网康ICG用户识别认证操作培训.ppt

上传人:鲁** 文档编号:571642825 上传时间:2024-08-11 格式:PPT 页数:94 大小:3.15MB
返回 下载 相关 举报
网康ICG用户识别认证操作培训.ppt_第1页
第1页 / 共94页
网康ICG用户识别认证操作培训.ppt_第2页
第2页 / 共94页
网康ICG用户识别认证操作培训.ppt_第3页
第3页 / 共94页
网康ICG用户识别认证操作培训.ppt_第4页
第4页 / 共94页
网康ICG用户识别认证操作培训.ppt_第5页
第5页 / 共94页
点击查看更多>>
资源描述

《网康ICG用户识别认证操作培训.ppt》由会员分享,可在线阅读,更多相关《网康ICG用户识别认证操作培训.ppt(94页珍藏版)》请在金锄头文库上搜索。

1、ICG ICG 产品知识系列培训产品知识系列培训(6)(6)用户识别用户识别与认证功能操作培训与认证功能操作培训产品市场部2009-1-5覆盖的最新版本覆盖的最新版本ICG 5.5.1ICG 5.5.1维护人维护人陆继周陆继周文档使用注意事项:文档使用注意事项:1.自行学习本文档时请结合设备的帮助一起使用2.具体的操作细节请查看设备的联机帮助3.文档会对帮助中没有描述清楚的地方进行有效说明4.文档会对操作配置点的目的,意义进行解释Page 2文档导读序号序号提纲点提纲点提纲点重要性说明提纲点重要性说明1文档预期效果说明在阅读之前,阅读者可以了解这篇文档能给自己带来什么提升,应该掌握哪些知识2重

2、要名词解释一些和该功能相关的专业术语,便于深入理解文档,更专业的和客户沟通3功能总体框架说明整体介绍功能模块的功能点,功能简介4功能使用前的思路梳理介绍功能使用的思考过程,从而有效,无风险的实现功能效果5细分功能操作讲解讲解配置点的意义,对联机帮助文档进行补充1.细分功能意义说明2.细分功能的配置点讲解3.细分功能配置的注意事项4.细分功能配置后检查方法5.细分功能的排错思路6.联系题目1.为什么要使用这个细分功能2.细分功能配置项的含义和带来的价值3.有什么要特别关注,避免犯错误的4.可确认配置后是对的5.出现问题时的思考方法6Page 3文档预期效果说明Page 4阅读本文档之后你应该可以

3、掌握的内容:阅读本文档之后你应该可以掌握的内容:1.掌握用户识别与认证的专业术语的含义2.掌握ICG可以实现的户识别与认证的范围3.能够树立清晰操作前的思路4.能够灵活、准确的配置本功能,有效的实现客户网络环境下的需求5.能够通过有效的手段检验已经配置的功能的正确性6.能够对该功能出现的异常情况有一定的排查思路Page 5重要名词解释Page 6名词解释:(认证识别的3种机理)1.单点登录(网康叫透明识别):指客户原来就存在用户身份的管理系统,ICG可利用原有的用户管理数据,在ICG上线后,上网的用户端人员不需要安装任何客户端、不需要进行附加的新的身份认证,ICG就可以识别出产生网络行为的人的

4、用户名。2.联动认证(网康叫第三方认证):指客户原来存在用户身份的管理系统,ICG可利用原有的用户管理数据,在ICG上线后,上网的用户端人员需对ICG弹出的认证狂输入原有用户管理系统的用户名密码,或者安装待填用户名密码的客户端,使得ICG可以识别出产生网络行为的人的用户名,并应用到后期的策略和日志中(因为部分环境下无法实现单点登录,所以需要联动认证)Page 7名词解释:1.本地认证:指客户不使用或没有已经存在的用户管理系统,仅在ICG设备上重新建立用户组织架构,并且通过ICG本地的自行建立用户组织架构识别网络行为产生者的用户名2.(认证识别的3种实现手段)3.用户识别:上网客户端用户无需输入

5、用户名密码,无需安装客户端即可实现身份的识别4.客户端认证:上网用户需要安装客户端才可以识别用户的身份5.Web认证:上网用户在上网时需要先通过IE等浏览器弹出的认证框输入用户名密码,输入完毕后才能识别上网用户的身份Page 8名词解释:1.用户导入:是指不采用手工逐条的方式建立ICG上的组织架构,而是通过已经存在的用户数据(用户信息文档,现有用户管理系统)批量自动的写入到ICG系统中,完成组织架构的建立。不进行用户导入,日志中依旧可以体现用户信息,但将无法在策略中引用用户信息。2.混合认证:是指对同一个/多个主机(IP)可以串行的进行多种身份识别与认证方式,第一个正确匹配的识别认证信息中的身

6、份信息将作为该用户的身份。3.认证网段:是指指定的认证方式生效的网段。超出该网段的范围,指定的认证识别方式将不生效4.时间有效期(自动下线配置):是指认证通过后,多长时间按内该认证失效,也就是该用户和对应IP对应关系解除。如果是固定的一个时间,则表示从认证通过后开始计算,固定的时间后这个对应关系解除。如果是不活动后的一个时间,则表示认证通过后,如果在一段时间内用户没有报文通过ICG,则认证对应关系解除,而有效期内一旦有报文通过,自动从这一刻开始重新计算有效期。Page 9名词解释:1.1.KerberosKerberos:是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序

