hcscp1303 用戶管理技術(shù) issue 3 0

1、本頁不打印修訂記錄版權(quán)所有 2017 華為技術(shù)第0頁作者/工號時間審核人/工號新開發(fā)/優(yōu)化金瑩瑩/2954202017.03.16畢偉飛/ 245889新開發(fā)課程編碼適用產(chǎn)品產(chǎn)品版本課程版本HCSCP1303Agile Controller-CampusV1R3V3.0用戶管理技術(shù)版權(quán)所有 2017 華為技術(shù)前言 隨著WIFI大量普及，企業(yè)、商場等多種場合能夠提供員工及訪客網(wǎng)絡(luò)接入功能，需要在接入網(wǎng)絡(luò)時進行準(zhǔn)入控制與行為審計。華為公司在敏捷控制器Agile Controller-Campus中推出了用戶管理功能，提供多種用戶身份認證方式，適用不同場景的用戶接入需求。

2、 本課程主要介紹用戶管理的相關(guān)內(nèi)容。版權(quán)所有 2017 華為技術(shù)第2頁目標(biāo) 學(xué)完本課程后，您將能夠：p 了解用戶管理的基本功能p 學(xué)會用戶管理的配置方式版權(quán)所有 2017 華為技術(shù)第3頁目錄1. 用戶管理概述2. 多種賬號認證3. 用戶管理功能4. 典型應(yīng)用案例版權(quán)所有 2017 華為技術(shù)第4頁用戶的組織結(jié)構(gòu)企業(yè)Agile ControllerROOT部門對應(yīng)用戶組研發(fā)部市場部行政部市場部1市場部2部長用戶A用戶D經(jīng)理普通員工用戶對應(yīng)賬號用戶用戶BE用戶C用戶F版權(quán)所有 2017 華為技術(shù)第5頁豐富的用戶管理特性多種賬號認證 賬號黑 管理 角色管理用戶A研發(fā)財務(wù)市場訪客用戶B用戶C版權(quán)所有 2

3、017 華為技術(shù)第6頁基于5W1H情景感知WhenWhere版權(quán)所有 2017 華為技術(shù)第7頁從什么地方接入（公司、家里）什么設(shè)備接入（PC、IOS、Android)如何接入( 有線、無線、VPN)誰的設(shè)備（公司標(biāo)配、BYOD設(shè)備）誰接入了網(wǎng)絡(luò)（員工、訪客）什么時間接入（上班時間、下班時間）靈活動態(tài)授權(quán)策略12交換機 用戶認證賬號、用戶組綁定訪客組訪客賬號游客組策略員工賬號員工組策略VIP 賬號VIP組策略AgileController Radius下發(fā)用戶組至ACSW3員工組VIP組AC ACSW執(zhí)行用戶組策略游客組策略配置員工組策略配置VIP組策略配置n 帶寬授權(quán)：3050Kbps帶寬授權(quán)

4、：2MbpsACL授權(quán)：可以訪問公司業(yè)務(wù)平臺業(yè)務(wù)VLAN：員工業(yè)務(wù)VLAN用戶隔離：允許組內(nèi)用戶通信，禁止組間用戶通信帶寬授權(quán)：3MbpsACL授權(quán)：拒絕訪問內(nèi)部資源業(yè)務(wù)VLAN：游客業(yè)務(wù)VLAN用戶隔離：用戶間禁止通信ACL授權(quán)：拒絕訪問內(nèi)部資源n 業(yè)務(wù)VLAN：游客業(yè)務(wù)VLAN用戶隔離：用戶間禁止通信版權(quán)所有 2017 華為技術(shù)第8頁目錄1. 用戶管理概述2. 多種賬號認證3. 用戶管理功能4. 典型應(yīng)用案例版權(quán)所有 2017 華為技術(shù)第9頁企業(yè)多用戶接入隔離域認證后域認證前域匯聚交換機版權(quán)所有 2017 華為技術(shù)第10頁市場部門研發(fā)部門行政部門Agile Controller核心交換機W

5、WW ServerMail ServerFTP Server普通賬號認證 Agile Controller-Campus支持批量導(dǎo)入或逐個創(chuàng)建用戶組和賬號。用戶系統(tǒng)管理員接入網(wǎng)絡(luò)前創(chuàng)建賬號獲取賬號和21 批量導(dǎo)入用戶組和帳號p 在主菜單中選擇“資源 用戶 用戶管理” 逐個創(chuàng)建用戶組和帳號p 創(chuàng)建用戶組p （可選）創(chuàng)建角色p 在用戶組中創(chuàng)建帳號接入網(wǎng)絡(luò)使用賬號接入網(wǎng)絡(luò)在以下客戶端輸入帳號和3，完成登錄 AnyOffice Web Web Agent版權(quán)所有 2017 華為技術(shù)第11頁使用AD/LDAP賬號認證流程 AC-Campus支持與AD服務(wù)器和多種LDAP服務(wù)器同步組織結(jié)構(gòu)和帳號。Agil

6、e ControllerUserAD/LDAP輸入賬號賬號驗證通過發(fā)往AD/LDAP認證認證通過普通賬號認證授權(quán)未找到賬號發(fā)往AD/LDAP校驗賬號存在，同步該賬號發(fā)往AD/LDAP認證認證通過授權(quán)版權(quán)所有 2017 華為技術(shù)第12頁使用移動證書帳號認證用戶系統(tǒng)管理員接入網(wǎng)絡(luò)前版權(quán)所有 2017 華為技術(shù)第13頁1完成準(zhǔn)備工作2上傳CA證書，并配置CA證書與帳號的映射規(guī)則3手工上傳CRL文件，或者配置系統(tǒng)自動同步CRL文件接入網(wǎng)絡(luò)接入網(wǎng)絡(luò)后4使用CA證書接入網(wǎng)絡(luò)5 依據(jù)不同用戶進行權(quán)限下發(fā)使用第三方RADIUS服務(wù)器帳號認證RADIUS服務(wù)器之間轉(zhuǎn)發(fā)認證和授權(quán)報文，實現(xiàn)用戶的認證和授權(quán)。RAD

