XX年度渠道初级认证培训03基础认证技术XX0428
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
学习改变命运,知 识创造未来
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
解决方案
总经理
学习改变命运,知 识创造未来
办公区
防火墙 核心交换
公共上网区
根据客户需求,我们可以将AC 部署在防火墙与核心交换机之 间,并通过如下认证设置来满 足需求:
1、办公区用户采用IP/MAC认证方 式
2、公共上网区采用密码认证,设 置用户名和密码
可以手动在AC上新建用户名和密码,也可以直接沿用第三方认证服务 器上的账号和密码(SANGFOR AC与第三方认证服务器结合,支持 LDAP、RADIUS、 POP3、数据库、H3C CAMS等第三方服务器认证) 。
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
认证方式介绍
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
认证方式介绍
2、密码认证(包括本地密码认证和第三方服务器认证)
当用户首次通过AC上网时,AC会要求用户提交用户名密码信息,如
果用户提交的用户名密码信息和AC本机保存的信息一致时,给予认证 通过。
用户名密码认证适用于内网用户IP/MAC不固定,或者内网存在第三方 认证服务器的网络环境。
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
典型应用场景与配置
学习改变命运,知 识创造未来
IP/MAC 认证场景
用户名 密码认 证场景
DKEY 认证场
景
XX年度渠道初级认证培训03基础认证技术XX0428
ቤተ መጻሕፍቲ ባይዱ
案例背景
总经理
办公区
防火墙 核心交换
公共上网区
某集团公司内部有办公区和公 共上网区, 要求实现办公区( 192.168.1.0/24)用户上网不能 修改IP和MAC地址,公共上网 区(192.168.2.0/24)则需要输 入账号和密码才能上网,确保 网络行为能跟踪到,另外总经 理的上网数据要保证安全,不 能被审计。
概述:认证功能主要用于对经过AC设备上网的用户进行身份的验证。 通过认证功能可识别内网上网用户的身份,为后续的流量管理、用户上 网权限策略及应用审计提供基础。
SANGFOR AC的认证方式:
1、不需要认证(IP/MAC绑定) 2、密码认证(包括本地密码认证和第三方服务器认证) 3、单点登陆 4、DKEY认证
1.掌握如何设置用户密码强度 2.掌握如何强制客户端初次认证修改密码 1.掌握如何注销已经通过认证的用户
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
认证功能介绍
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
SANGFOR AC 认证功能介绍
AC几种认证方式中,DKEY认证在对应的用户属性中设置即可,不需要设置认 证策略,且DKEY认证的优先级最高。 不需要认证、密码认证、单点登录这几种认证方式需要到认证策略中设置。
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
配置步骤一(IP/MAC认证的用户)
1、首先为办公区的用户建一个用户组,在【用户与策略管理】-【用户管理】- 【组/用户】中,点新增,选择【组】,定义组名:办公区,设置完后点提交。
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
认证方式介绍
绿色的是认证KEY,紫色 的是免审计KEY,这两种 KEY不能混淆。
AC还有一种咖啡色的KEY ,用于数据中心查询。
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
认证功能配置
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
认证方式介绍
1、不需要认证 设备根据数据包的源IP地址、源MAC地址、上网PC的计算机名来识
别用户。 不需要认证的方式,优点是用户上网前浏览器中不会弹出认证框,不
需要通过用户名密码验证才能上网。因此用户不会感知到设备的存在 。
3、总经理使用免审计KEY上网, 确保数据不被记录
XX年度渠道初级认证培训03基础认证技术XX0428
配置思路
1、新建认证策略 认证策略决定了使用某个IP/网段/MAC地址的计算机的认证方式。通过认证策 略可设置内网用户的认证方式。
2、手动新建用户或者自动添加新用户 新建用户,可编辑用户属性,定义用户具体的认证信息。包括用户名密码信 息, 启用DKEY以及IP/MAC绑定。 如果采用自动添加新用户,在认证策略里开启和定义即可。
3、单点登录
当客户有自己的第三方认证服务器对内网用户进行认证时,单点登录 可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备的认 证,并且获取到相关的权限上网。
SANGFOR AC支持域单点登录,POP3单点登录,PROXY单点登录, WEB单点登录、PPPOE单点登陆,数据库单点登陆,第三方设备单点登陆 (包括锐捷SAM系统,城市热点,H3C CAMS系统等),《单点登录功能 培训》PPT将详细介绍相关功能和配置,此PPT不再赘述。
XX年度渠道初级认证培 训03基础认证技术
XX0428
学习改变命运,知 识创造未来
2021年2月18日星期四
培训内容 SANGFOR AC 认证 功能介绍
培训目标 1. 掌握AC设备支持的认证方式
SANGFOR AC 认证 功能配置
密码认证加强 用户注销功能介绍
1.掌握AC设备IP/MAC认证(跨三层环境)的配 置步骤 2.掌握AC设备用户名密码认证的配置步骤 3.掌握AC设备DKEY认证的配置步骤
学习改变命运,知 识创造未来
XX年度渠道初级认证培训03基础认证技术XX0428
认证方式介绍
4、DKEY认证
SANGFOR AC提供上网认证的DKEY有两种,绿色的认证KEY和紫色 的免审计KEY。 DKEY认证过程:管理员生成DKEY,然后分发给用户。用户上网时, 把DKEY插入个人电 脑,使用DKEY认证客户端提交认证信息,通过 认证后才允许接入互联网。 DKEY 认证适用于对认证安全要求较高的网络环境,也适用于公司高 层机密信息不被随意审计的情况。