7、提供强大的认证服务。Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。微软的AD域采用的是Kerberos协议2.PPPOE:一种使用在ADSL技术上的协议,可以使得以太网报文中携带用户认证信息。3.H3C CAMS,锐捷 SAM:是上述两个公司的准入系统的用户身份识别系统,可以识别用户名,主机mac,连接的交换机ID,连接的交换机端口等。Page 10名词解释:1.1.嗅探器:嗅探器:是一种在认证服务器上的探针软件,可以和ICG联动实现基于IP获取用户名,主要用于单点登录技术2.RADIUS:Remote Authentication Di

8、al In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。普通电话上网、ADSL上网、小区宽带上网、IP电话、移动电话预付费等业务。最近IEEE提出了802.1x标准Page 11名词解释:1.802.1x:协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN / WLAN。主要用于准入技术 以及 无线以太网的接入认证2.原有认证系统在ICG外侧:用户原有认证系统的认证过程报文需要通过ICG后才到达原有的认证系统。3.原有认证系统在ICG内测:

9、用户原有认证系统的认证过程报文不会通过ICG就可以到达原有的认证系统Page 12名词解释:1.第三方用户:当一个用户名被ICG获取后,通过遍历组织架构没有找到该用户名,则该用户名被放置在第三方用户中。2.IP临时用户:当这个IP为源地址的报文通过了ICG,通过对组织架构遍历后,没有找到该IP,则该IP被放置在IP临时用户中。Page 13ICG用户认证与识别功能总体框架Page 14建立用户组织架构(实现在策略中引用用户信息)-IP方式建立组织架构-LDAP同步方式建立组织架构-用户信息文件方式建立组织架构ICG用户识别认证功能总体框架用户识别认证功能总体框架管理用户的组织架构-增、删、修改

10、用户/组信息-绑定帐号、IP、MAC常用识别/认证用户(一些不常见的暂时先不讲解)-基础识别:IP地址识别,MAC 地址识别-单点登录识别:联合POP3,联合AD域,联合用户计算机名-本地认证:本地用户名密码方式,准入方式-联动认证:联合LDAP,联合RADIUS,联合POP3Page 15用户认证与识别功能使用前的思路梳理Page 16从客户需求角度来进行的思路梳理判断过程从客户需求角度来进行的思路梳理判断过程用户需求用户希望日志中有用户名要采用识别或认证用户希望基于用户、部门名设置差异化策略要导入用户组织架构到ICG用户希望结合原有的认证系统要采用单点登录 或 联动认证,不能采用本地认证用

11、户的网络中存在不同的人使用不同的识别/认证机制要采用混合识别/认证认证机制否决条件用户不希望任何认证框的弹出不能采用联动认证,本地认证。可采用单点登录,或者用户端客户端,静态IP用户名的映射用户不希望采用任何用户端客户端不能采用用户客户端,可采用联动认证,或者单点登录用户不希望采用服务器客户端不能采用嗅探器,可采用联动认证,单点登录(认证系统在ICG外侧) 通过思路整理,来判断应该采用什么方式,怎样简单有效的实现需求Page 17归纳一下思路就是:1.明确需要开启识别与认证吗?2.明确需要导入用户信息吗?3.明确是采用本地认证还是采用结合原有的用户系统来识别认证?4.明确是结合原有用户系统时采

12、用单点登录还是采用联动认证5.明确需要开启混合认证吗?如果上述判断的结果无解,请引导客户退回一个最小的限制,使其有解Page 18细分功能操作讲解Page 19用户的识别用户的识别/ /认证,提供策略认证,提供策略/ /日志引用可能日志引用可能共同实现用户导入组织管理组织管理组织管理组织管理用户查询用户查询用户查询用户查询识别与认证识别与认证识别与认证识别与认证实现ICG中有用户实现用户信息调整实现用户信息可查实现用户信息和报文关联Page 20用户导入的意义说明如果用户希望通过真实的用户名,部门信息进行策略配置,那么就需要采用导入机制。如果没有组织架构在ICG上,将无法从策略中引用用户的信息

13、,只能对全部用户做统一的策略用户导入的几种方式:用户导入的几种方式:1.IP用户导入 :快速建立以IP为身份标识的组织架构。2.LDAP用户导入:快速建立以LDAP数据库信息中的用户为标识的组织架构3.网康自定义文件导入:快速建立以文件内容信息中的用户为表示的组织架构Page 21IP用户导入培训开始Page 22IPIP导入意义说明(为什么要使用导入意义说明(为什么要使用IPIP导入):导入):IP导入的使用是为了快速建立以IP地址为用户身份标识的组织架构,在后期可引用网段、或者引用IP地址作为用户信息来建立策略。在固定IP地址环境下IP导入既方便,又快捷,并且标识用户有效是十分适合的。注:

14、但是对于DHCP环境下,由于IP地址和人员并不是一一对应,IP导入将无法起到有效的身份标识作用Page 23二层IP用户导入:意义说明:在仅仅是2层网络环境中(没有3层交换机),2层导入可以快捷的建立以IP为用户标识的组织架构具体的操作细节请参看该配置页面的联机帮助开启后,导入时仅导入ICG在扫描时可以访到的设备输入需要扫描并导入的网段用文件方式导入IP信息,不用扫描方式Page 24二层IP用户导入结果的整理操作导入按钮,点击后将显示的数据写入组织架构选择导入的信息包含IP,还是MAC,还是全包含勾选后可以用IP地址信息作为所有记录的用户名选择将显示的记录导入到那个部门分组中需要手工,或者自

