管理驗證伺服器

使用者和物件檢視 >使用者管理部分 >身分驗證伺服器頁面可定義和檢視不同的驗證伺服器,使用者可在定義外部使用者資料庫和該資料庫中使用者的驗證方法。

您可以配置以下類型的身份驗證:

  • RADIUS 伺服器-定義主要和次要 RADIUS 伺服器的詳細資訊。Quantum Spark 設備可以連線到這些服務器,並識別其中定義的使用者並通過它們進行身份驗證。

    注意:在 R81.10.10 中, RADIUS 或 TACACS 設定為管理員存取時不支援雙重認證。

  • TACACS+ 服務器 - TACACS+ 是一種訪關閉 用於封鎖流量和檔案並顯示UserCheck訊息的UserCheck規則動作。使用者可以同意允許活動。控制機制,可以通過網絡上的單獨服務器對用戶進行身份驗證和授權。

    註解:

    • 在 R81.10.X 發行中,此功能從 R81.10.05 版本開始可用。

    • VPN檢視 >遠端存取部分 >身份驗證伺服器頁面不會顯示TACACS+ 伺服器部分。

  • Active Directory 網域:定義包含組織使用者資訊的 Active Directory 網域的詳細資訊。使用者感知功能可以使用這些詳細資料,為記錄目的和使用者基於原則的設定提供無縫辨識使用者。這可用於 VPN 遠端存取使用者驗證。在這種情況下,需要在VPN檢視 >遠端存取部分 >遠端存取使用者頁面額外設定。

設定 RADIUS 伺服器

RADIUS 伺服器可用於:

  • 定義具有遠端存取權限的使用者資料庫。這類使用者都由 RADIUS 伺服器定義和驗證。

  • 定義管理者。請參閱使用者和物件>使用者管理部分 >管理員頁面。

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. “RADIUS 伺服器”部分,點擊 “配置”

  3. “主要” 頁籤中,輸入以下資訊:

    • IP 位址-RADIUS伺服器的 IP 位址。

    • 連線埠-RADIUS 伺服器與使用者端進行通訊時所使用的連線埠號碼。預設值為 1812。

    • 共享密鑰 - RADIUS 伺服器和 Quantum SparkAppliance 之間的密鑰(用於資訊“加密”的預先共享訊息)。

      選擇 「顯示」 以檢視共享密鑰。

      注意:密碼或共用金鑰中不可使用以下字元:{ } [ ] ` ~ | ‘ " \ (最大字數:255)

    • 逾時(秒):與 RADIUS 伺服器通訊的逾時值(以秒為單位)。逾時預設值為 3 秒。

    注意-如果您想要移除您在 IP 位址共用密碼中輸入的資訊,可以點擊 [清除]。

  4. 次要 頁籤上,對次要 RADIUS 伺服器器重複步驟 2(如果適用)。

  5. 點擊套用

    主要伺服器和次要伺服器 (如果已定義) 會新增至頁面上的 RADIUS 區段。

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. 點擊您要編輯的 RADIUS 伺服器的 IP 位址連結。

  3. 進行必要的變更。

  4. 點擊套用

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. 在要刪除的 RADIUS 伺服旁邊,點擊 刪除 連結。

  1. 按一下使用者和物件檢視 >使用者管理部分 > 管理員頁面。

  2. “管理員 RADIUS 身份驗證是”這一行中,點擊“編輯權限”

  3. 選擇為管理員啟用 RADIUS 身份驗證

  4. 選擇其中一項:

  5. 點擊套用

  1. 按一下使用者和物件檢視 >使用者管理部分 >管理員頁面。

  2. 點擊 “RADIUS 使用者的遠端訪問權限已禁用”這句話中的連結。

  3. 選擇 為使用者識別、遠端訪問和熱點啟用 RADIUS 身份驗證

  4. 可選:選擇「遠端存取僅使用特定的 RADIUS 群組」

    輸入適用的 RADIUS 群組。

  5. 點擊套用

  6. VPN檢視 >遠端存取部分 >遠端存取使用者頁面中設定 RADIUS 使用者的遠端存取權限。

設定TACACS+伺服器

註解:

  • 在 R81.10.X 發行中,此功能從 R81.10.05 版本開始可用。

  • TACACS+ 僅用於管理,不用於遠端訪問身份驗證。

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. TACACS+ 伺服器部分中,點擊 配置

  3. “主要” 頁籤中,輸入以下資訊:

