网康ICG用户识别认证操作培训.pptVIP

ICG 产品知识系列培训(6)用户识别与认证功能操作培训;文档使用注意事项： 自行学习本文档时请结合设备的帮助一起使用 具体的操作细节请查看设备的联机帮助 文档会对帮助中没有描述清楚的地方进行有效说明 文档会对操作配置点的目的，意义进行解释;文档导读;文档预期效果说明;阅读本文档之后你应该可以掌握的内容： 掌握用户识别与认证的专业术语的含义 掌握ICG可以实现的户识别与认证的范围 能够树立清晰操作前的思路 能够灵活、准确的配置本功能，有效的实现客户网络环???下的需求 能够通过有效的手段检验已经配置的功能的正确性 能够对该功能出现的异常情况有一定的排查思路;重 要 名 词 解 释;名词解释： （认证识别的3种机理） 单点登录（网康叫透明识别）：指客户原来就存在用户身份的管理系统，ICG可利用原有的用户管理数据，在ICG上线后，上网的用户端人员不需要安装任何客户端、不需要进行附加的新的身份认证，ICG就可以识别出产生网络行为的人的用户名。 联动认证（网康叫第三方认证）：指客户原来存在用户身份的管理系统，ICG可利用原有的用户管理数据，在ICG上线后，上网的用户端人员需对ICG弹出的认证狂输入原有用户管理系统的用户名密码，或者安装待填用户名密码的客户端，使得ICG可以识别出产生网络行为的人的用户名，并应用到后期的策略和日志中（因为部分环境下无法实现单点登录，所以需要联动认证）;名词解释： 本地认证：指客户不使用或没有已经存在的用户管理系统，仅在ICG设备上重新建立用户组织架构，并且通过ICG本地的自行建立用户组织架构识别网络行为产生者的用户名 （认证识别的3种实现手段） 用户识别：上网客户端用户无需输入用户名密码，无需安装客户端即可实现身份的识别 客户端认证：上网用户需要安装客户端才可以识别用户的身份 Web认证：上网用户在上网时需要先通过IE等浏览器弹出的认证框输入用户名密码，输入完毕后才能识别上网用户的身份;名词解释： 用户导入：是指不采用手工逐条的方式建立ICG上的组织架构，而是通过已经存在的用户数据（用户信息文档，现有用户管理系统）批量自动的写入到ICG系统中，完成组织架构的建立。不进行用户导入，日志中依旧可以体现用户信息，但将无法在策略中引用用户信息。 混合认证：是指对同一个/多个主机（IP）可以串行的进行多种身份识别与认证方式，第一个正确匹配的识别认证信息中的身份信息将作为该用户的身份。 认证网段：是指指定的认证方式生效的网段。超出该网段的范围，指定的认证识别方式将不生效 时间有效期（自动下线配置）：是指认证通过后，多长时间按内该认证失效，也就是该用户和对应IP对应关系解除。如果是固定的一个时间，则表示从认证通过后开始计算，固定的时间后这个对应关系解除。如果是不活动后的一个时间，则表示认证通过后，如果在一段时间内用户没有报文通过ICG，则认证对应关系解除，而有效期内一旦有报文通过，自动从这一刻开始重新计算有效期。;名词解释： Kerberos：是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。Kerberos 作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。微软的AD域采用的是Kerberos协议 PPPOE：一种使用在ADSL技术上的协议，可以使得以太网报文中携带用户认证信息。 H3C CAMS,锐捷 SAM：是上述两个公司的准入系统的用户身份识别系统，可以识别用户名，主机mac，连接的交换机ID，连接的交换机端口等。;名词解释： 嗅探器：是一种在认证服务器上的探针软件，可以和ICG联动实现基于IP获取用户名，主要用于单点登录技术 RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。普通电话上网、ADSL上网、小区宽带上网、IP电话、移动电话预付费等业务。最近IEEE提出了802.1x标准;名词解释： 802.1x：协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN / WLAN。主要用于准入技术 以及 无线以太网的接入认证 原有认证系统在ICG外侧：用户原有认证系统的认证过程报文需要通过ICG??才到达原有的认证系统。 原有认证系统在ICG内测：用户原有认证系统的认证过程报文不会通过ICG就可以到达原有的认证系统;名词解释： 第三方用户：当一个用户名被ICG获取后，通过遍历组织架构没有找到该用户名，则该用户名被放置在第三方用户中。 IP临时用户：当这个IP为源地址的报文通过了ICG，通过对组织架构遍历后，没有找到该I