用户识别

管理 > IWSA 配置 > 用户识别 | 用户识别

用户识别方法

IWSA 支持多种用户识别方法：

IP 地址（缺省选项）
用户/组名认证 (LDAP)
注意：更改用户识别方法会影响可能已创建的任何现有策略以及日志和报告。

在使用 IWSA 时，如果您要使用基于用户/组的策略且在网络上拥有 LDAP 服务器，请选择“用户/组认证设置”。请联系 LDAP 管理员，以了解有关各种 LDAP 属性设置的信息。

选择用于报告、日志、通知消息和创建扫描策略的首选用户识别方法。

用户/组认证设置

基本（一个 Active Directory 服务器）

利用 IWSA 的增强型 LDAP 功能，可以自动检测 Microsoft Active Directory 的多个设置，从而简化配置。许多用户使用 Microsoft Active Directory；对于具有不太复杂的配置的用户，这可能是最佳选择。

在基本视图下，只有以下设置是必需的：

域名
服务帐户
密码

您的 LDAP 供应商必须使用 Microsoft Active Directory，自动检测功能才能正常工作。IWSA 会自动检测任意给定域内的所有可用服务器，然后针对您的配置和其他重要设置选择最适合的服务器。

IWSA 按如下所示进行自动检测：

通过 DNS 查询获取 LDAP 服务器列表
过滤掉未连接的服务器
当多个 GC 或 DC 位于 LDAP 服务器中时，会将最快的 GC 或 DC 选为主 LDAP 服务器。
域名将转换为 BDN。
生成 Kerberos 信息并对其进行认证。

高级（其他或多个 LDAP 服务器）

使用此选项可进行精细或复杂的 LDAP 配置。除了 Active Directory 之外，“高级”视图中还支持其他 LDAP 服务器以及多域林和冗余 LDAP 服务器。您可以为用户/组认证添加多个域。IWSA 针对用户识别和策略实施按顺序查询这些域。

您可以从“高级”视图中添加、移除或编辑域配置，并创建可显示所有配置域的列表。通过单击域名或阵列下方按钮来查看任一域的详细信息。

IWSA 无法检查某个域是否为子域。如果指定两个域，则其中一个将是另一个的子域，但 IWSA 会将这两个域视为独立域。

配置“新的 LDAP 配置”页面：

选择高级 (其他或多个 LDAP 服务器)。
单击添加新域或任何现有 LDAP 域名以查看详细信息。
输入或编辑以下项：
域名
服务器类型
服务帐户
密码
LDAP 服务器主机名
侦听端口号
LDAP 端口号
LDAP 加密
基准标识名 (BDN)
注意：缺省的加密方法是“无”。如果 LDAP 服务器支持 LDAPv3 StartTLS 扩展或通过 SSL 的 LDAP，请选择合适的加密方法。

对于“认证方法”，选择一个满足您期望的方法，然后输入 Kerberos 域或范围、Kerberos 服务器和 Kerberos 端口。
对于“认证高可用性”，可以通过选择启用高可用性来为相同的域启用其他服务器关系。设置服务器关系（轮循机制或故障转移）并输入任何其他备份 LDAP 服务器的名称。

配置一个域是相当重要的步骤。要完成简单配置，请使用“基本”视图中提供的自动检测按钮。它会自动填写表单。您可以基于自动检测配置的输出修改域配置。此按钮仅对“基本”视图中的 Microsoft Active Directory 用户可用。

在某种程度上，认证方法设置取决于 LDAP 供应商。某些认证方法仅对特定供应商有效。下表显示了它们的关系。

与 LDAP 服务器同步

按下此按钮将启动与 LDAP 服务器的手动同步，以同步用户组信息。在成功添加新域后，将会出现此图标。

LDAP 供应商认证方法关系

	Active Directory	OpenLDAP	Sun iPlanet Directory Server	Novell eDirectory
简单	×	√	√	√
Kerberos	√	√	×	√
Digest - MD5	×	√	√	√

