【萌大爷分享】AC 11.X版本用户绑定效果实测
  

萌大爷 3733

{{ttag.title}}
本帖最后由 萌大爷 于 2017-11-14 12:35 编辑

AC 11.X版本用户绑定效果实测

一、前言
用户绑定大家都清楚,就是限定用户只能在某台终端上登录。
但是至于实际效果和注意点是怎么样,今天跟大家一起探讨。

测试前提:
密码认证或短信认证已设置绑定mac免认证。

二、绑定逻辑测试
a)同一个用户可以绑定多个mac,所以当密码认证或者短信认证用户有多个终端时,可以用同一账户登录多个终端。
举例:
用户A同时在手机和笔记本电脑进行密码认证。

如果用户用手机号A在手机上登录了,也可以用手机号A在笔记本电脑上登录,会自动产生绑定记录。
(第一条是已有记录,第二条是短信认证后,自动生成的绑定记录,两条记录分别绑定手机和笔记本电脑的mac)

b)但是一个mac不能绑定多个用户,会提示冲突。
举例:
如果一个mac地址已经绑定过其他用户,则提示冲突;
如果一个终端已用手机号A进行短信认证,再次认证时则不能用手机号B进行认证,会提示绑定校验失败;
密码认证同理(如果一个mac绑定了一个用户,这个mac的pc用其他用户登录,就会以上用户绑定校验失败)。


三、问题探讨
3.1 有一种情况下,会出现mac绑定错误的问题。
a)问题出现条件,不开启mac地址变动注销用户功能
b)密码认证方式测试(短信认证方式同理)
c)第一次登录,生成绑定记录,用户是180****03,MAC是FE:FC:FE:5A:AC:F8;

第二次登录,IP同是192.168.50.22,mac是FE:FC:FE:0E:BB:F7,模拟IP释放出来后被其他终端获取情况;
其他终端获取后,不需认证即可上网,在线信息不变,期间没有注销和重新登录;
自动生成(认证策略勾选了自动录入绑定关系并开启免认证)绑定记录,用户是1802****03,MAC是FE:FC:FE:0E:BB:F7。
d)造成问题:
只要IP在在线用户列表,被其他终端获取后,该终端就会自动上线并绑定到错误的用户,并以错误的用户名上线。短信认证同理,该手机mac可能会绑定到错误的手机号上,或者该手机号的用户绑定会多出其他人的mac。同时由于被自动错误绑定了,可能会造成下次短信认证时,出现绑定校验失败的问题。

原因猜测:
数据包访问会首先查看该IP是否在在线用户列表,如果不在,则重定向到认证页面;如果在在线用户列表,则会优先已在线用户列表里的用户上线。即使该mac在在线用户列表里绑定其他用户,则依然不会以用户绑定的身份上线。
得知:优先匹配在线用户列表的用户身份,其次匹配用户绑定的用户身份。

3.2 解决方式

a)设置mac地址变动重新认证功能

b)终端1----IP:192.168.50.22,MAC:fe-fc-fe-0e-bb-f7上线,在在线用户列表(IP:192.168.50.22),直接可以上网。
终端2----IP:192.168.50.22,MAC:FE:FC:FE:5A:AC:F8上线,
虽然IP是在在线用户列表,但是由于mac发生变动,该在线用户后被注销,然后需要重新认证(模拟IP释放后,被终端2获取),

不过这里也要分情况的:

用户绑定没有该mac绑定的情况:
会重新认证,并且产生新的绑定条目,用新的用户身份上线

用户绑定有该mac绑定的情况:
(用户在免认证有限期内)。会重新认证,但由于该mac的绑定条目设置了免认证,实际则以无感知免认证方式上网,用该mac绑定的身份上线

(免认证已过期或者被禁用)会重新认证(短信认证),由于该mac的绑定条目禁止了免认证功能(或者过期了),所以需要打开浏览器重定向到认证页面,重新登录
如果登录用户跟绑定条目的用户不一致,会提示绑定校验失败;
如果一致,则通过认证并正上线。

四、疑问
这两个有什么区别?
a)短信认证里勾选自动绑定mac免认证
b)短信认证里不勾选自动绑定mac免认证,改为在认证策略里自动录入绑定关系并免认证。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

Sangfor_闪电回_朱丽 发表于 2017-10-23 16:55
  
楼主好用心,把认证时的几个问题都分析透彻了,感谢分享!
新手377934 发表于 2017-10-27 10:51
  
好像可以设置终端数
springdragonfl 发表于 2018-3-11 00:32
  
官方怎么没有回应的,感觉认证这块某公司并没有理顺,感觉好象是一帮程序员各干各的,菜单项有重复的,也不知道具体是什么意思

Nevermore 发表于 2018-7-17 14:32
  
过来围观学习
ie5000 发表于 2018-7-18 09:03
  
学习学习
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
西北区每日一问
干货满满
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
316
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人