用户认证技术

用户和用户组管理

AC核心是实现对与人的管理，所有对于用户和用户组的管理必然是核心要素

组织结构

• 组织结构即为用户和用户组的所属层级关系。
• SANGFOR AC 提供树形的组织结构，通过树形用户结构管理，符合企业的人员结构划分，同时又可以对相同的上网策略进行继承。一个用户有一个直属父组。
• 通过此章节学习，我们将了解用户和组的添加，编辑，移动和删除等操作。

用户管理-组/用户：可以对用户进行增删改查

限制地址范围内登录：可以使账号只能在设置地址范围内的终端上登录，其他账号也可以在这地址范围内登录

用户绑定：绑定时定义绑定目的和绑定对象及绑定有效期。

手动添加用户，可以一次新建用户，用户组，也可以一次创建多个组，创建的时候使用英文逗号隔开即可。

批量导入用户：可以将用户和组格式做成csv表格，导入进设备。

认证策略自动添加用户：如果只添加用户，且认证方式为不需要认证，单点登录，也可以通过认证策略自动添加新用户。

搜索：可以根据指定的查询条件来搜索特定的用户。

注销用户

• 在【在线用户管理】中强制注销在线用户（临时用户、Dkey用户、不需要认证的用户无法被强制注销）
• 在【认证高级选项】-【认证选项】中选择【自动注销无流量的用户】（对所有用户生效）
• 在【认证高级选项】-【认证选项】中设置【每天强制注销所有在线用户】，并设置注销时间（对所有用户生效）
• 设置认证页面关闭时自动注销
• 设置MAC变动时自动注销

不需要认证技术

 如果想使某部电脑不固定，认证不受限制，可以这样部署：

• 首先为办公区的用户建一个用户组，在【用户认证与管理】－【用户管理】－【组/用户】中，点新增，选择【组】，定义组名：某部
• 新增【认证策略】，选择认证方式为不需要认证，不绑定任何地址
• 【认证后处理】-【非本地/域用户使用该组上线】：某部

数据包特征信息

• 设备根据数据包的源IP地址、计算机名、源MAC地址来标识用户。
• 优点：终端用户上网认证的过程是透明的，不会感知设备的存在。
• 一般适用于对认证要求不严格的场景。。

IP/MAC绑定认证技术

办公区用户不允许私自修改ip地址，否则禁止上网，可以这样配置：

• 首先为办公区的用户建一个用户组，在【用户认证与管理】－【用户管理】－【组/用户】中，点新增，选择【组】，定义组名：办公区
• 新增【认证策略】，选择认证方式为：不需要认证
• 【认证后处理】-【非本地/域用户使用该组上线】选择：办公区
• 勾选【自动录入绑定关系】-【自动录入IP和MAC的绑定关系】
• 三层网络环境下特别注意，需要开启以下功能：
• 配置【认证高级选项】-【跨三层取MAC】（注意：要在三层设备上设置允许AC访问其SNMP服务器）

SNMP是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络节点（如服务器、工作站、路由器、交换机等）的标准协议。

SNMP规定了5种协议数据单元PDU（也就是SNMP报文），用来在管理进程和代理之间的交换。

1. get-request操作：从代理进程处提取一个或多个参数值。
2. get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值。
3. set-request操作：设置代理进程的一个或多个参数值。
4. get-response操作：返回的一个或多个参数值。
5. trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。

管理信息库MIB：任何一个被管理的资源都表示成一个对象，称为被管理的对象。每个OID（Object IDentification）都对应一个唯一的对象

数据包在经过二层交换机转发后，源MAC地址不会改变，在经过三层交换机转发后，源MAC会发生改变；获取ARP表，通过SNMP协议获取真实ARP表格就可以获取到终端真实的IP/MAC表项

用户上网的数据经过三层交换机会在交换机上形成ARP表
上网的数据经过AC时，AC看到数据包的源MAC地址都是三层交换机的MAC，于是AC会主动通过SNMP协议去读取三层交换机的ARP表（要在三层交换机上先设置允许AC访问其SNMP服务）
AC会将读取到的ARP条目和AC设备里面绑定的IP/MAC条目进行对比
如果比对结果一致，则允许上网，否则丢弃数据包禁止上网
每个交换都需要启用SNMP协议，AC需要去获取每个三层交换机的ARP表，但【MAC地址排除列表】只需要填写与AC直连的交换机接口MAC地址

设备如果无法获取到交换机的ARP表，排查：

• 检查设备与交换机是否通讯正常
• 检查交换机的配置（是否允许AC访问其SNMP服务器）、ACL和团体名
• 检查中间设备是否有拦截UDP 161端口
• 在电脑上通过BPSNMPUtil工具连接交换机，测试是否可以读取ARP表
• AC只支持SNMP V1  V2  V2C版本协议

30位掩码下的整个网络环境，只有两个可用IP，AC是网桥模式部署，所以AC上下的设备都得分配IP，此时AC分配不到IP，处于无IP网桥模式，因此要用管理口来另接交换机（此时交换机上也要进行配置网口与AC的管理口对接）所以不可使用网桥模式部署
要想设备网桥模式部署在30位掩码的网络环境中获取交换机的ARP表，就需要和交换机通过snmp取mac需要用管理口 ，因为防火墙和交换机启30位掩码的地址，我们的AC网桥将不可用。

