|
[用户认证方式设置]主要是用于设置ac 硬件网关启用[web 认证]方式时,所需设置的一些认证配置信息。设置界面如下图所示:
勾选界面底部的[启用web 认证]选项,即可激活ac 硬件网关的[web 认证]功能。 在[web 认证方式设置]后,ac 硬件网关支持四种方式的认证。包括[用户名/密码认证]、[ldap认证]、[radius 认证]和[pop3]认证。 (1)用户名/密码认证 选择[用户名/密码认证]时,可通过[访问控制和监控/web 认证用户设置]手动添加用户名、密码。 (2)ldap认证 选择[ldap 认证]则需点击旁边的按钮设置一下[ldap 服务器设置]。 [ldap 服务器设置]界面如下:
单击[修改],出现如下界面:
详细参数设置可咨询ldap 服务器系统管理员,一般情况下只需填写[服务器ip 地址],[认证端口],[服务器用户]和[用户密码],其他参数都保存默认就行。 单点登录 单点登录:当用户机器登陆到域服务器的时候,自动通过web 认证,而不需再次输入用户名密码登录。 只需用户输入一次密码登陆到域即可自动认证通过,减少用户输入密码的次数,降低密码泄露的风险 网络环境: 网络结构如图:
域服务器处于内网,也就是pc1、pc2 未通过认证前可以登录到域服务器,域服务器的ip 地址和ac 的lan 口同一网段,这样登陆信息可以发到ac 的lan 口(wan 口不行)。也就是要求域服务器ip、网关lan 口ip、用户机器ip 至少有一个ip 地址是同一网段,用户机器的第一dns 还应设为域服务器的ip 地址。 操作过程: 启用ldap 认证,勾选[单点登陆选项],输入共享密钥:
在域服务器要安装单点登陆组件程序,安装结束时会提示输入[ac 的ip 地址]、[共享密码],[确认密码]的设置,要和ac 上设置的共享密钥相同,否则不能正常使用单点登陆功能。
要求用户机器第一dns 应该设置为域服务器的ip 地址,否则加入域时可能找不到域服务器。而且第一次登陆成功后,如果后来用户的机器修改了dns 或者ip 地址,此时用正确的密码登陆到域,可以进入windows,但是实际上是没有登陆到域,此时单点登陆无效,用户上网仍输入用户名密码才行。这主要是windows 可以记住上次输入的正确密码,没有登陆到实际的域服务器也可以进入windows。 要求域服务器ip、网关lan 口ip、用户机器能互相访问到。 适用于启用ldap 认证情况下,并且用户的机器在登陆windows 时登陆到域服务器。 (3)radius认证 选择[radius 认证]则需点击旁边的按钮设置一下[radius 服务器设置]。界面如下图:
详细参数设置可咨询radius 服务器系统管理员,需填写[服务器ip 地址],[认证端口],[共享密钥],[认证超时时间]和采用的协议。 (4)pop3 认证 一般适应于用户使用内部邮件系统,并且每个用户均分配了邮件帐号,并且启用邮件过滤。 适应客户使用邮件系统的环境,增加认证方式的多样化,使认证方式更加方便快捷人性化。设置为pop3 认证方式时,用户属于pop3 服务器上存在的用户。当用户输入用户名密码时,认证系统会自动登陆到指定的pop3 服务器,如果登陆成功,说明该用户名密码是对的,认证通过;如果登陆失败,则认证不通过。如果勾选了[自动认证]选项,当用户使用outlook、foxmail之类的客户端登陆pop3 服务器时,认证系统会自动识别并认证通过该用户,此时用户可以直接上网,而不需再次输入用户名密码。 网络环境: 网络结构如图
pop3 服务器必须处于外网(或wan 口一端),如果pop3 服务器处于内网时,自动认证无效,但可以手动认证,即访问网页时弹出对话框输入用户名和密码进行认证。 操作过程: 首先确认启用邮件过滤 在web 认证方式页面选择[pop3 认证方式],选中[pop3 认证],如需自动认证,请勾选[启用pop3 自动认证] 如果pop3 服务器处于外网,要启用自动认证,则必须勾选[未启用通过用户,可以访问基本服务(默认组权限,http 除外)] 如果处于内网,可以不勾选[启用pop3 自动认证]和[未启用通过用户,可以访问基本服务(默认组权限,http 除外)],但是自动认证无效,必须手动认证 点击[pop3 服务器设置],弹出如下窗口:
在这里设置pop3 的服务器列表,可设置[服务器ip 地址],[认证端口]和[认证超时时间]。 b.web认证选项 [允许新用户(不知[web 认证用户设置]列表中的用户)认证,并在成功认证后将其加到列表和组中]:主要用于启用第三方认证(ldap 认证, radius 认证和pop3 认证),又没有在[web认证用户设置]中导入该第三方认证的用户名或新建用户名跟第三方服务器里相同的用户名时,如果一个用户认证成功,自动把用户名添加到[web 认证用户设置]里去,并加到某个组里。 [在用户通过认证之前,允许其访问dns 服务]用于允许在通过验证前访问dns。 [用户认证后(5)分钟内没有流量,视为超时]用于设定一个超时时间,如果多长时间没有流量就需要重新web 认证。 [只允许以下ip 地址查看,在线用户列表]用于限定特定ip 才能查看通过web 认证的用户列表。如下图:
[上传html 公告文件,在用户通过认证之前显示]:用于在web 认证前弹出公告的提示页面。 把网页的目录打包成zip 文件(其中要显示的页面命名为index.htm)然后上传上去。 [未启用通过用户,可以访问基本服务(默认组权限,http 除外)]:用于允许用户在没有通过认证前能使用出tcp 80 端口外的缺省组的权限。 1.在用户名/密码的认证方式下,支持用户自己修改自己的密码,而不需网管来修改。如果连续3 次修改密码失败,则该用户会被冻结1 分钟。 2.打开修改用户修改密码的页面,地址为网关ip/user.htm。
输入要修改密码的用户名、旧密码、新密码和确认新密码,点击提交即可。 (责任编辑:admin) |
