SANGFORAC2010年度渠道培训03(用户认证)20100201.pptVIP

第三步：使用数据中心查询DKEY 以用户名密码登陆数据中心 以DKEY登陆数据中心 使用DKEY登陆数据中心效果图 使用admin登陆数据中心效果图 注意 1、认证key，免审计key和数据中心KEY查询不能混用。 2、外置数据中心也支持数据中心KEY查询功能，但需要内置数据中心激活，外置数据中心和内置数据中心同样不能使用同一个数据中心查询KEY。 2、第三方认证 用户信息保存在第三方服器（ldap，Radius，pop3,proxy）且检验用户信息在第三方服务器进行称为第三方认证。第三方认证包括ldap认证，radius认证，pop3认证和proxy。其中ldap、pop3和Proxy认证支持单点登陆。 2.1、第三方认证数据流 第三方服务器 第三方服务器在内网 PC ① ③ ② ①PC提交用户名和密码 ③第三方服务器返回验证信息给AC ②AC将用户名和密码提交到第三方服务器验证 2.1、第三方认证数据流(续) 第三方服务器在外网 ② ③ ① 第三方服务器 PC ①PC提交用户名和密码 ③第三方服务器返回验证信息给AC ②AC将用户名和密码提交到第三方服务器验证 2.2、第三方认证LDAP认证 AC设备支持LDAP第三方认证，一般用于客户网络中已部署ldap服务器，AC结合LDAP服务器认证，方便管理。其中支持的LDAP有MS LDAP，SUN LDAP和OPEN LDAP 2.2、第三方认证LDAP认证（续） 填写管理的帐号，帐号格式为：administrator@ 2.2、第三方认证LDAP认证（续） 填写ldap用户 四种认证方式之间是“或”的 关系，从上到下依次匹配，可 以和ip/mac认证结合。 设置帐号属性及过期时间，如果是私有帐号，同时只能允许一个人登陆 上网时IE会弹出对话框要求身份认证，输入域用户hbz。 2.2、第三方认证LDAP认证（续） 通过AC认证的用户在这里显示 2.2、第三方认证Radius认证 AC设备支持Radius第三方认证，用户信息存放在Radius服务器上，用户上网时提交Radius服务器上的用户信息，经Radius服务器验证后，发送验证信息给AC，如果验证成功，允许此用户上网。一般用于客户网络中已部署Radius服务器，AC结合Radius服务器认证，方便管理。适用服务器在内网和外网情况。 2.2、第三方认证Radius认证(续) 填写Radius服务器IP、端口、共享密钥及协议 2.2、第三方认证Radius认证(续) 填写Radius服务器上的用户 2.2、第三方认证Radius认证(续) 上网时IE会弹出对话框要求身份认证，输入Radius服务器上的用户hbz 。 通过AC认证的用户在这里显示 3、批量添加新用户 一般情况下，客户内网用户很多，如果采用前面介绍的逐个新增用户方式来添加用户不太现实，AC提供三种批量添加用户的方式：新用户认证（自动添加新用户），用户导入和AD域同步。 3.1、认证选项设置新用户认证 AC以IP地址和mac地址来标识用户，当一终端用户user1试图通过AC上网时（假设没有通过AC认证），AC会根据该用户上网数据包的源IP和源mac地址检测AC组织结构中是否有用户绑定此IP或mac，如果有符合条件的用户，则终端用户user1以相关用户的身份上网，如果没有符合条件的用户，则匹配下面的新用户认证策略。 3.1、认证选项设置新用户认证（续） 新用户认证四种处理方式 新用户认证支持根据不同的IP段采用不同的认证方式并自动 添加到各个组，以方便匹配各自的策略。 3.1、认证选项设置(续) 认证成功后直接跳转指定页面，可以设置跳转至公告页面。 私有帐号认证冲突时的处理方式 设置用户无流量自动注销时间及未通过认证的用户具有的权限。 3.2、用户导入 支持扫描单个IP，IP范围和子网 AC支持通过扫描内网计算机和从域服务器中导入用户，可以按照指定格式做成文本文档再导入。用户导入格式：用户名|/所属组 / |ip地址|mac地址|认证方式| 用户描述 |密码 | 每个字段间用“|”隔开。 3.3、AD域同步 客户内网有LDAP服务器，内网组织架构在AD上已设置好，需要AC结合域认证,并保持域用户信息实时更新到AC。AC提供AD域同步功能，将域上的用户自动同步到AC，保持AC与域的用户信息一致。AD域同步分为按照AD域组织结构同步和按照AD域安全组同步两种方式，目前只支持MS Active Directory域同步。 3.3、AD域同步（续） AD域同步在后续章节会详细说明，这里只简单介绍。 1、新用户认证有哪几种处理方式？各有什么区别？ 2、用户导入及AD域同步的区别？