配置远程访问用户
在VPN >远程访问部分 >远程访问用户页面上,你可以为个人用户和用户组配置远程访问VPN
远程访问客户端(例如Endpoint Security VPN)和安全网关之间的加密隧道。权限。
你可以在用户和对象视图 >用户管理>用户页面上配置用户和用户组。
远程访问用户页面专用于具有远程访问VPN权限的用户。
你可以配置:
-
本地用户
-
本地用户组
-
Active Directory用户(R81.10.15及更高版本)
-
Active Directory用户组
-
活动目的权限
-
Azure AD(现称为Microsoft Entra ID)(版本 R81.10.15及更高版本)
-
RADIUS组
-
RADIUS用户(在R81.10.15及更高版本中)
你还可以按用户、用户组、RADIUS 用户和Active Directory组配置SSL VPN书签。
|
|
最佳做法- 如果未定义身份验证服务器,请单击顶部的Active Directory / RADIUS链接来定义。 |
|
|
说明- 当用户感知关闭时,将不会基于基于浏览器的身份验证和Active Directory查询进行用户识别。 |
观看视频(适用于R81.10.10及更低版本):
为特定本地用户添加远程访问权限
流程:
-
在添加按钮附近,单击向下的箭头 > 单击新建本地用户 。
-
在远程访问选项卡中:
-
在名称字段中,输入用户名。
-
在密码字段中,输入密码。
注意 - 密码最多可以是100个字符。
-
在确认密码字段中,再次输入密码。
-
在电子邮件字段中,输入用户的电子邮件。这是双重身份验证所必需的。
-
在手机号码字段中,输入用户的电话号码。这是双重身份验证所必需的。
-
可选:在注释字段中,输入此用户的适用描述。
-
如果配置临时用户,请选择临时用户。
输入过期日期和时间。
-
选择“远程访问权限”。
从R81.10.15开始,出现了两个附加复选框:
-
可选:选择使用办公模式静态IP地址并输入办公模式所需的IP地址。用户不会获得从网关动态分配的WAN IP地址,而是获得与该用户关联的静态IP地址。
-
可选:选择覆盖全局设置来为每个单独的用户配置策略,而不是在网关上应用设置。
出现两个附加复选框:
-
可选:选择通过VPN路由此用户的所有流量以通过VPN隧道路由此用户的流量。
-
可选:选择启用双重身份验证 (2FA) 强制执行以对此用户强制执行双重身份验证。
选择适用的选项:
-
使用短信/电子邮件
-
使用 Authenticator 应用程序
-
-
-
-
-
可选:在SSL VPN书签选项卡中:
-
单击添加>新本地用户/用户组/Active Directory 组> SSL VPN书签选项卡。
-
在新窗口中,输入新的书签或选择现有的书签。
注意 - 如选择了全局书签,则此书签会一直出现。
-
点击保存。
-
-
点击保存。
为本地用户组添加远程访问权限
流程:
-
在添加按钮附近,单击向下的箭头 > 单击新用户组 。
-
在远程访问选项卡中:
-
在组名字段中,输入组名。
-
选择“远程访问权限”。
-
通过选择用户列表中的相关复选框或单击新建来创建新用户,选择要添加到组中的初始用户。
你可以在用户列表上方看到小组成员的摘要。
你可以通过点击相关用户名旁边的“X”符号来删除成员。
-
-
可选:在SSL VPN书签选项卡中:
-
单击添加>新本地用户/用户组/Active Directory 组> SSL VPN书签选项卡。
-
在新窗口中,输入新的书签或选择现有的书签。
注意 - 如选择了全局书签,则此书签会一直出现。
-
点击保存。
-
-
点击保存。
向Active Directory用户添加远程访问权限
向Active Directory特定用户添加远程访问权限的过程
|
|
说明 - 此功能在R81.10.15及更高版本中可用。 |
-
在添加按钮附近,单击向下箭头 > 单击Active Directory > 单击Active Directory用户。
-
如果没有定义活动目录,系统会提示你配置一个。
有关配置Active Directory的详细信息,请参阅配置远程访问的身份验证服务器。
-
在名称字段中,输入在Active Directory中配置的用户名。
-
在电子邮件字段中,输入Active Directory中配置的用户电子邮件。
-
可选:选择覆盖全局设置来为每个单独的用户配置策略,而不是在网关上应用设置。
出现两个附加复选框:
-