15、动填充的用户名具体的操作细节请参看该配置页面的联机帮助Page 25二层IP用户导入注意事项:(扫描方式)注意事项:1- 勾选开机扫描,ICG将只把自己可以访问到的主机收写入扫描结果中2- 勾选开机扫描时,如果用户的计算机上开启了防火墙,将无法被ICG扫描到3- 勾选开机扫描时,如果被扫描的网段和ICG不再同一个网段时,则只能扫扫描到IP地址,而不能扫描到MAC地址(如果希望跨3层扫描到MAC地址,可采用后面介绍的3层IP导入)4- 不勾选开机扫描,ICG将不进行主机的探测,而是将IP段内所有的IP都写到扫描结果中,无论ICG是否可以访问到该主机。5- 不勾选开机扫描,因为不进行主机探测,则扫

16、描结果中将不包含主机的MAC地址6- 扫描的IP范围要在一个C类地址内,否则会报错。目的是避免扫描网段过大,导致扫描时间过长Page 26二层IP用户导入注意事项:(文件导入方式)注意事项:1- 必须是TXT的文本文件格式为:192.168.1.1 00:01:02:03:04:052- 文档中只能包含IP,MAC信息,无法包含用户名3- 如果要包含用户名,请采用网康自定义方式进行导入Page 27二层IP用户导入注意事项:(导入结果整理)1- 用户名为必填项,不想用IP作为用户名可以手工填写。如果觉得一个一个写太麻烦,可以采用后面介绍的网康自定义方式导入而不用IP导入方式,因为IP导入方式主

17、要是为了用IP作为用户标识的。2- 点击填充用户名按钮后,所有记录将自动用IP作为各自的用户名,但可以在手工更改掉一些用户名3- 已经显示的用户必须被一次性导入到组织架构中,不能仅仅选几个去导入到组织架构中Page 28二层IP用户导入:(排错思路)1- 提示IP应该在同一网段,说明IP地址范围超出了一个C2- 扫描开机设备时,不能扫描到任何主机,或者仅仅有很少的主机,说明网络中的计算机可能大部分都开启了防火墙3- 扫描开机设备时,扫描的结果中不包含MAC地址信息,可能扫描的网段和ICG不在同一个网段。4- 如果文件导入后,没有任何信息,请检查一下文件的格式是否正确。Page 29三层IP用户

18、导入:意义说明:在3层网络环境中(有3层交换机),3层导入可以快捷的建立以IP为用户标识的组织架构具体的操作细节请参看该配置页面的联机帮助3层扫描需要和3层交换机联动,需要想ICG提供一些3层交换机信息(SNMP的一些信息)担心一次扫描不能全面的扫描到所有用户,可以选择长时间的反复扫描,不断增量增加扫描结果连续扫描时,两次扫描的时间间隔,避免第一次还没完,第二次就开始了扫描时需要扫描的IP范围,仅对这个范围内的IP进行扫描由于输入的IP范围只能输入一个,因此如果需要一次扫描多个网段,可以用文件方式导入扫描的网段,扫描的过程和手工填写的方式没有区别Page 30三层IP用户导入:对帮助文档的补充

19、说明:配置交换机: 3层扫描时,需要与3层交换机的SNMP协议进行联动,因此要获取到3层交换机的SNMP属性。 填写交换机信息是可以填写多个交换机信息,每个交换机信息需要填写该交换机的IP地址、该交换机上的SNMP的团体读属性。 如果交换机没有配置SNMP属性,请帮助客户把该交换机的SNMP属性配好,并将该属性获取填写到ICG的交换机信息中。填写了多个多个交换机的信息时,ICG会根据顺序逐个扫描扫描方式(单次扫描) 在填写好交换机信息后,填写扫描的IP范围,例如1.1.0.1-1.1.7.255 (只能填写一个IP范围),点击扫描即可,扫描完成后立刻会弹出扫描结果页面。对于每个交换机,一个C类

20、网段的扫描预计花费的时间为3-5秒,一个B类子网扫描的时间为20-30秒,建议仅对真实存在的子网进行扫描,不要轻易使用大子网进行扫描Page 31三层IP用户导入:扫描方式(持续扫描) 持续扫描的设计思想是因为单次扫描时由于一些用户没有开机,导致不能扫描到全部的信息,因此采用持续扫描,每次扫描后,ICG会把最近一次扫描不同于以前的扫描结果的内容增量的添加到扫描结果中,以丰富结果的全面性。 扫描时间默认是30秒,因为30秒内一般可以通过该交换机上扫描到下面所有的用户,因此每增加一个交换机,建议将扫描间隔增加30秒,避免ICG对两个不同交换机的扫描交叉在一起。 由于是持续扫描,在扫描过程中结果是持

21、续增量增加的,因此扫描结果不会自动显示。如果要显示扫描结果,可以点击扫描结果按钮(在勾选持续扫描,并点击扫描后才显示的按钮)Page 32对帮助文档的补充文件方式导入扫描网段 :由于扫描时建议对真实的网段进行扫描,因此可能导致扫描的网段很多,但是每次输入只能输入一个网段会导致手工的工作量比较大。为了简化用户的操作,ICG提供了文件方式导入IP扫描网段的方式。编写一个TXT文件, 每行输入一个IP范围 例如 1.1.1.1-1.1.2.1 点击浏览找到这个TXT文件,点击导入即可实现对文档中列出的所有网段逐一自动进行扫描,扫描到的存在用户开机的IP会被记录到扫描结果中,没有开机的用户不会被记录。

