admin 管理员组文章数量: 887021
2024年3月28日发(作者:来客php源码)
举例:上网用户+RADIUS单点登录
介绍了NGFW作为企业的出口网关时,配合RADIUS服务器对上网用户进行管理的
举例。
组网需求
如图1所示,某企业在网络边界处部署了NGFW作为出口网关,连接内部网络与
Internet。具体情况如下:
上网用户通过NAS设备接入上网。
上网用户访问网络资源前必须先通过RADIUS服务器的认证,RADIUS服务
器上存放了用户和组的信息。
图1 上网用户+RADIUS单点登录组网图
企业的网络管理员希望利用NGFW提供的用户管理与认证机制,将内部网络中的
IP地址识别为用户,为实现基于用户的网络行为控制和网络权限分配提供基础。
具体需求如下:
在NGFW上存储用户和部门的信息,体现公司的组织结构,供策略引用。
研发部员工和市场部员工使用RADIUS帐号和密码认证通过后,无需再进
行认证就可以访问网络资源。研发部员工和市场部员工的身份标识就是其
RADIUS认证时使用的用户名。
对于新入职的员工,可能已经在RADIUS服务器上创建了用户信息,但是
没有在NGFW上存储该用户。对于这类用户,通过认证后可以先将其添加到指定
的组中,后续管理员再调整其所属组。
配置思路
说明:
本举例只介绍配置用户与认证相关的内容。
1.
2.
3.
4.
5.
将RADIUS服务器上存储的用户信息按照指定的格式填写到CSV文件模板
中,然后将CSV文件导入NGFW,批量创建用户/组。
在NGFW上配置RADIUS单点登录参数。
配置default认证域中的新用户选项,新用户通过认证后,使用newuser
组的权限访问网络资源。
为避免用户在NGFW上频繁上下线,建议在NGFW上配置在线用户超时时间
长于RADIUS计费报文的更新周期,此处假设配置在线用户超时时间为480分钟。
由于NGFW部署在用户和RADIUS服务器之间,用户的认证报文经过NGFW。
为实现单点登录功能,需要配置认证策略,对目的地址为RADIUS服务器的报文
不进行认证处理;同时配置安全策略,确保NGFW和RADIUS服务器之间能正常通
信。
数据规划
项目
新用户所属组
数据
说明
组名:newuser
将新用户添加到newuser组
所属组:/default
中。
新用户通过认证后,使用该组
的权限访问网络资源。
在NGFW上配置单点登录参数,
解析经过NGFW自身的RADIUS
计费报文,从而获取用户和IP
地址的对应关系。
RADIUS单点登录
RADIUS单点登
录:启用
作为临时用户,使
用该组权限:newuser
镜像接口:
GigabitEthernet 1/0/3
操作步骤
1.
常。
1.
1.
2.
名称
源安全区域
配置用户和NAS设备所在安全区域Trust到RADIUS服务器所在安
全区域DMZ的安全策略,用于用户到RADIUS服务器进行认证。
选择“策略 > 安全策略 > 安全策略”。
单击“新建”,按如下参数配置。
sec_policy_radius
trust
配置安全策略,确保用户、NAS设备、RADIUS服务器和NGFW之间通信正
目的安全区域
dmz
源地址/地区
10.3.0.0/24
版权声明:本文标题:USG6000上网用户+RADIUS单点登录纤细说明 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1711570360h603144.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论