H3C防火墙开启用户识别问题

您好，需要配置用户导入策略

配置手动导入身份识别用户

配置完用户导入策略后，若需要手动导入身份识别用户和在线用户，则管理员可在“用户导入策略”页面，选择如下功能：

·     手动导入身份识别用户：设备向第三方服务器发起用户信息请求，将服务器上的用户账户信息直接导入本地，并生成对应的身份识别用户。在导入过程中，若某个账户导入失败，则跳过该账户，继续导入。

·     手动导入在线用户：单击此按钮后，设备向指定的第三方服务器发起在线用户请求，实现导入服务器上当前所有在线用户信息的目的。目前，仅支持从H3C iMC的RESTful服务器上导入在线身份识别用户。

参考

基于用户身份的访问控制

基于用户身份的访问控制流程主要包括如下步骤：

1.     用户身份认证：网络接入用户通过一定的认证方式（本地认证、远程服务器认证、单点登录）提供用户名和密码信息，完成身份验证，并成为在线用户。

2.     用户身份识别：设备记录在线用户的用户名和IP地址信息，并与本地存储的用户和用户组配置进行关联，实现IP地址和用户的映射。管理员也可以直接配置用户和IP地址的映射关系，便于无需认证的网络接入用户使用。

3.     业务策略执行：在线用户访问网络服务时，设备识别出用户流量的源IP地址，并根据已建立IP地址和用户的映射关系解析出对应的用户名以及所属的用户组，然后按照业务对用户/用户组的策略配置，对该用户的网络访问权限进行控制。

在线用户

在线用户是指用户身份识别模块管理的上线用户（包括Portal、PPP、IPoE类型）。设备记录的在线用户信息可包括用户名、身份识别域名、IP地址、MAC地址等。

在线用户有以下两种来源：

·     动态生成：

¡     在本设备接入，且通过本地认证或远程服务器认证的在线网络接入用户。用户上线后，用户身份识别模块会在本地身份识别用户数据库中查询该用户名和域名对应的表项，如果查询成功，则会生成一条在线用户表项。

¡     从第三方服务器上导入的在线网络接入用户。导入在线用户信息时，用户身份识别模块会在本地身份识别用户数据库中查询用户名和域名对应的表项，如果查询成功，则会生成对应的在线用户表项。可采用此方式将第三方服务器上的所有在线用户信息导入到本设备进行统一管理和监控。支持的第三方服务器为H3C iMC的RESTful服务器。

·     静态配置：网络管理员手工配置静态类型的身份识别用户表项，它记录用户名和IP地址的绑定关系。一个静态类型的身份识别用户表项创建后，用户身份识别模块会在本地身份识别用户数据库中查询该用户名和域名对应的表项，如果查询成功，则会生成一条静态类型的在线用户表项。一些组网需求下，例如有少量指定人员临时接入网络时，网络管理员希望这些用户无需进行认证也能够在安全特性的管理下访问网络，则可以通过配置静态类型的在线用户满足该需求。

在线用户可被应用模块引用，进行相关业务策略的处理。在线用户表项被删除后，用户身份识别模块将通知应用模块停止该用户相关的业务处理。

在线用户表项将会由于以下原因被删除：

·     管理员手工删除在线用户表项。

·     本设备接入的用户下线后，接入模块通知用户身份识别模块删除对应的在线用户表项。

·     设备重启后，所有动态类型的在线用户表项均被删除。

·     用户身份识别功能关闭，所有在线用户表项均被删除。

·     第三方服务器上用户下线时，服务器会主动通知设备删除相应的在线用户表项。

用户导入策略

用户导入策略用于配置用户身份识别模块从第三方服务器上导入身份识别用户信息的策略，可导入的用户信息包括身份识别用户信息、身份识别用户组信息和在线用户信息。目前，系统支持的可导入的第三方服务器为H3C iMC的RESTful服务器和LDAP服务器。

目前，用户导入策略支持如下几种导入方式：

·     自动导入：采用自动导入方式后，设备首先会从导入策略中指定的服务器上导入服务器上的所有身份识别用户账户信息和所有在线用户信息，然后定期从该服务器上自动导入身份识别用户账户。

·     手动导入：采用手动导入方式后，设备将向导入策略中指定的服务器发起一次连接请求，之后导入服务器上的所有身份识别用户账户信息和在线用户信息。