管理員生成DKEY，然后分發(fā)給用戶。用戶上網(wǎng)時，把DKEY插入個人電 腦，運(yùn)用DKEY認(rèn)證客戶端提交認(rèn)證信息，經(jīng)過認(rèn)證后才允許接入互聯(lián)網(wǎng)。 DKEY 認(rèn)證適用于對認(rèn)證平安要求較高的網(wǎng)絡(luò)環(huán)境，也適用于公司高層信息不被隨意審計的情況。認(rèn)證方式引見綠色的是認(rèn)證KEY，紫色的是免審計KEY，這兩種KEY不能混淆。AC還有一種咖啡色的KEY，用于數(shù)據(jù)中心查詢。

5、認(rèn)證功能配置IP/MAC認(rèn)證場景DKEY認(rèn)證場景用戶名密碼認(rèn)證場景典型運(yùn)用場景與配置案例背景 某集團(tuán)公司內(nèi)部有辦公區(qū)和公共上網(wǎng)區(qū)， 要務(wù)虛現(xiàn)辦公區(qū)/24用戶上網(wǎng)不能修正IP和MAC地址，公共上網(wǎng)區(qū)/24那么需求輸入賬號和密碼才干上網(wǎng)，確保網(wǎng)絡(luò)行為能跟蹤到，另外總經(jīng)理的上網(wǎng)數(shù)據(jù)要保證平安，不能被審計。中心交換防火墻總經(jīng)理辦公區(qū)公共上網(wǎng)區(qū)處理方案 根據(jù)客戶需求，我們可以將AC部署在防火墻與中心交換機(jī)之間，并經(jīng)過如下認(rèn)證設(shè)置來滿足需求：1、辦公區(qū)用戶采用IP/MAC認(rèn)證方式2、公共上網(wǎng)區(qū)采用密碼認(rèn)證，設(shè)置用戶名和密碼3、總經(jīng)理運(yùn)用免審計KEY上網(wǎng)，確保數(shù)據(jù)不被記錄中心交換防火墻總經(jīng)理辦公區(qū)公共上網(wǎng)區(qū)

6、配置思緒1、新建認(rèn)證戰(zhàn)略 認(rèn)證戰(zhàn)略決議了運(yùn)用某個IP/網(wǎng)段/MAC地址的計算機(jī)的認(rèn)證方式。經(jīng)過認(rèn)證戰(zhàn)略可設(shè)置內(nèi)網(wǎng)用戶的認(rèn)證方式。 2、手動新建用戶或者自動添加新用戶 新建用戶，可編輯用戶屬性，定義用戶詳細(xì)的認(rèn)證信息。包括用戶名密碼信息， 啟用DKEY以及IP/MAC綁定。 假設(shè)采用自動添加新用戶，在認(rèn)證戰(zhàn)略里開啟和定義即可。AC幾種認(rèn)證方式中，DKEY認(rèn)證在對應(yīng)的用戶屬性中設(shè)置即可，不需求設(shè)置認(rèn)證戰(zhàn)略，且DKEY認(rèn)證的優(yōu)先級最高。不需求認(rèn)證、密碼認(rèn)證、單點(diǎn)登錄這幾種認(rèn)證方式需求到認(rèn)證戰(zhàn)略中設(shè)置。配置步驟一IP/MAC認(rèn)證的用戶 1、首先為辦公區(qū)的用戶建一個用戶組，在【用戶與戰(zhàn)略管理】【用戶管理

7、】【組/用戶】中，點(diǎn)新增，選擇【組】，定義組名：辦公區(qū)，設(shè)置完后點(diǎn)提交。配置步驟一IP/MAC認(rèn)證的用戶 2、配置認(rèn)證戰(zhàn)略 新增一個認(rèn)證戰(zhàn)略，選擇認(rèn)證方式，本案例的需求是同時綁定IP/MAC，因此選擇IP/MAC綁定，且綁定方式為用戶和地址雙向綁定。在新用戶選項中，自動添加新用戶到辦公區(qū)用戶組。定義需求運(yùn)用IP/MAC認(rèn)證的IP范圍這里也可以用MAC地址或計算機(jī)名做為新用戶選擇用戶組勾選后，客戶端登陸時自動綁定IPMAC配置完成，點(diǎn)擊確定配置步驟一IP/MAC認(rèn)證的用戶 注：假設(shè)AC和內(nèi)網(wǎng)用戶是跨三層環(huán)境，需開啟SNMP功能實(shí)現(xiàn)IP和MAC的綁定，【用戶與戰(zhàn)略管理】【用戶認(rèn)證】【認(rèn)證選項】【跨

8、三層MAC識別】填入與AC相連的三層交換機(jī)的地址，格式如圖配置步驟二用戶名密碼認(rèn)證 1、配置認(rèn)證戰(zhàn)略：在【用戶與戰(zhàn)略管理】【用戶認(rèn)證】【認(rèn)證戰(zhàn)略】中，點(diǎn)擊【新增】，如圖，配置完成后點(diǎn)提交。配置步驟二用戶名密碼認(rèn)證 2、新增用戶名密碼認(rèn)證的用戶，設(shè)置用戶名密碼勾選后，該賬號可供多人運(yùn)用，也可不勾選，為每個用戶單獨(dú)建立 用戶名和密碼配置步驟二用戶名密碼認(rèn)證 3、客戶端輸入用戶名密碼認(rèn)證 當(dāng)用戶訪問網(wǎng)站時，AC會重定向到這個認(rèn)證的頁面，用戶輸入正確的用戶名密碼認(rèn)證后，才可以繼續(xù)上網(wǎng)。配置步驟三DKEY認(rèn)證的用戶 1、新增DKEY認(rèn)證的用戶，手動生成DKEY勾選后，會彈出提示信息，要求生成KEY，點(diǎn)封