22、Page 33注意事项 :配置交换机信息时 请注意交换机的IP地址不非要和ICG在一个网段,只要ICG可以路由可达(访问到)即可。配置交换机信息时 请注意ICG上填写的交换机SNMP团体属性应该是读属性,因为ICG只要读即可,不用写交换机单次扫描时: 请注意不要将IP网段填写的过大,应该是填写那些真正存在的网段,如果觉得网段过多,每次填写太麻烦,可以采用后面介绍的文件导入IP网段方式。持续扫描时:请注意如果配置了多个交换机,建议相应更改扫描间隔时间,避免扫描行为交叉(虽然交叉了也不会造成什么影响,但存在漏报的可能)持续扫描时:如果不去掉持续扫描的勾,那么扫描将一直进行,即使切换到其他界面时扫描

23、还是持续的,主要是为了可以让用户长时间扫描,比如扫描一天来获取最全面的IP用户信息。因此请注意,一旦认为已经获取了全部的IP信息后,请大该页面中去掉持续扫描的勾来停止扫描,避免长期扫描影响ICG,被扫描交换机的性能三层IP用户导入注意事项:Page 34扫描后没有获取到任何用户IP信息1.请检查一下用户的3层交换机上的SNMP的读书性和ICG上交换机配置信息中的读书性是否相同。2.请检查ICG是否可以ping通对一个的交换机3.请检查这个交换机是不是一个3层交换机(开启了3层功能),如果是当作2层交换机,是无法联动扫描的4.请检查这个交换机是不是下面有直接用户,如果是一个中枢交换机,那么也扫描

24、不到用户IP。提示输入的IP网段过大1.注意网段不要超过一个A类地址,但真实建议是,只扫描真实存在的网段,不要让扫描网段内存在大量不存在的地址三层IP用户导入排错思路:Page 35IP导入培训完毕LDAP导入培训开始Page 36LDAPLDAP导入的意义说明(为什么要使用导入的意义说明(为什么要使用LDAPLDAP导入):导入):如果客户的网络中具备LDAP服务器(微软的AD,SUN LDAP,NOVELL ED,IBM LDAP,OPEN LDAP) ,那么不用重新建立用户系统,而是的用户可以将用户信息引入到ICG系统中,便于在后续的策略中引用LDAP系统中的部门,用户名称。LDAP导入

25、的是有用户名称的,因此无论是固定IP地址环境,或者DHCP环境,都可以有效的使用,只不过DHCP环境下,还要结合单点登录或者联动认证才能真正有效的识别用户。Page 37LDAP用户导入:(配置操作)添加一个用户环境中的LDAP服务器,让ICG知道。可以添加多个LDAP服务器不同的LDAP服务器具备不同的特征,如果要正确导入必须可以让ICG正确认知这些特征。服务器类型一个特横模板,便于添加服务器时引用对于所有添加的LDAP服务器进行导入时,通用的配置项,例如同步频率,增量更新频率等点击后将进行一次手工导入对帮助文件的补充:服务器类型设置:ICG默认提供了主流的服务器类型,导入时根据客户的网络中

26、的LDAP的类型选择对应的类型即可,如果不知道客户的LDAP系统器类型,可以选择自动识别类型,ICG会自动的探测一下客户端额LDAP是什么类型。因为服务器类型对应的具体参数如果ICG不知道,那么将无法正确导入Page 38LDAP用户导入:(操作配置)对帮助文件的补充添加服务器具体操作:BaseDN:这是导入的一个入口,因为LDAP是一棵树,我们可以从树根导入,也可以从树的一个枝干开始导入,所以需要告知ICG,从哪里进行导入。例如服务器的树根是,一个树枝(用户组)名称是 搜索引擎组,那么如果要导入该组下全部子组和用户则格式为:ou=搜索引擎组,dc=netentsec,dc=com 。如果一个

27、树枝(是权限组 )名称是 “特权用户组” ,根是一样的。那么格式是:cn=特权用户组, dc=netentsec,dc=com .如果就从树根导入,那么就写dc=netentsec,dc=com Page 39LDAP用户导入:(注意事项)注意事项:LDAP的服务器类型,ICG已经内置了一些通用的,这些不能被删除,当然使用者也可以添加新的类型,这是一个高级操作,请使用者了解好客户的LDAP的各个字段的名称,然后对应的配置。全局设置:自动更新开启后会禁止手动更新,请注意这两个是互斥的。如果客户的LDAP是动态变化的,请一定在全局配置中选择自动更新,否则ICG上的用户信息仅仅是第一次导入的用户信息

28、,不会跟随LDAP的变化而变化Page 40LDAP用户导入:排错思路排错思路:对添加的服务器导入不了用户信息时,请考虑1. LDAP服务器的IP配置的对吗?2.LDAP的端口对吗?可以询问管理员LDAP对外服务的端口是什么3.选择的服务器类型模板对吗?如果类型没有错对,进一步针对模板的关键字段和管理员核实如果管理员不告诉你相关信息,请你先放下手中的工作,去和管理员一起喝杯咖啡。Page 41文档导读序号序号提纲点提纲点提纲点重要性说明提纲点重要性说明1文档预期效果说明在阅读之前,阅读者可以了解这篇文档能给自己带来什么提升,应该掌握哪些知识2重要名词解释一些和该功能相关的专业术语,便于深入理解

