渠道初级认证培训03_用户认证技术课件.ppt

培训内容 培训目标 用户认证技术 1、了解SSL VPN支持的所有认证方式 2、了解各种认证方式下能实现的功能 主要认证 1、掌握主要认证包含的认证方式及功能 2、结合案例掌握用户名密码和数字证书认证方式的配置步骤 辅助认证 1、掌握辅助认证包含的认证方式及功能 2、结合案例掌握硬件特征码和短信认证方式的配置步骤 用户认证功能介绍 深信服公司简介 练练手 SANGFOR SSL 用户认证配置和案例学习 SSL 用户和用户组 用户： 登录SSL VPN的账号，分为公有用户和私有用户。 私有用户只能同时一 人登陆，公有用户允许多人同时登陆。 用户组： 由“用户”组成，每个“用户”必须属于唯一的“用户组”，root根组和 默认用户组无法删除。 SSL用户组的添加 选择账户类型和认证方式 填写组名和所属组 可选关联策略组与角色 保存配置后，必须点击“立即生效”使配置生效。 SSL用户的添加 如果勾选“继承所属组的认证选项”，则用户按照“support”组的认证方式填写密码即可。 不勾选“继承所属组认证选项”，则用户可以自定义认证方式。 保存和生效配置 SSL VPN 用户认证方式 外部认证 认证方式 本地认证 用户名、密码认证 数字证书 硬件特征码认证 短信认证 LDAP认证 RADIUS认证 辅助认证 （可选） 主要认证 （必须选 择一种） 令牌认证（RADIUS认证） /DKEY认证 （私有用户） （私有用户） （公有/私有用户） （公有/私有用户） （公有/私有用户） （公有/私有用户） （公有/私有用户） SSL VPN 用户认证方式 SSL VPN的用户必须使用一种主要认证方式，也可以使用主要认证再结合多种辅助认证的方式。 如果设置了多种主要认证方式，可选择必须通过所有的主要认证或通过其中一种主要认证方式即可。 SSL VPN 用户认证方式 本PPT介绍四种常用的主要认证和辅助认证方式： 1. 用户名密码认证 2. 数字证书认证 3. 短信认证 4. 硬件特征码认证 用户名密码认证 用户名密码认证，即用户通过输入用户名和密码登录SSL VPN。 认证方式选择“用户名/密码” 用户名密码信息保存在设备数据库中，属于本地认证 “同时使用”表示设置了多种主要认证方式时，所有认证都必须通过。“任意一种”表示其中一种主要认证方式通过即可。 公有用户和私有用户均可设置用户名密码认证。 用户名密码认证 为了加强用户名密码认证的安全性，可启用密码安全策略，软键盘和图形校验码功能。 数字证书认证 第三方CA 自建CA 数字证书 数字证书 DKEY 数字证书认证 DKEY 有驱DKEY 无驱DKEY 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，用来标志和证明网络通信双方的身份，此认证方法更为安全可靠。 SANGFOR数字证书认证支持设备自建CA认证和第三方CA认证。 生成了无驱DKEY，不能再生成有驱DKEY；有驱DKEY，可再生成无驱DKEY。 数字证书认证（生成证书） 设置登录的用户名 只有私有用户类型才能选择数字证书/DKEY认证 设置证书密码，用户安装此证书时需要填入相同的密码才允许安装。 数字证书认证（生成有驱DKEY） 生成有驱DKEY，管理员和用户均需下载安装DKEY驱动，管理员还需下载安装DKEY导入控件 如果要实现有驱KEY拔KEY注销功能，必须启用 USB Key V2 创建DKEY之前需将DKEY插入电脑中 数字证书认证（生成无驱DKEY） 生成无驱DKEY 无驱DKEY，必须启用USB KEY V2，才能实现DKEY接入和拔出注销。 创建DKEY之前请先将DKEY插入电脑中 硬件特征码认证 通过硬件特征码认证可实现SSL VPN帐号和电脑硬件特征的绑定，某账号只能通过固定的一台或几台电脑登陆，确保了接入的安全性。 硬件特征码认证读取接入电脑的硬件信息顺序: 硬盘ID -网卡MAC -C盘ID -D盘ID-E盘ID... 硬件特征码认证属于辅助认证，必须同时使用一种主要认证。 一般先开启硬件特征码收集，待用户全部提交硬件特征码后，再启用硬件特征码认证。 勾选“硬件特征码” SSL 用户配置案例学习 管理员如何查看、审批、删除硬件特征码？ 查看硬件特征码 选择用户，进行硬件特征码的审批和删除操作 短信认证 SSL 设备通过发送短信校验码至用户绑定的手机号码上, 用户正确输入短信校验码后才能登陆SSL。短信认证需开通序列号才能使用。 短信认证属于辅助认证，必须同时使用一种主要认证。 开启短信验证码 通