可选:选择通过VPN路由此用户的所有流量以通过VPN隧道路由此用户的流量。
-
可选:选择启用双重身份验证 (2FA) 强制执行以对此用户强制执行双重身份验证。
选择适用的选项:
-
使用短信/电子邮件
-
使用 Authenticator 应用程序
当此远程访问VPN用户首次连接到Quantum Spark网关时,凭证将发送到Active Directory服务器。在获得Active Directory服务器确认后,Quantum Spark Gateway会通过短信或电子邮件发送一次性代码,或者用户必须从验证器应用程序输入一次性代码。
-
-
-
点击保存。
向Active Directory用户组添加远程访问权限的过程
-
做其中的一个。
-
在工具栏中,单击编辑权限 。
-
在添加按钮附近,单击向下箭头 > 单击Active Directory > 单击Active Directory组。
-
-
在添加按钮附近,单击向下箭头 > 单击Active Directory > 单击Active Directory组。
-
如果没有定义活动目录,系统会提示你配置一个。
-
当活动目录被定义后,你会看到一个在服务器中定义的可用用户组的列表。
-
选择其中一个用户组。
-
点击保存。
向Active Directory中定义的所有用户添加远程访问权限的过程
-
在添加按钮附近,单击向下的箭头 > 单击Active Directory > 单击Active Directory权限 。
-
选择适用的选项:
-
Active Directory中的所有用户
说明- 大多数Active Directory域都包含大量用户列表。考虑将远程访问VPN权限仅限于特定用户组。
-
选定的Active Directory用户组(默认设置)
说明- 需要额外的配置。
-
-
点击保存。
-
如果你选择了选定Active Directory用户组选项,则请按照向Active Directory特定用户添加远程访问权限的过程。
向Azure AD(现称为Microsoft Entra ID)用户组添加远程访问权限的过程
|
|
说明 - 此功能在R81.10.15及更高版本中可用。 |
-
在添加按钮附近,单击向下箭头 > 单击Active Directory > 单击Azure AD组 。
-
在名称字段中,输入在Microsoft Entra ID中配置的用户组名称。
重要提示- 在Quantum Spark Gateway上,此名称必须始终以前缀“
EXT_ID_”开始。示例:
如果Azure AD组名为“
VPN_Users”,那么你必须输入“EXT_ID_VPN_Users”。 -
可选:在注释字段中,输入此Microsoft Entra ID用户组的适用描述。
-
可选:选择覆盖全局设置来为每个单独的用户配置策略,而不是在网关上应用设置。
可选:选择通过VPN路由此Azure AD组的所有流量以通过 VPN 隧道路由此用户组的流量。
更多信息,请参阅为远程访问VPN配置SAML身份验证..
为RADIUS用户添加远程访问权限
向RADIUS用户组添加远程访问权限的过程
-
在添加按钮附近,单击向下箭头 > 单击RADIUS > 单击RADIUS组。
-
选择“为用户感知、远程访问和Hotspot启用RADIUS认证”。
-
可选:选择对于远程访问仅使用特定的RADIUS组 。
在用于身份验证的RADIUS 组字段中,输入适用的RADIUS组。
-
点击保存。
向RADIUS特定用户添加远程访问权限的过程
|
|
说明 - 此功能在R81.10.15及更高版本中可用。 |
-
在添加按钮附近,单击向下箭头 > 单击RADIUS > 单击RADIUS用户(双重身份验证) 。
-
在名称字段中,输入用户名。
-
在电子邮件字段中,输入用户的电子邮件。这是双重身份验证所必需的。
-
在电话号码字段中,输入用户的电话号码。这是双重身份验证所必需的。
-
可选:选择覆盖全局设置来为每个单独的用户配置策略,而不是在网关上应用设置。
出现两个附加复选框:
-
可选:选择通过VPN路由此用户的所有流量以通过VPN隧道路由此用户的流量。
-
可选:选择启用双重身份验证 (2FA) 强制执行以对此用户强制执行双重身份验证。
选择适用的选项:
-
使用短信/电子邮件
-
使用 Authenticator 应用程序
-
-
-
点击保存。
删除现有用户或用户组
流程:
-
单击用户或用户组对象。
-
点击“删除”。
-
在确认信息中点击“确定”。