7、IUS中繼組網(wǎng)UserSwitchAC-CampusRADIUSServer版權(quán)所有 2017 華為技術(shù)第14頁使用賬號認證認證一般用于訪客接入，用戶無需帳號即可接入網(wǎng)絡(luò)。用戶系統(tǒng)管理員接入網(wǎng)絡(luò)前啟用認證1配置允許認證的區(qū)域2接入網(wǎng)絡(luò)使用賬號接入網(wǎng)絡(luò)3在以下客戶端使用 AnyOffice Web Web Agent賬號，完成登錄版權(quán)所有 2017 華為技術(shù)第15頁目錄1. 用戶管理概述2. 多種賬號認證3. 用戶管理功能4. 典型應(yīng)用案例版權(quán)所有 2017 華為技術(shù)第16頁賬號黑管理自動鎖定賬號添加黑手動鎖定賬號添加黑版權(quán)所有 2017 華為技術(shù)第17頁終端IP地址范圍管理 終端IP地址范圍是

8、指企業(yè)內(nèi)部的IP地址集合。版權(quán)所有 2017 華為技術(shù)第18頁用戶在線時長管理 統(tǒng)計每個終端用戶在指定的周期時間內(nèi)累計在線的時間。 新的周期開始后，終端用戶的累計在線時間被清零，重新統(tǒng)計。用戶已接入網(wǎng)絡(luò)統(tǒng)計在線時長累計時間清零重新統(tǒng)計用戶在線時長限制。設(shè)置終端用戶在線時長的統(tǒng)計周期。查看每個終端用戶的累計在線時長。uuu單個終端MAC 地址累計時長版權(quán)所有 2017 華為技術(shù)第19頁目錄1. 用戶管理概述2. 多種賬號認證3. 用戶管理功能4. 典型應(yīng)用案例版權(quán)所有 2017 華為技術(shù)第20頁不同賬號認證場景認證后域認證前域匯聚交換機版權(quán)所有 2017 華為技術(shù)第21頁市場部門行政部門WWW

9、ServerMail ServerAgile Controller核心交換機創(chuàng)建本地用戶配置流程管理員登陸到用戶列表選擇要創(chuàng)建用戶的部門新建本地賬號授予對應(yīng)角色驗證配置結(jié)果版權(quán)所有 2017 華為技術(shù)第22頁管理員進入到用戶列表 通過導(dǎo)航菜單切換到用戶 用戶管理 用戶列表菜單，切換到“賬號”頁簽。版權(quán)所有 2017 華為技術(shù)第23頁選擇用戶組 單擊左側(cè)用戶組樹節(jié)點選擇需要增加用戶的用戶組。版權(quán)所有 2017 華為技術(shù)第24頁新建本地賬號版權(quán)所有 2017 華為技術(shù)第25頁驗證配置結(jié)果 在賬號列表中可以通過搜索功能搜索到新增的賬號。版權(quán)所有 2017 華為技術(shù)第26頁同步外部用戶管理員登陸進入用

10、戶列表增加按OU同步增加按組同步增加按過濾條件同步驗證配置結(jié)果版權(quán)所有 2017 華為技術(shù)第27頁管理登陸進入用戶列表 選擇系統(tǒng) 外部認證源，切換到外部數(shù)據(jù)源。同步方式有多種：按OU同步，按組同步，平面架構(gòu)同步或定制模式，按條件同步等。版權(quán)所有 2017 華為技術(shù)第28頁增加按OU同步 按OU同步，選擇相應(yīng)的認證源，源DN目標(biāo)部門。版權(quán)所有 2017 華為技術(shù)第29頁增加按組同步 增加按組的外部數(shù)據(jù)源，選擇組DN，源DN。版權(quán)所有 2017 華為技術(shù)第30頁增加按過濾條件同步 在“選擇同步方式”中選擇“按條件同步”。 在“配置用戶組&用戶屬性”中設(shè)置AD/LDAP屬性與AC-Campus屬性映

11、射關(guān)系。版權(quán)所有 2017 華為技術(shù)第31頁驗證配置結(jié)果 在賬號列表中可以通過搜索功能搜索到同步的賬號。版權(quán)所有 2017 華為技術(shù)第32頁思考題1. 用戶管理可以使用以下哪些賬號進行認證？（A. 普通賬號認證B. AD/LDAP賬號認證C. 移動證書帳號D. 第三方RADIUS服務(wù)器帳號）賬號E.版權(quán)所有 2017 華為技術(shù)第33頁本章總結(jié) 介紹了用戶管理的基本概念和原理 典型的配置舉例版權(quán)所有 2017 華為技術(shù)第34頁更多信息 Agile Controller-Campus V1R3C00產(chǎn)品文檔p /enterprise/productNewOffering?lang=z h&idAbsPath=7919710|21782050|22318419|22318457|21085964 &tab=doc&docType=DOCTYPE0 Agile Controller-Campus多媒體視頻p /enterprise/zh/sdn-controller/agile- controller-campus-pid-21085964/multimedia版權(quán)所有 2017