IWSA 支持 LDAP 认证的高可用性。您可以指定一个与主 LDAP 服务器共享相同配置的备份 LDAP 服务器。但是，应支持两种高可用性模式：

轮循机制：缺省情况下，IWSA 通过所有 LDAP 服务器交替对用户进行认证。
故障转移：当主服务器关闭时，IWSA 利用其他服务器对用户进行认证。
每个域仅可以配置一个 BDN 和 LDAP 服务器类型，且 BDN 应该不同于其他域。

当支持多个域时，可以使用属于任何域的任何帐户登录。首先，IWSA 检查域名，然后针对匹配的域名服务器认证用户。如果未输入域名，会将第一个域名用作缺省登录域名。

在配置就绪之后，单击保存。单击取消以重新配置。在成功保存配置之后，返回至 LDAP 服务器列表。

在以下条件下无法保存；系统将以相应的错误消息提示您：

LDAP 服务器不存在
未列出 BDN
缺少管理员帐户或密码
当选择高级认证模式时缺少认证信息
未通过 LDAP 连接测试

强制网络门户

IWSA 使用两种认证方法：

标准认证（使用操作系统或浏览器）
强制网络门户 (由 IWSA 传递给浏览器的定制认证页面)

通过选择强制网络门户认证方法，您可以创建定制登录界面页面，当用户首次访问受限网络或用户未被 IWSA 识别时会显示该页面。

高级模式

IWSA 还提供高级模式以创建定制的强制网络门户（通过编写您自己的 HTML 来创建）。但是，必须至少首先将以下 Java 脚本插入到定制的强制网络门户中：

<SCRIPT LANGUAGE="JavaScript">function accesspolicy(){var str1 = window.location.href;//alert(str1);var s=str1.indexOf("?forward=");//alert(s);var d=str1.indexOf("&IP");//alert(d);var uri=str1.substring(s+9,d)+"/$$$GUEST_POLICY$$$";//alert(uri);return uri;}</SCRIPT><form name="loginForm" method="POST" action="com.trend.iwss.gui.servlet.captiveportal"><tr><td>User name:</td><td><input name="username" type="text" class="button" size="24" /></td><td> </td></tr><tr><td>Password:</td><td><input name="password" type="password" class="button" size="24" /></td><td><input name="Submit" type="submit"></td></tr></form><div class="accessmsg" [Display GuestPolicy Message...]>If you are a guest, please select the Guest Access option to access the Internet</div><input name="Access" type="button" onclick="window.location.href=accesspolicy();" [Display GuestPolicy...]/>

显示认证表单、“临时访问”按钮和事件处理程序时需要此 Java 脚本。如果没有此脚本，用户将无法通过认证。

允许临时登录

选中允许临时登录框之后，您可以启用临时访问。启用后，将会显示一个标记为临时的额外按钮。临时用户可以通过选择此按钮来访问 Internet，但是，他们的行为受临时策略控制。当策略列表中启用临时访问时，会自动显示临时策略。否则，临时策略将不可见。

允许临时访问：

选择“强制网络门户 (由 IWSA 传递给浏览器的定制认证页面)”选项。
单击允许临时登录复选框。
您可以对强制网络门户页面的“外观”进行初步设计，并将其保存为 HTML。通过使用颜色、徽标和文本来匹配您企业品牌的外观。复制定制的 HTML 代码并将其粘贴到空框中。使用 <%cred%> 标记显示登录凭证和临时访问按钮。
单击预览登录窗口以查看结果。
单击保存以保存设置。

Cookie 模式

Cookie 模式用于在 NAT 和终端服务器环境中进行用户识别。要使用 Cookie 模式，请确保客户端计算机上已安装 Adobe Flash Player 且已启用浏览器 Cookies。

仅在启用了用户/组认证时，Cookie 模式才可用。

使用强制网络门户登录页面上的“保持登录”选项可使 Cookie“生存期”长达一年。如果未选择“保持登录”选项，则 Cookie“生存期”为一天。

无

（不建议）记录的事件和报告将是匿名的；URL 过滤和其他策略将基于 IP 地址创建。