    • IP 位址 - TACACS+ 伺服器的 IP 位址。

    • 連線埠-TACACS+ 伺服器與使用者端通訊時所使用的連線埠號碼。預設值為 49。

    • 共用密碼 - TACACS+ 伺服器與 Quantum Spark 設備之間的密碼 (用於訊息「加密」的預先共用資訊)。

      選擇 「顯示」 以檢視共享密鑰。

      注意:密碼或共用金鑰中不可使用以下字元:{ } [ ] ` ~ | ‘ " \ (最大字數:255)

    • 逾時 (秒)-與 TACACS+ 伺服器通訊的逾時值 (以秒為單位)。逾時預設值為 3 秒。

    注意-如果您想要移除您在 IP 位址共用密碼中輸入的資訊,可以點擊 [清除]。

  4. 次要 頁籤上,對次要 TACACS+ 伺服器重複步驟 2(如果適用)。

  5. 點擊套用

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. 在要刪除的 TACACS+ 伺服器旁邊,點擊 刪除 連結。

  1. 按一下使用者和物件檢視 >使用者管理部分 >管理員頁面。

  2. 管理員 TACACS+ 身份驗證為行中,點擊 編輯權限

  3. 選取「為系統管理者啟用 TACACS+ 驗證」。

  4. 選擇其中一項:

    • 使用 TACACS+ 伺服器上定義的角色

    • TACACS+ 使用者使用預設角色

      預設管理員角色中,選擇適用的角色。

  5. 點擊套用

設定 Active Directory 伺服器

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. “Active Directory” 部分中,點擊 “新增”

  3. 輸入以下資訊:

    • 網域:網域名稱。

      您無法創建與現有 Active Directory 網域具有相同 網域 的另一個物件。

    • IP 位址-您網域中其中一個網域控制站的 IP 位址。

    • 使用者名稱-使用者必須具有管理者權限,才能簡化組態程序,並使用 Active Directory 中定義的使用者建立以使用者為基礎的原則。

    • 密碼-使用者的密碼。

      注意:密碼或共用金鑰中不可使用以下字元:{ } [ ] ` ~ | ‘ " \ (最大字數:255)

    • 使用者 DN-點擊探索以自動探索代表該使用者之物件的 DN,或手動輸入使用者 DN。

      例如:CN=John James,OU=RnD,OU=Germany,O=Europe,DC=Acme,DC=com

  4. 如果您只想使用 Active Directory 中定義的使用者資料庫的一部分,請選取「僅使用特定分支的使用者群群組」。

    1. 單擊 新增

    2. 在文字欄位的分支完整 DN 中輸入分支。

    3. 點擊套用

  5. 點擊套用

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. Active Directory 部分,選擇 Active Directory 網域。

  3. 單擊 編輯.

  4. 進行適用的更改。

    您無法更改 網域

  5. 點擊套用

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. Active Directory 部分,選擇 Active Directory 網域。

  3. 點擊刪除.

  4. 在確認訊息中點擊 確定

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. “Active Directory” 部分,點擊 “配置”

  3. 選擇適用的選項:

    • 自動同步

    • 手動同步

      注意 - 使用此選項,您可以在可檢視此使用者資料庫的所有位置同步設備已知的使用者資料庫。

      例如:

      • 使用者和物件檢視 >使用者管理部分 >使用者頁面。

      • 存取原則> 檢視 >防火牆部分 >原則頁面 >來源選擇器。

        您無法從 Active Directory 中選擇使用者,只能選擇 Active Directory 使用者群組關閉 指定有相關職責的使用者群組。

        您可以選取本機使用者。

  4. 點擊套用

依預設,不會授予在 Active Directory 中定義的使用者遠端存取權限。相反,在VPN >遠端存取部分 >遠端存取使用者頁面中,可選擇本機或 Active Directory 中定義的所有使用者,並為每個使用者授予遠端存取權限。

  1. 按一下使用者和物件檢視 >使用者管理部分 >身份驗證伺服器頁面。

  2. “Active Directory” 部分,點擊 “Active Directory 用戶的遠端訪問權限在中設置”這句話中的連結。

  3. 選擇 Active Directory 中的所有使用者

    勾選這個選項,無需前往VPN檢視 >遠端存取部分 >遠端存取使用者頁面,並選擇特定使用者。

    請注意,大多數 Active Directory 都包含大量使用者清單,您可能不想將所有遠端存取權限授予他們組織。

    通常會保留「選定的 Active Directory 使用者群組」勾選,並在VPN檢視 >遠端存取部分 > >遠端存取使用者頁面上設定遠端存取權限。

  4. 點擊套用