29、文档,更专业的和客户沟通3功能总体框架说明整体介绍功能模块的功能点,功能简介4功能使用前的思路梳理介绍功能使用的思考过程,从而有效,无风险的实现功能效果5细分功能操作讲解讲解配置点的意义,对联机帮助文档进行补充1.细分功能意义说明2.细分功能的配置点讲解3.细分功能配置的注意事项4.细分功能配置后检查方法5.细分功能的排错思路6.联系题目1.为什么要使用这个细分功能2.细分功能配置项的含义和带来的价值3.有什么要特别关注,避免犯错误的4.可确认配置后是对的5.出现问题时的思考方法6Page 42LDAP导入培训完成网康自定义导入培训开始Page 43网康自定义导入的意义(为什么要使用网康自定义

30、导入):网康自定义导入的意义(为什么要使用网康自定义导入):当用户没有现有的识别认证系统,网康可以帮助用户新建立一套组织用户识别体系,网康自定义导入可以快速的利用一个用户信息文档建立出组织架构,便于用户在策略中引入用户名。网康自定义导入包含了用户名,登录名,IP,MAC,部门架构,其中登录名,IP,MAC,组织部门是可选项。因此可以适合固定IP地址的环境,也可以适合动态地址的环境。Page 44网康自定义导入关于网康自定义导入文件的格式,联机帮助写的很清楚。请自行阅读。补充:如果ICG上自行增加了拓展用户属性,例如电话号码,工位号等。可在导入文件中在标题行尾部,数据行的尾部也增加这写信息,一样

31、可以导入Page 45网康自定义导入结果整理对帮助文档的补充:重复数据的说明:重复数据是指在原有的组织架构中已经存在了即将导入的信息的条目。(重复条目的定义联机帮助中写的很清楚)如果在导入文件中有两条完全相同的内容,由于导入时一条条顺序进行的,因此在第一条导入完毕后,组织架构中就出现了这个信息,当第二条导入时,也会提示出现了重复的内容。覆盖重复内容是指:先从组织架构中删除和导入文件中重复的条目,然后将导入文件的条目写到组织架构中。Page 46网康自定义导入注意事项:注意事项:如果用户是DHCP环境,那么不要导入IP的信息,因为导入IP信息后就变成了静态的IP和用户名的映射,会导致识别错误。D

32、HCP环境下如果希望能够识别真实的用户名,请开启认证如果导入提示重复时,不要局限在刚刚导入的部门中找重复的内容,而是要在整个组织架构中查找可能重复的登录名,IP,MAC等Page 47用户的识别用户的识别/ /认证,提供策略认证,提供策略/ /日志引用可能日志引用可能共同实现用户导入用户导入组织管理用户查询用户查询用户查询用户查询识别与认证识别与认证识别与认证识别与认证实现ICG中有用户实现用户信息调整实现用户信息可查实现用户信息和报文关联Page 48组织管理功能的意义(为什么要使用组织管理菜单功能):组织管理功能的意义(为什么要使用组织管理菜单功能):组织管理是一个很重要,很强大的功能模块

33、,要仔细学习当用户希望对组织架构进行常见编辑时(增删/移动用户,增删/移动部门,IP和MAC绑定/取消,用户名和IP绑定/取消)需要使用组织管理功能当用户希望增加一个ICG上原本没有的用户的额外附属信息字段(例如电话号码)时会用到此功能当用户希望设置用户的帐号有效期,希望随着用户访问自动建立组织架构时,需要使用组织管理功能Page 49组织管理:(配置培训)请在组织管理的主界面下点击帮助,点击ROOT连接查看各级的帮助在组织架构中创建一个行政组,例如IT部在组织架构中创建一个权限组,例如所有经理特权组,是一个虚拟组,主要用于权限的落实创建一个随着新IP通过ICG而自动添加这些IP到组织架构中的

34、组创建一单个用户信息将用户,组移动到其他的组下删除用户,行政组,权限组批量的绑定/取消登录名,IP,MAC批量的设置允许/禁止使用SOCKS代理Page 50组织管理:(配置培训)对帮助文档的补充:说明一些功能的意义1- 权限组不是真实的行政组织架构,而是一些具备相同访问权限的人的集合。网康的用户管理很灵活,一个人可以属于一个行政架构,同时可以隶属于一个权限组。例如将所有部门的经理,将加入的具备特权的经理权限组。2- 权限组的概念来自于微软的AD系统,因此网康的设备可以导入AD的OU(组织架构),也可以导入AD的权限组。可以在组织架构中选择已经建立的权限组,然后通过添加批量的将组织架构中的用户

35、添加进来。4- IP组的作用是为了帮助用户动态的自动建立以IP为表示的组织架构,例如用户只要建立了一个IP组,不用添加用户,那么随着这个网段下用户的报文通过,这些IP地址会被自动的添加到这个组下,建立起这个组的内容,方便管理员使用。Page 51组织管理:(配置培训)对帮助文档的补充:对于单个用户的编辑界面1- 权限组隶属于:单个用户可以被添加到一个权限组中。这个用户此时即在一个行政架构中,也在一个权限组中。2- 登录名有效期设置,必须设置登录名才起作用。登录名就是为了认证时使用的,不是用户的名称,因此当有效期到达后,用户对应的登录名将不再对ICG产生作用,不能作为认证用,因此只有在开启认证后

