SANGFOR_AC_v11.0_2016年度渠道初级认证培训05_基础认证讲述.ppt

1、使用DKEY认证的用户，需下载并安装DKEY客户端 场景三配置（总经理上网使用DKEY认证） 2、新增DKEY认证的用户，手动生成DKEY 【用户认证与管理】—【用户管理】—【认证高级选项】选择Dkey用户 3、使用DKEY客户端进行认证 （1）用户安装完DKEY客户端后，会在桌面生成图标。 启用保存密码，只需要dkey第一次认证时输入密码，后续再认证，直接插key即自动认证，无需再输入密码 （2）电脑USB接口插入免审计key，并输入密码，如下图所示 （3）DKEY认证成功后，客户端会有如下提示 注意 认证Dkey有两种类型分别为免认证Key（绿色）、特权Key（紫色）；特权Key又分免控制和免审计 场景四配置（IT部使用不需要认证上网） 1、首先为办公区的用户建一个用户组，在【用户与策略管理】－【用户管理】－【组/用户】中，点新增，选择【组】，定义组名：IT部，设置完后点提交。 2、配置认证策略 新增认证策略，选择认证方式，本案例的要求不需要认证，不绑定任何地址。 3、效果展示 IT部员工通过AC上网时，在AC在线用户管理可以看到用户已在AC上线。如下图。 案例背景二 （1）IT部上网，认证不受限制，但是要求认证之前弹出来提醒页面。 某集团公司内部有多个部门，现各个部门的上网要求如下： （2）公共上网区需要输入账号和密码才能上网，现管理员要求初次认证时自动绑定终端的MAC，保证每个账号只能在固定的1台电脑上登陆；且已经认证的用户下次上网无需输入账号密码可直接上网 场景一解决方案 1、设置认证策略，配置认证范围、认证方式选择不需要认证、认证后处理高级 选项选择显示免责申明页面。 1、设置认证策略，配置认证范围、认证方式选择密码认证，认证后处理选择自动录入用户和IP/MAC的绑定关系选择绑定MAC；同时勾选开启免认证设置免认证的有效期。 场景二解决方案 2、【用户管理】—【用户绑定】高级设置，设置每个用户终端数为“1” 说明：用户绑定指的是用户和ip或mac的绑定关系，配置后全局生效，账号可以 是私有账号可以是公有账号。 3、测试效果 （1）终端打开网页输入账号密码认证成功 （2）【用户管理】—【用户绑定】可以看到自动添加了账号和mac的绑定关系 （3）已经认证的用户下次需要上网，无需认证直接就可上网。 说明：如果希望密码认证免认证用户在上线时弹出免责申明页面也可以设置。 密码认证安全性 设置用户密码强度 设置密码强度主要为了满足对WEB认证用户的密码安全的需求。密码强度限制仅对私有用户在客户端修改密码有效，管理员在控制台建立或修改密码不受此限制。 设置用户密码强度 配置步骤：【用户与策略管理】—【认证高级选项】 设置用户密码强度 客户端登陆修改密码： 强制客户端初次认证修改密码 应用背景：用户批量导入或者大量加入的时候，初始密码是一致的，这样很不安全，希望终端用户首次认证时，自行修改密码 解决思路：强制要求用户初次认证时自行修改密码。 注意事项： 1. 仅对设备本地密码认证的用户有效 2. 用户认证后会自动跳转到修改密码窗口，若不修改则无法上网。 配置方法： 1. 添加用户时：在【用户与策略管理】－【用户管理】－【组/用户】中，点击 新增，在【本地密码】设置的下方勾选“初次认证修改密码”。 强制客户端初次认证修改密码 2. 导入用户时：【用户与策略管理】－【用户管理】－【用户导入】，点击 CSV格式文件导入时，勾选初次认证修改密码。 启用了初次认证修改密码，用户第一次认证通过后会跳转到修改密码页面，修改完成后出现如下页面： 提示： 1.此页面为静态页面，不会自动跳转到之前访问的internet页面。 2.修改密码后生效可能有30秒的延迟，建议在30秒内不要注销或重新登录。 用户注销 如何注销已经通过认证的用户 当需要已经认证成功的用户从AC下线时，可以通过AC网关控制台注销用户或在客户端手动注销来实现。 控制台注销用户： 1. 在线用户列表强制注销（不需要认证用户，DKEY用户，临时用户不能被注销），（管理员可以通过此处强制注销在线用户，使用比较少） 2. 无流量自动注销用户（适用于所有认证类型的用户，且对下线实时要求不 高的用户，默认是采用这种注销方式） 3. 密码认证用户，关闭注销窗口即下线（只适用于密码认证用户，且用户要求实时注销，即电脑关机就注销） 用户认证成功后，自动跳转到如下注销页面，用户可以手动点击页面上的“注销”按钮完成注销。 终端关闭此页面或手动点击注销按钮即可完成自动注销，使用户下线。 4. 客户端手动注销认证，通过输入http://ACIP打开认证和注销的页面