参考：

http://www.h3c.com/cn/d_201808/1103107_30005_0.htm

您好，请知：

可以参考如下配置举例：

3  配置举例

3.1  组网需求

如图1所示，某公司的财务部、工程部和生产部实行用户认证上网，其网段分别是172.16.1.0/24、172.16.2.0/24和172.16.3.0/24。内网Radius服务器的地址为172.16.0.10/24、LDAP服务器的地址为172.16.0.20/24。使用F1000-C8102设备的ge0和ge1接口透明模式部署在网络中，在F1000-C8102上配置用户认证功能。具体要求如下：

·     财务部进行Web认证上网，用户名和密码存储在F1000-C8102设备本地。

·     工程部进行Web认证上网，用户名和密码存储在Radius服务器上。

·     生产部进行Web认证上网，用户名和密码存储在LDAP服务器上。

·     财务部、工程部和生产部的每个Web认证用户需要支持两个终端同时并发登录，要求用户成功登录后跳转到http://www.baidu.com。

图1 用户认证功能配置组网图

3.2  配置思路

·     配置Radius和LDAP服务器对象，设备上的相关参数配置需要和服务器保持一致。

·     配置地址对象。

·     配置本地用户，在配置时建立本地用户和服务器之间的绑定关系，用户名需要和服务器上的用户名保持一致。

·     配置用户策略触发认证，配置IPv4策略允许上网。

3.3  配置注意事项

·     F1000-C8102设备配置Web认证时，允许用户的TCP三次握手报文通过，当检测到用户HTTP报文时拦截并弹出认证页面。所以，在使用Web认证功能时，需要保证终端可以进行正常的HTTP访问。

·     如果需要实现访问某些资源时免Web认证，请在对应用户策略的目的地址对象中配置排除地址，将需要免认证访问的IP地址排除。

3.4  配置步骤

3.4.1  配置F1000-C8102产品

1. 登录Web网管

如图2所示，使用http或https的方式登录F1000-C8102设备的Web网管，默认的用户名和密码是admin/admin，输入验证码，并点击<登录>按钮。

图2 登录H3C 设备 Web网管

2. 添加服务器

(1)     配置工程部Radius服务器

如图3所示，进入“用户管理>认证服务器> Radius”，点击<新建>，配置“服务器地址”为172.16.0.10，“服务器密码”和“端口”需要和Radius服务器保持一致，点击<提交>。

图3 添加工程部radius服务器

(2)     配置生产部LDAP服务器

如图4所示，进入“用户管理>认证服务器>  LDAP”，点击<新建>，配置“服务器地址”为172.16.0.20，“端口”和“通用名标识”和“Base DN”需要和LDAP服务器保持一致，绑定方式选择“简单”，点击<提交>。

