#每日一记#15第31篇学习深信服行为管理AC之『用户认证』

用户认证
『用户认证』包括了『认证策略』、『外部认证服务器』、『单点登录』、『认证页面定制』，主要用于设置内网用户的认证方式、认证服务器等。
认证策略   
概述
所有计算机上网前，都必须经过用户认证，以识别上网计算机的身份。『认证策略』决定了某个IP/网段/MAC地址上计算机的认证方式。通过『认证策略』设置内网用户的认证方式，以及新用户添加的策略。
认证策略是从上往下逐条匹配的，可以通过页面上的移动按钮来调整认证策略优先级。通过认证策略可以为不同的网段配置不同的认证方式。
认证方式：
设备的认证方式有以下几种：
1、不需要认证；2、密码认证（包括本地密码认证、外部服务器认证、短信认证、微信认证和二维码认证）；3、单点登录；4、不允许认证（禁止上网）、5、Dkey用户认证
以上几种认证方式中：
DKEY认证用户只需要在『用户认证与管理』→『认证高级选项』→『Dkey用户』中直接添加用户即可，不需要单独针对Dkey用户设置一条『认证策略』。Dkey认证的优先级最高，即Dkey用户可以踢掉以其他认证方式认证的用户，最终以Dkey用户的身份认证上线。需要注意的一点是：如果某些IP、MAC范围在『认证策略』中设置了不允许认证，则Dkey用户使用这些IP、MAC上网也无法认证通过。
不需要认证、密码认证、单点登录、不允许认证这几种认证方式是由『认证策略』设置决定的，通过匹配认证策略中设置的IP或MAC范围确认用户的认证方式。
下面分别介绍下几种认证方式：
1、[不需要认证]
匹配了此种认证方式的情况下，设备会根据数据包的源IP地址、源MAC地址、上网计算机的计算机名来识别用户。不需要认证的识别方式，优点是用户上网前浏览器中不会弹出认证框，要求输入用户名，密码才能上网。因此上网用户不会感知到设备的存在。
2、[密码认证]
匹配了此种认证方式的情况下，用户上网时的认证流程如下：
第一步：浏览器会被重定向到认证页面。
第二步：在认证页面上选择一种认证方式进行认证，认证页面如下：
特别说明：此页面显示四种认证方式，是因为在认证策略中同时勾选了本地用户、微信认证服务器、二维码认证服务器和短信认证服务器。也就是说在认证策略中勾选了哪种认证服务器，认证界面上就对应显示哪些认证方式。

密码认证又分为本地密码认证和外部服务器密码认证。
外部服务器支持LDAP服务器、Radius服务器、POP3服务器。
结合外部服务器做密码认证时需要先配置以下两点：
（1）在『用户认证』→『外部认证服务器』中设置服务器的相关连接信息。
（2）在『用户认证』→『认证策略』→『认证方式』中选择“密码认证”，并在选择认证服务器时勾选对应的外部服务器。
密码认证的顺序：
（1）在认证页面选择密码认证，输入正确的用户名密码后才能上网。假设输入的用户名为：test，密码为：password。

（2）系统尝试从本地用户中查找是否有test这个用户，如果存在该用户，并且该用户具有本地密码（也就是用户属性中，勾选了“本地密码”），则检查该用户的本地密码是否为password，如果密码正确，则认证成功，否则，认证失败。
（3）如果本地用户不存在test用户，或者虽然存在该用户，但该用户并没有设定本地密码。则系统会尝试到外部认证服务器上去检查用户名，密码是否正确，如果『认证策略』中勾选了多个外部认证服务器，则多个认证服务器都会去检查，如果其中某一个服务器返回了认证成功的信息，则用户就认证成功，如果没有一台服务器返回认证成功的信息，则用户认证失败。
概括来讲就是先本地认证，再外部认证。
手机短信认证：使用这种认证方式时，会通过AC设备接的短信猫或短信网关，发送验证短信给客户，客户通过短信认证码认证上线。
使用手机短信认证时需要先配置以下两点：
    （1）在『用户认证』→『外部认证服务器』中设置短信服务器的相关信息。
（2）在『用户认证』→『认证策略』→『认证方式』中选择“密码认证”，并在选择认证服务器时勾选对应的短信服务器。
短信认证的顺序：
    （1）在认证页面选择短信认证，输入手机号码，点击获取验证码：

    （2）输入手机收到的短信验证码，点击登录，认证上线。
     此时在AC上上线的用户名就是手机号码。
微信认证：
选择此种认证方式：未通过认证的用户，可以通过“点一点”、 “微信连wi-fi”方式进行认证。
“点一点”认证流程：用户接入无线热点，浏览器弹出portal页面，顾客加微信关注认证。
“微信连wi-fi”认证流程：终端接入ssid——浏览器弹出微信连wifi——点击，终端拉起微信客户端，点击立即连接
使用微信认证时需要先配置以下两点：
（1）在『用户认证』→『外部认证服务器』中设置微信服务器的相关信息。
（2）在『用户认证』→『认证策略』→『认证方式』中选择“密码认证”，并在选择认证服务器时勾选对应的微信服务器。
二维码认证：这种认证方式一般用于访客认证，当重定向到认证页面时，选择二维码认证方式，界面会显示出一个二维码，此时用户需要找一个已通过认证的手机，通过这个手机扫描界面上的二维码，此时用户就可以认证上线。
使用二维码认证时需要先配置以下两点：
（1）在『用户认证』→『外部认证服务器』中设置二维码认证的相关信息。
（2）在『用户认证』→『认证策略』→『认证方式』中选择“密码认证”，并在选择认证服务器时勾选对应的二维码认证服务器。
要注意的是扫描二维码的手机用户，需要是在设置“二维码认证服务器—审核人”中勾选的用户，否则就没有审核权限。
3.[单点登录]：
当客户有自己的第三方认证服务器对内网用户进行认证时，单点登录可以实现在内网用户通过第三方认证服务器认证时同时通过设备的认证，并且获取到相关的权限上网。设备上使用和第三方认证服务器同一套用户名密码。目前设备支持的单点登录类型包括：AD域单点登录、Radius单点登录、Proxy单点登录、POP3单点登录、Web单点登录、数据库单点登录、某公司设备以及其他第三方设备单点登录（如锐捷sam系统、H3C CAMS系统和城市热点等HTTP/HTTPS认证系统）。
使用单点登录时需要先配置以下三点：
（1）在『用户认证』→『外部认证服务器』中设置需要使用单点登录的外部认证服务器信息。
（2）在『用户认证』→『单点登录』中设置单点登录的相关信息
（3）在『用户认证』→『认证策略』→『认证方式』中选择“单点登录”。
4、[不允许认证]
认证方式选择“不允许认证”时，符合IP、MAC范围的用户是不能通过AC认证上线的，也就是禁止上网，此时包括单点登录用户、Dkey用户都无法认证上线。

感谢分享，支持楼主，再接再厉

感谢分享，学习了

cas 认证啥时候可以不用点那一下呢？

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~