36、,有效期到达用户才不能上网,如果不开启认证,有效期到达该用户不受影响。3- 给每个用户信息增加新的附加属性,例如电话号码,身份证号码等。默认情况下设备没有这些信息提供。但是如果客户有需要的时候,可以通过点击“全部用户”,此时右侧的界面上方会出现“设置”的下拉菜单”,选择扩展 用户属性,就会出现扩展界面,我们可以自行定义6个用户的扩展属性。Page 52网康组织管理培训完成认证管理的公共配置培训开始Page 53用户的识别用户的识别/ /认证,提供策略认证,提供策略/ /日志引用可能日志引用可能共同实现用户导入用户导入识别与认证识别与认证识别与认证识别与认证实现ICG中有用户实现用户信息可查实现

37、用户信息和报文关联用户查询Page 54用户查询就是为了当知道一个用户的(用户名,登录名,IP地址,MAC地址,附属信息等多个信息中的某一个信息时,可以通过查询获取该用户的其他信息由于比较简单,就不进行讲述了Page 55用户的识别用户的识别/ /认证,提供策略认证,提供策略/ /日志引用可能日志引用可能共同实现用户导入用户导入识别与认证实现ICG中有用户实现用户信息和报文关联Page 56认证管理使用的意义(为什么要认证管理)1.如果没有认证/识别管理的功能,设备仅仅能够记录网络行为对应的IP地址信息,会导致查看日志时显示人员身份,定位问题也无法定位到真实的人。同时,即使根据人员信息配置了策

38、略,由于无法识别出行为对应的人员信息,策略无法正确的生效。2.启用了认证/识别功能后,每个行为对应的人员真实身份将被确定,便于日志记录,和策略的生效。Page 57常用的认证识别包含1.IP识别仅用来代表用户身份2.MAC识别仅用MAC来代表用户身份3.本地认证识别/认证用本地用户名来代表用户身份4.POP3联动识别/认证用邮件帐号来代表用户身份5.AD/LDAP的联动识别/认证用AD/LDAP帐号来代表用户身份6.计算机名称识别用计算机名称来代表用户身份7.下面将针对上述6中的应用环境,进行配置指导Page 58用IP来标识用户,如果组织架构中有静态的IP和用户名对应,日志显示为用户名用MA

39、C来标识用户,如果组织架构中有静态的MAC和用户名对应,日志显示为用户名,仅能用在2层环境单点登录的一些功能。例如POP3,AD等给用户安装一个待填AD认证信息的客户端,实现不用输入密码的AD联动认证需要实现准入功能时,要开启该该功能,但准入还需要后续的策略配置在客户端输入用户名,密码的本地认证方式需要IE中输入用户名密码方式的本地认证需要IE中输入LDAP信息中的用户名密码方式的联动认证需要IE中输入RADIUS信息中的用户名密码方式的联动认证需要IE中输入邮箱帐号信息中的用户名密码方式的联动认证Page 59IP身份识别配置培训注:设备不用配置,默认就是IP身份识别。并且其他方法识别不了的

40、用户,也会默认采用IP身份识别Page 60MAC身份识别配置培训注:MAC身份识别不需要配置,但MAC识别仅适合2层网络环境。Page 61本地识别/认证通过ICG上建立的帐号识别/认证用户Page 62本地认证的使用场景以及意义需要识别认证的用户位置要在在ICG内测ICG意义:建立一个新的用户系统,可以让日志信息中带有用户信息。Page 63本地认证的配置说明要开启识别(适合于静态IP环境),请先确保ICG建立了组织架构,并且用户名对应了固定的IP地址。要开启认证(适合DHCP环境识别用户),请先确保ICG中建立的组织架构,包含用户名和登录名本地的用户识别,只要建立组织架构的用户名和对应的

41、IP地址即可。不去要其他的配置要采用客户端的本地认证,先配置客户端本地认证。全局密码表示,所有人默认都用一个密码。临时密码表示每个人生成随机密码,但是下载密码列表后,需要管理员自行分发给每个员工。要采用WEB的本地认证,先配置WEB本地认证。设置认证有效期为登录后绝对的一天,不论是否活跃,一天后都需要重新认证设置认证有效期为不活动开始xxx,表示如果在规定的时间内用户没有报文到达ICG,则用户认证过期强制更改密码:每个用户第一次使用认证时必须手工更改自己的密码。才可以使用详细信息配置说明请看联机帮助。Page 64本地识别认证的配置说明注意事项:本地识别时,不用配置认证信息,但是需要确保是在静

42、态的IP地址环境中,因为本地识别是用户名和IP的静态对应关系如果用户是DHCP环境,要识别到用户,则需要用本地认证才可以。Page 65POP3单点登录/联动认证通过单位的邮箱帐号就可以认知上网用户Page 66POP3单点登录的使用场景以及意义邮件服务器需位置要在在ICG外侧可实现POP3单点登录ICG邮件服务器或者在这里邮件服务器在这里邮件服务器意义:简化识别工作,通过POP3实现单点登录,可以将邮箱帐号作为用户上网日志的用户信息,无论是DHCP,还是静态地址环境都可以。并且用户不用额外输入用户名密码。Page 67POP3联动认证的使用场景以及意义邮件服务器需位置要在在ICG内侧可采用P