图4 添加生产部LDAP服务器

3. 配置Web认证用户

(1)     配置市场部本地认证用户

如图5所示，进入“用户管理>用户”，点击<新建>，配置用户名称为“user1”，“认证方式”配置为本地认证，配置和确认密码后，在“启用”上打钩，点击<提交>。

图5 配置市场部本地认证用户

(2)     配置工程部Radius认证用户

如图6所示，进入“用户管理>用户”，点击<新建>，配置用户名称为“user2”，“认证方式”配置为Radius，在“启用”上打钩，点击<提交>。

图6 配置工程部Radius认证用户

(3)     配置生产部LDAP认证用户

如图7所示，进入“用户管理>用户”，点击<新建>，配置用户名称为“user3”，“认证方式”配置为LDAP，在“启用”上打钩，点击<提交>。

图7 配置生产部LDAP认证用户

如图8所示，添加完成的认证用户对象配置如下。

图8 Web认证用户对象配置完成

4. 配置用户认证地址对象

(1)     配置财务部地址对象

如图9所示，进入“资源管理>地址”，点击<新建>，命名为“财务部地址对象”，“地址项目”选为子网地址，配置地址为172.16.1.0/24，点击<提交>。

图9 配置财务部地址对象

(2)     配置工程部地址对象

如图10所示，进入“资源管理>地址”，点击<新建>，命名为“工程部地址对象”，“地址项目”选为子网地址，配置地址为172.16.2.0/24，点击<提交>。

图10 配置工程部地址对象

(3)     配置生产部地址对象

如图11所示，进入“资源管理>地址”，点击<新建>，命名为“生产部地址对象”，“地址项目”选为子网地址，配置地址为172.16.3.0/24，点击<提交>。

图11 配置生产部地址对象

如图12所示，创建完成的地址对象配置如下。

图12 用户认证地址对象配置完成

5. 配置Web认证参数

如图13所示，进入“用户管理>认证设置>本地Web认证”，勾选“允许重复登录”，配置“允许登录数”为2，配置重定向URL为http://www.baidu.com，点击<提交>。

图13 配置Web认证

6. 配置IPv4策略

如图14所示，进入“防火墙>安全策略>IPv4安全策略”，点击<新建>，保持所有默认选项，新建一条全部允许策略。

图14 配置IPv4策略

7. 配置用户策略

(1)     配置财务部用户策略

如图15所示，进入“用户管理>认证策略”，点击<新建>，源地址配置为“财务部地址对象”，相关行为配置为“本地Web认证”，其他选项保持默认，点击<提交>。

图15 配置财务部用户策略

(2)     配置工程部用户策略

如图16所示，进入“用户管理>认证策略”，点击<新建>，源地址配置为“工程部地址对象”，相关行为配置为“本地Web认证”，其他选项保持默认，点击<提交>。

图16 配置工程部用户策略

(3)     配置生产部用户策略

如图17所示，进入“用户管理>认证策略”，点击<新建>，源地址配置为“生产部地址对象”，相关行为配置为“本地Web认证”，其他选项保持默认，点击<提交>。

图17 配置生产部用户策略

如图18所示，添加完成的用户策略配置如下。

图18 用户策略配置完成

8. 配置Radius服务器

如图19所示，以WinRadius为例搭建Radius服务器，点击<操作>，配置用户名为user2，密码为123456，点击<确定>。

图19 配置Radius服务器

9. 配置LDAP服务器

如图20所示，在LDAP服务器上配置Common Name和Sumname为user3，User Password为123456。

图20 配置LDAP服务器

3.5  验证配置

如图21所示，在每个网段使用终端进行HTTP访问，弹出如下本地Web认证页面，填写用户名和密码进行认证。

图21 本地Web认证页面

如图22所示，财务部（172.16.1.0/24）本地用户user1测试认证成功。

图22 财务部本地Web认证成功

如图23所示，工程部（172.16.2.0/24）Radius联动用户user2测试认证成功。

图23 Radius联动用户Web认证成功

如图24所示，生产部（172.16.3.0/24）LDAP联动用户user3测试认证成功。

图24 LDAP联动用户Web认证成功

如图25所示，用户Web认证通过后跳转到配置的http://www.baidu.com。

图25 Web认证通过后重定向到www.baidu.com

3.6  配置文件

!

admin auth certificate

radius-server Radius 172.16.0.10 secret kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN 1812

ldap LDAP

 ldap 172.16.0.20 389

 cnid cn

 dn ou=test_1,dc=domain1,dc=com1

 bindtype simple

!

address 财务部地址对象

 ip subnet 172.16.1.0/24

!

address 工程部地址对象

 ip subnet 172.16.2.0/24

!

address 生产部地址对象

 ip subnet 172.16.3.0/24

!

user user1 11

 enable

 enable authenticate

 authenticate local-key kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN

!

user user2 12

 enable

 enable authenticate

 authenticate radius Radius

!

user user3 13

 enable

 enable authenticate

 authenticate ldap LDAP

!

user-policy any any 财务部地址对象 any always local-webauth 1

user-policy any any 工程部地址对象 any always local-webauth 2

user-policy any any 生产部地址对象 any always local-webauth 3

!

policy any any any any any any any always noaudit 1

policy default-action permit

policy white-list enable

!

user-webauth login-multi number 2

user-webauth hello-url http://www.baidu.com

!user-portal-server