密码认证技术

公共上网区则需要输入账号和密码才能上网，确保网络行为能跟踪到
当用户首次上网时，会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和本地（或第三方服务器）一致，则给予认证通过。      
一般适用于对认证要求严格，希望上网日志记录具体的帐号，或希望和客户现有的第三方服务器结合认证的场景。

HTTP协议：

超文本：包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。这些超文本文件彼此链接，形成网状(Web)，因此又被称为网页(Web Page)。这些链接使用URL表示。最常见的超文本格式是超文本标记语言HTML。

URL:URL即统一资源定位符(Uniform Resource Locator)，用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口(默认为80)以及文件名三部分构成

 HTTP超文本传输协议：是一种按照URL指示，将超文本文档从一台主机(Web服务器)传输到另一台主机(浏览器)的应用层协议，以实现超链接的功能。

 HTTP工作原理：

1. 浏览器分析url
2. dns解析，将解析出来的ip返回浏览器
3. 建立TCP连接/三次握手
4. 用户发送http请求
5. 服务器给用户http响应
6. 浏览器显示出请求内容
7. 关闭浏览器
8. 四次挥手断开TCP连接

请求报文中的方法：对所有请求对象进行操作，也就是一些命令。请求报文中的操作有：

POST - 向指定的资源提交要被处理的数据
User-Agent: 浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲染引擎标识 版本信息
Server：响应头包含处理请求的原始服务器的软件信息
Referer：浏览器向 WEB 服务器表明自己是从哪个 网页/URL 获得/点击 当前请求中的网址/URL。
Location：WEB 服务器告诉浏览器，试图访问的对象已经被移到别的位置了，到该头部指定的位置去取。
HTTP响应报文中的状态码:状态码(Status-Code)是响应报文状态行中包含的一个3位数字，指明特定的请求是否被满足，如果没有满足，原因是什么。状态码分为以下五类：

HTTP头部首部字段或者消息头

 配置思路：

• 首先为办公区的用户建一个用户组，在【用户认证与管理】－【用户管理】－【组/用户】中，点新增，选择【组】，定义组名：公共区
• 新增用户，设置本地密码
• 新增【认证策略】，选择认证方式为密码认证
• 【认证高级选项】-【其他选项】勾选【未认证或被冻结时允许访问DNS服务】

如果无法正常弹出密码认证页面排查：

• 先确认网络环境,手动打开是否可以打开
• 网桥部署虚拟地址是否跟内网冲突，PC浏览器是否做了上网代理
• AC下接的设备是否有做限制
• 需要启用未通过认证的用户允许访问dns服务
• 访问的如果是https的网站需要启用HTTPS请求未通过认证时,重定向到认证页面（代理时除外）
• 根据关联的上网策略不能拒绝http应用和dns应用
• 防火墙规则不能拒绝80和53端口【系统管理】-【防火墙】-【LAN-WAN】

重定向

• 虚拟IP重定向：内网PC认证前的HTTP上网数据经过AC时，AC拦截并记录下数据包的源，目的IP，数据包的封装类型，以及数据包进入AC时的接口。
• AC回弹portal的重定向认证页面时，会将记录下来的数据包的源，目的IP反转，再从数据包进入的接口直接发出去，其中数据包中的数据字段会替换成AC虚拟IP的重定向URL地址。（AC只在网桥模式下有虚拟IP重定向）
•  DMZ口重定向：内网PC认证前的HTTP上网数据经过AC时，AC拦截数据包，AC通过查找本身DMZ口的路由表，将portal的重定向认证页面从DMZ口发出，其中数据包中的数据字段会替换成AC的DMZ口IP的重定向URL地址。(一般用在无可用网桥IP时选择从DMZ口重定向）

密码认证注意：

• 如果在认证后处理，需要用户绑定了mac地址的时候，需要注意内网是否为三层环境，如果是，则需要启用跨三层mac地址识别
• 如果内网是DHCP的场景，不要勾选绑定IP地址
• 如果用户打开HTTPS的网站也要能跳转到认证页面，需要在【认证选项】勾选以下选项：
  

外部认证技术

外部认证功能介绍

SANGFOR AC/SG的外部认证，也称为第三方认证。用户的账号密码信息保存在第三方服务器上，AC/SG将用户提交的用户名密码信息转给第三方认证服务器校验，通过第三方服务器返回的认证成功与否的信息，决定是否通过AC/SG的认证，这个过程称为AC/SG的外部认证。

 外部认证过程：

• PC向AC/SG提交用户名密码信息
• AC/SG判断为外部认证，并把用户名密码信息发给外部认证服务器校验
• 外部认证服务器校验后，向AC/SG发送认证失败或成功的消息
• AC/SG根据外部认证服务器返回的消息，确定是否让该PC通过认证。
• PC通过认证后，就可直接访问公网了

当满足两个条件的用户才会匹配外部认证流程：

1. 认证策略中，认证方式选择“密码认证，认证服务器选择“第三方服务器”
2. 认证高级选项，未启用“DKEY”。

外部认证服务器配置：

• 选择需要新增的外部认证服务器类型【LDAP, RADIUS, POP3服务器】
• 设置外部认证服务器的通信方式，IP，端口等

LDAP认证案列:某公司内网有一台AD域服务器，域名为mengxuan.com，服务器IP地址为172.16.100.203。要求内网用户上网时使用域帐号和密码来通过AC设备的认证才可以上网。

先创建外部认证服务器，设置AD域服务器信息，配置完成点击测试账户的有效性，再新建认证策略，选择“密码认证”认证服务器上创建好的服务器。配置完成后在终端电脑输入域账号通过AC认证，即可访问外网。