9、鎖即可。運(yùn)用免審計KEY時，需求勾選此項設(shè)置DEY的初始密碼點(diǎn)寫入DKEY前請先在本機(jī)安裝KEY驅(qū)動配置步驟三DKEY認(rèn)證的用戶 2、運(yùn)用DKEY認(rèn)證的用戶，需下載并安裝DKEY客戶端為設(shè)備LAN口IP地址點(diǎn)擊下載并安裝DKEY客戶端配置步驟三DKEY認(rèn)證的用戶3、運(yùn)用DKEY客戶端進(jìn)展認(rèn)證 用戶安裝完DKEY客戶端后，會在桌面生成圖標(biāo)。 假設(shè)將紫色DKEY插入電腦，雙擊圖標(biāo)，輸入DKEY密碼，認(rèn)證勝利后，桌面右下角圖標(biāo)會提示您：“認(rèn)證勝利，您正處于不受監(jiān)控形狀.密碼認(rèn)證加強(qiáng)設(shè)置用戶密碼強(qiáng)度 設(shè)置密碼強(qiáng)度主要為了滿足對WEB認(rèn)證用戶的密碼平安的需求。密碼強(qiáng)度限制僅對私有用戶在客戶端修正密碼有效

10、，管理員在控制臺建立或修正密碼不受此限制。設(shè)置用戶密碼強(qiáng)度 配置步驟：【用戶與戰(zhàn)略管理】【用戶認(rèn)證】【認(rèn)證選項】【其它認(rèn)證選項】按照用戶需求勾選相應(yīng)條目，可復(fù)選。設(shè)置用戶密碼強(qiáng)度客戶端登陸修正密碼：輸入密碼的時候會實(shí)時檢測并根據(jù)輸入情況在右邊顯示相應(yīng)的提示點(diǎn)擊確定時會再次檢測，假設(shè)不符合要求，那么修正不勝利，并會彈出相應(yīng)提示強(qiáng)迫客戶端初次認(rèn)證修正密碼運(yùn)用背景：用戶批量導(dǎo)入或者大量參與的時候，初始密碼是一致的，這樣很不平安處理思緒：強(qiáng)迫要求用戶初次登錄時自行修正密碼。本卷須知：1. 僅對設(shè)備本地密碼認(rèn)證的用戶有效2. 用戶認(rèn)證后會自動跳轉(zhuǎn)到修正密碼窗口，假設(shè)不修正那么無法上網(wǎng)。 配置方法： 1.

11、 添加用戶時：在【用戶與戰(zhàn)略管理】【用戶管理】【組/用戶】中，點(diǎn)擊 新增，在【本地密碼】設(shè)置的下方勾選“初次認(rèn)證修正密碼。強(qiáng)迫客戶端初次認(rèn)證修正密碼強(qiáng)迫客戶端初次認(rèn)證修正密碼 2. 導(dǎo)入用戶時：【用戶與戰(zhàn)略管理】【用戶管理】【用戶導(dǎo)入】，點(diǎn)擊 CSV格式文件導(dǎo)入時，勾選初次認(rèn)證修正密碼。強(qiáng)迫客戶端初次認(rèn)證修正密碼 啟用了初次認(rèn)證修正密碼，用戶第一次認(rèn)證經(jīng)過后會跳轉(zhuǎn)到修正密碼頁面，修正完成后出現(xiàn)如下頁面：提示：1.此頁面為靜態(tài)頁面，不會自動跳轉(zhuǎn)到之前訪問的internet頁面。2.修正密碼后生效能夠有30秒的延遲，建議在30秒內(nèi)不要注銷或重新登錄。用戶注銷如何注銷曾經(jīng)經(jīng)過認(rèn)證的用戶 當(dāng)需求注銷曾

12、經(jīng)認(rèn)證勝利的用戶時，可以經(jīng)過AC網(wǎng)關(guān)控制臺注銷用戶或在客戶端手動注銷來實(shí)現(xiàn)?？刂婆_注銷用戶：1. 在線用戶列表強(qiáng)迫注銷不需求認(rèn)證用戶，DKEY用戶，暫時用戶不能被注銷如何注銷曾經(jīng)經(jīng)過認(rèn)證的用戶 2. 無流量自動注銷用戶適用于一切認(rèn)證類型的用戶如何注銷曾經(jīng)經(jīng)過認(rèn)證的用戶 3. 開啟密碼認(rèn)證的用戶，經(jīng)過彈出注銷窗口只適用于本地密碼認(rèn)證的用戶如何注銷曾經(jīng)經(jīng)過認(rèn)證的用戶 用戶認(rèn)證勝利后，自動跳轉(zhuǎn)到如下注銷頁面，用戶可以手動點(diǎn)擊頁面上的“注銷按鈕完成注銷。如何注銷曾經(jīng)經(jīng)過認(rèn)證的用戶 4. 客戶端手動注銷認(rèn)證，經(jīng)過輸入httpACIP翻開手動認(rèn)證和注銷的頁面，點(diǎn)擊注銷只適用于密碼認(rèn)證的用戶和單點(diǎn)登錄的用戶。練練手 某酒店內(nèi)部是一個二層網(wǎng)絡(luò)/24，每臺電腦均分配了一個固定的IP地址，要求內(nèi)部員工上網(wǎng)只能運(yùn)用本人的電腦，不能隨