本帖最后由 常鸿 于 2023-2-20 13:26 编辑
咱们的上网行为管理,在日常交付中,主要承担的功能中
比较常见的一个功能就是用户认证
用户认证的话,要么对接其他的用户体系,要么自己来创建本地用户
如果是AC上面创建的本地用户,那么除了用于上网认证,AC还能提供意想不到的附加价值
上网行为管理,除了可以作为认证的客户端,对接其他的认证服务器意外,AC本身也可以作为认证中心。
今天介绍上网行为管理作为认证服务器,有哪些可以搞的骚操作
第一种 radius 认证服务器
配置位置:
radius协议是一个比较通用的协议,支持的设备种类繁多,但是缺点是无法读取到AC上的组织架构
适合于交换机的802.1X认证,或者简单网络的无线认证
这个配置比较简单,也没什么可操作的空间
第二种 LDAP 认证服务器
配置位置:
这个配置看似只有填写一个域名,然后提交就行,实则带来的功能效果十分强大
推荐版本 13.0.47 及以上 (低版本时候会有不稳定的情况-亲测)
首先,AC开放的协议 支持的设备可以用OPEN LDAP 协议来对接,AC_ip:389 是接入端口 协议是不加密的 ldap
LDAP对接的好处
第一可以同步组织架构 这点很关键
咱们有很多依赖于用户的产品,比如零信任、桌面云、SSLvpn等,都需要有用户体系,而且不同用户还需要不同的权限 AC开放了接口以后,其他产品可以通过认证对接,直接把用户获取到自己设备上,并且连带着组织架构一起。这样只需要维护好一套的账号密码,给运维减小压力
让我们用工具来查一下AC提供LDAP的底细
AC这边的用户唯一值,之前测试的时候发生过一个 唯一值改变的情况,所以我在后续实施的时候,都是用cn 来标明用户的唯一性
通过工具来查看,有一个明显的缺点 用户的手机号和邮箱,虽然在AC本地用户上面填写了
但是真正去查看用户属性的时候,相关的信息 却是空白的
 我要去跟产品反馈一波,很多产品还是需要 短信认证以及邮箱验证的
但是AC也有他自己的优点
比如,我AC上面有很多的部门,现在需要对接到VPN产品上,需要同步用户到VPN 但是客户需求是只允许同步拥有VPN权限的用户
这个在一般设备对接来说,要么就是 整体对接过去,要么就是从搜索入口那里筛选一下用户组
但是这种筛选的方法的颗粒度并没有那么细,达不到客户的要求
咱们AC上有这么一个不起眼的配置
可以为用户添加自定义的属性
这样我配置一个VPN使用权限 给我自己的用户把属性配置一下
我们继续用工具来看一下 LDAP的详情 我配置的用户属性,已经传递到了LDAP服务上 这样我在做产品对接的时候,就可以用单独的条件筛选,来拉取出我想同步的用户过去,是不是很棒
| 
发表于 2024-1-14 14:57
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员2级 
