认证方式介绍
认证功能主要用于经过AC设备上网的用户进行身份的验证。通过认证功能可识别内网上网用户的身份,为后续的流量管理、用户上网权限策略及应用审计提供基础。
认证方式:
不需要认证
密码认证:本地密码认证、第三方服务器密码认证、短信认证、微信认证、二维码认证
Dkey认证
单点登录认证:LDAP单点登录、数据库单点登录、Web单点登录、PPPOE单点登录、POP3单点登录、PROXY单点登录、第三方设备单点登录、深信服设备单点登录、Radius单点登录。
不允许认证:(禁止上网)
认证功能配置
现要求实现
1、办公区用户不能修改IP地址上网
2、公共上网区则需要输入账号和密码才能上网,确保网络行为能跟踪到且认证通过后,自动跳转至内网服务器上的公告页。
3、总经理的上网数据要保证安全,不能被审计。
4、IT部点电脑IP不固定,认证不受限制。
解决方案
根据客户要求,我们可以将AC部署在防火墙与核心交换机之间,并通过如下认证设置来满足需求。
1、办公区用户采用不需要认证,自动录入IP和MAC的绑定关系。
2、公共上网区域采用密码认证,设置爱用户名和密码,并设置认证后跳转到服务器公告页面。
3、总经理使用免审计key上网,确保数据不被记录
4、IT部采用不需要认证,不绑定任何地址
配置思路
1、首先为办公区域的用户建一个用户组,在【用户认证与策略】-【用户管理】-【组/用户】中,点新增,选择【组】,定义组名:办公区,设置完成后点提交。
2、配置认证策略
新增认证策略,设置认证范围,认证方式及认证后处理,本案例的需求是不需要认证,并且同时绑定IP和MAC。
4、设备配置夸三层MAC识别
此案例中,因为网络环境是三层环境,所以需要配置3步和4步。如果是二层环境,AC收到的上网数据流就是终端电脑真实的MAC,所以不需要配置3、4步,即可实现绑定终端电脑的IP和Mac,达到不能任意上网的需求。
场景二(公共用户上网需要密码认证)
1、首先为办公区的用户建一个用户组,在【用户与管理策略】-【用户管理】-【组/用户】中,点新增,选择【组】,定义组名:公共区,设置完成后点击提交。
2、新增用户名密码认证的用户,设置用户名密码
实际操作中,密码认证的账号很多,只需按要求格式做成csv表格,一次性导入设备
3、配置认证策略:在【用户与策略管理】-【用户认证】-【认证策略】中,点击【新增】
加密传输用户名密码
未通过认证的https请求从定向到认证页面
场景三配置(总经理上网使用DKEY人认证)
1、使用DEKY认证的用户,需要下载并安装DEKY客户端
2、新增DKEY认证的用户,手动生成DKEY【用户认证与管理】-【用户管理】-【认证高级选项】选择DEKY用户
3、使用DEKY客户端进行认证
(1)用户安装完DEKY客户端后,会在桌面生成图标。
(2)电脑USB接口插入免审计KEY,并输入密码
(3)认证成功后,客户端会有如下提示
场景四配置(IT部使用不需要认证上网)
1、首先为办公区的用户建一个用户组,在【用户与管理策略】-【用户管理】-【组/用户】中,点新增,选择【组】,定义组名:IT部,设置完成后点击提交。
2、配置认证策略,选择认证方式,本案例的要求不需要认证,不绑定任何地址
2399
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