43、OP3联动认证ICG邮件服务器在这里意义:简化识别工作,通过POP3联动认证,可以将邮箱帐号作为用户上网日志的用户信息,无论是DHCP,还是静态地址环境都可以。但用户需要额外输入用户名密码。Page 68先配置透明用户识别。POP3单点登录的配置说明勾选表示选择这个透明识别方式邮件服务器的地址邮件服务器的端口选择透明识别作为默认的认证方式详细信息配置说明请看联机帮助Page 69POP3单点登录的配置说明注意事项:邮件服务器只能填写一个邮件服务器如果要填写域名,那么ICG必须之前已经配置了DNS服务器才可以如果用户的邮件服务器采用了加密端口传输,这个功能将无法使用。ICG不需要能够访问邮箱服务

44、器,也可以实现POP3的透明识别Page 70POP3单点登录的配置说明排错思路:配置完毕后不能识别到用户名1- 是否用户进行了邮件的收取,只有用户收取邮件后才能识别大用户名2-用户是否采用了加密的收发邮件端口,例如加密的收取邮件端口995,如果是则无法进行POP3帐号识别3-设置的邮箱服务器地址是否正确,如果用户收发邮件用的不是我们填写的服务器,将无法进行识别。Page 71先配置邮箱帐号认证POP3联动认证的配置说明选择透明识别作为默认的认证方式详细信息配置说明请看联机帮助。补充解释:SSL加密的方式是指用户的邮件收发是采用加密端口的,勾选后,ICG将不用默认的25.或者110作为认证端口

45、,而是用户要手工填写服务器的加密端口选择是用POP3还是SMTP进行认证联动邮件服务器的对应协议的服务端口如果用户采用加密端口收邮件,则需要勾选这个邮件服务器的地址邮件帐号和IP在对应关系在ICG中最大的存在时间,不论用户是否活跃,到了这个时间就会拆除对应,用户需要重新认证。Page 72POP3单点登录的配置说明注意事项:配置后,用户打开浏览器时将弹出认证框。输入的用户名和密码就是邮箱的用户名和密码。邮件服务器只能填写一个邮件服务器如果要填写域名,那么ICG必须之前已经配置了DNS服务器才可以如果用户的邮件服务器采用了加密端口传输,则必须填写正确的邮件服务器加密端口ICG必须可以访问邮箱服务

46、器,才可以实现POP3的联动认证超时时间是绝对的,就是第一次认证之后经过这个时间,认证将失效,必须再次认证。Page 73POP3单点登录的配置说明排错思路:配置完毕后不能认证成功1-用户是否采用了加密的收发邮件端口,例如加密的收取邮件端口995,则必须配置正确的邮箱端口2-设置的邮箱服务器地址是否正确,如果用户收发邮件用的不是我们填写的服务器,将无法进行认证。即使配置正确后,是否ICG可以访问到该邮箱服务器,可以用telnet 服务器IP地址 端口 的方式看看是否通畅。3-如果邮箱配置了域名,那么ICG是否配置了DNS4-如果用户总是需要不断的重新认证,是否设置了过短的超期时间。Page 7

47、4AD域单点登录/联动认证通过单位的AD帐号来认知上网用户Page 75AD单点登录的使用场景以及意义1.AD服务器需位置要在在ICG外侧可实现AD单点登录2.AD服务器如果在ICG内测,可以通过嗅探器方式实现单点登录ICGAD服务器在这里可以实现透明识别的单点登录意义:简化识别工作,通过AD实现单点登录,可以将AD帐号作为用户上网日志的用户信息,无论是DHCP,还是静态地址环境都可以。并且用户不用额外输入用户名密码。AD服务器在这里可以实现嗅探器方式的单点登录Page 76AD联动认证的使用场景以及意义1.客户允许客户端方式时可以采用AD客户端,待填认证信息,用户上网不用手工认证2.用户不允

48、许客户端方式时可以联动认证,用户上网需要手工输入用户名密码ICG意义:简化识别工作,通过AD实现联动认证,可以将AD帐号作为用户上网日志的用户信息,无论是DHCP,还是静态地址环境都可以。并且用户不用额外输入用户名密码。AD服务器在这里Page 77先配置透明用户识别。AD单点登录的配置说明勾选Kerberos表示选择这个透明识别方式AD服务器的地址如果AD服务器在ICG内测,可以勾选这个实现单点认证,但是要在服务器上装插件选择透明识别作为默认的认证方式详细信息配置说明请看联机帮助Page 78AD单点登录的配置说明注意事项:AD服务器可填写多个每个的格式是 服务器IP:端口。AD嗅探器的方式

49、会在服务器上安装一个插件,对服务器没有影响,可以放心嗅探器方式下,必须保证ICG可以和AD服务器互访Page 79AD单点登录的配置说明排错思路:配置完毕后不能识别到用户名1-设置的服务器地址、端口是否正确.2-ICG是否可以访问到AD服务器3-必要情况下,可以使用ICG的抓包工具(系统管理网络工具TCPSUMP命令),看看是否有用户到达AD服务器的报文,或者ICG到达服务器的报文。如果没有,说明要们是网路拓扑了解的不够,要么是配置错误了Page 80计算机名识别用户Page 81计算机名称识别的使用场景以及意义需要识别认证的用户位置要在在ICG内测ICG意义:用现有的计算机名称识别用户信息。

50、Page 82先配置透明用户识别。AD单点登录的配置说明勾选计算机名识别表示选择这个透明识别方式,勾选后ICG自动根据内部机理展开工作,无需进一步配置选择透明识别作为默认的认证方式详细信息配置说明请看联机帮助Page 83本地识别认证的配置说明注意事项:计算机名称识别时,如果内网用户基本都开启防火墙,那么识别效果会不是很理想。通常情况下是作为一个辅助识别功能开启的。要求内网的计算机应该可以访问到 ICG。也就是路由可达。要在高级配置中的全局配置中选择获取机器名Page 84认证管理的高级配置讲解Page 85高级配置说明选择透明识别作为默认的认证方式详细信息配置说明请看联机帮助补充:高级配置主

51、要是为了对所有的认证识别配置一些统一的系统参数。一旦配置对所有认证功能生效。如果和认证功能自己配置的参数有矛盾(例如时间有效期),那么将取功能交集。Page 86高级配置说明两次检查是否一个用户有报文通过ICG的间隔时间。例如每5分钟检查一次如果半小时内没有报文通过ICG则用户认证失效,如果有报文通过,则自动重新计时一个帐号可以同时被几个计算机使用,反之一个帐号同时只能有一个计算机使用不能同时登录时,会配置,先登录的有效,后登录的将不能登录。或者先登录的无效,后登录的将踢下先登录的人当出现上述同时的登录的情况情况时,不能登录的人会得到的提示信息当设置不能同时登录时,填写到本狂的帐号可以不受约束

52、,还是可以同时多机登录用户登录认证时将区分大小写识别或认证后将尝试获取计算机名称和MAC地址对于没有通过认证的行为,选择不同的措施进行处理。重定向是指将用户访问的网页强行指定到一个固定的页面上。详细信息配置说明请看联机帮助Page 87高级配置说明对客户端认证方式生效的配置用户的计算机上看不到托盘。也就是屏幕右下角没有运行的图标客户端默认ICG的管理口作为心跳连接地址,信息发送地址WEB认证方式的配置参数允许或禁止使用帐号黑名单功能,黑名单是不允许进行认证的人允许帐号黑名单时,填写帐号黑名单当用户登录时被帐号黑名单禁止时,用户的登录界面认证后返回的失败提示信息正常情况下,WEB登录失败返回的提

53、示信息详细信息配置说明请看联机帮助补充:使用管理口作为客户端通讯地址一般在ICG的网桥没有合法地址时使用。Page 88混合认证配置讲解Page 89混合认证是为了让用户的网络中可以同时存在多种识别认证机制,因为有时候不是所有的计算机都采用相同的认证方。例如公司内部员工使用AD,但是外来合作人员也在办公区内办公却没有AD帐号,此时可以用本地认证配合AD认证进行混合认证。Page 90身份的确认场景举例外来临时外来临时人员人员内部员工内部员工外部常驻外部常驻服务器服务器用户中心用户中心RADIUS RADIUS ADADLDAPLDAPCAMSCAMSDHCPDHCP混合认证:1.内部员工单点登

54、录2.服务器IP/MAC绑定3.外部常驻POP3单点登录4.外来临时ICG本地认证5.未识别用户禁止长期合作方长期合作方邮件服务器邮件服务器员工没有增加额外负担身份清晰被认知非法接入被控制Page 91混合认证配置说明详细信息配置说明请看联机帮助选择后开启混合认证保存混合认证的配置信息指开启一种认证的网段,每一行只是一个认证方式,但是可以多行,多行的IP范围可以有交集新增/删除一个认证网段认证网段的范围输入的地址如果是内部地址,那么这用用户访问任何地址都不需要认证输入的地址如果是外部地址,任何人访问这些地址都不需要认证。例如:如果地址输入的是外部的邮件服务器的地址,那么任何用户都可以不用认证就

55、访问邮件服务器。Page 92混合认证注意事项说明注意事项:如果在同一个地址段内开启了多个认证方式,那么只要有一种认证方式匹配了有效人恒信息后,就不在进行其他的认证了。如果没有有效的认证,ICG还会进行继续的认证匹配,直到所有的这个网段内被指定的认证方式都检验一遍。如果混合认证没有匹配到有效信息,将用认证管理中默认的认证去匹配,如果还匹配不上就采用IP识别方式。Page 93培训提纲培训提纲序号序号提纲点提纲点提纲点重要性说明提纲点重要性说明1阅读目的说明在阅读之前,阅读者可以了解这篇文档能给自己带来什么提升,应该掌握哪些知识2重要名词解释了解文档中会出现的一些术语的含义,便于更有效的学习文档的内容3使用该功能前思路的梳理做任何操作前,全面梳理自己的思路可以使得后期的操作更加准确,全面。同时思路的梳理可以减少无效操作,保证重点操作的正确性,避免误操作。41.细分功能使用背景说明2.细分功能配置方法说明3.细分功能配置的注意事项4.细分功能配置后检查方法5.细分功能的排错思路6.测试题目对整个功能的操作有一个全局的认识,认知重点需要关注的细节,避免误操作。并提升解决问题的能力。5业界还存在的方法介绍拓展自己的知识面Page 94

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号