1.    简介

通过实名同步功能,可以将通过本设备认证的用户信息发送给其他设备(锐捷安全和网关产品)或第三方定制服务器;也可以让本设备接收认证服务器(锐捷身份管理产品、深澜)或其他认证设备发来的认证用户信息。实现不同用户认证系统之间的实名信息同步。

联动系统阻断内网功能,支持联动身份管理系统(SAM+或深澜)对风险用户或终端进行封禁,禁止内网黑名单用户/MAC在二/三层交换机或集成AC上认证上线,从而有效防止风险在内网的扩散。设备通过以下几种途径,将需要阻断的用户/MAC黑名单发送给第三方身份管理系统(SAM+或深澜):

l  手动创建的用户/MAC黑名单

l  通过安全日志阻断的用户或终端(MAC

l  通过会话日志阻断的用户或终端(MAC

l  通过URL审计日志阻断的用户或终端(MAC

*     说明

若要阻断用户,可联动深澜或者SAM+服务器进行阻断;

若要阻断终端MAC,只能联动深澜服务器进行阻断,不支持联动SAM+服务器进行黑名单MAC阻断。

 

2.    配置设备接收实名信息

【应用场景】

其他服务器/设备作为用户认证系统时,本设备接收认证服务器/设备同步过来的用户认证信息。

【前置条件】

两台设备之间,或设备与认证服务器之间网络互通。

【操作步骤】

(1)   点击[系统]>>[联动配置]>>[联动身份系统]菜单项。

(2)   点击开启实名同步功能,设置联动类型为“接收实名信息”。

(3)   配置联动相关信息。

         联动锐捷身份管理系统:配置设备接收来自RG-SAM+认证计费管理平台、RG-SMP安全管理平台或RG-SMP+安全管理平台的用户实名信息。

 

配置项

说明

配置方法

TCP对接端口

本设备与对端认证服务器对接使用的TCP端口。

TCP端口必须与对端保持一致,否则将会导致同步失败。

[示例]

2009

系统连接状态

展示与对端用户认证系统的连接状态。

根据联动状态自动更新。

 

         联动锐捷安全和网关产品:配置设备接收来自其他锐捷设备的用户实名信息。

 

配置项

说明

配置方法

UDP对接端口

本设备与对端设备对接使用的UDP端口。

UDP端口必须与对端保持一致,否则将会导致同步失败。

[示例]

2019

共享密钥

本端设备与对端认证设备通过该密钥封装交互信息。

[示例]

Test12

系统连接状态

展示与对端用户认证系统的连接状态。

根据联动状态自动更新。

 

         联动“深澜”:配置设备接收来自深澜服务器的用户实名信息。

 

配置项

说明

配置方法

UDP对接端口

本设备与对端认证服务器对接使用的UDP端口。

UDP端口必须与对端认证系统保持一致,否则将会导致同步失败。

[示例]

1813

服务器IP地址

认证服务器的IP地址。若配置了该地址,则设备只处理该IP地址服务器发来的报文;若未配置,则处理所有接收到的报文。

[示例]

192.168.21.1

系统连接状态

展示与对端用户认证系统的连接状态。

根据联动状态自动更新。

 

(4)   确认配置无误,点击<应用>按钮。

【后续处理】

l  配置设备联动身份管理产品以接收实名信息(实名同步)时,请在SMPSAM+服务器侧添加设备(请根据实际组网环境,选择一种服务器进行配置)。

         SMP服务器添加设备

*     说明

本节以RG-SMP_2.68(p11)_Build20201118版本的SMP服务器为例,不同版本界面不同,请以实际情况为准。

 

a      登录SMP服务器,点击[认证授权管理]>>[管理设备],点击<添加>,添加网关设备。

b      在设备IP后的输入框中输入网关IP地址,设备模板配置选择“RG-ACE设备”。

 

c      [认证授权管理]>>[管理用户模板]页面下,点击<添加>,创建用户模板;网络流量控制策略名称需要与网关设备上的用户组名称一致。

 

         SAM+服务器添加设备

*     说明

本节以RG-SAM+ ENTERPRISE_4.22(p3)_Build20230614版本的SAM+服务器为例,不同版本界面不同,请以实际情况为准。

 

a      登录SAM+服务器,点击[系统管理]>>[设备管理],点击<添加>进入添加设备页面。在设备IP后的输入框中输入网关的IP地址,设备类型选择“Web网关认证设备”,具体型号选择“V5之前的版本”,联动端口与设备侧配置保持一致(设备侧默认为2009)。

 

b      点击<保存>后,在[接入控制管理]中,选择对应的接入控制策略(若直接新建接入控制策略),设置“网关策略名称”与网关设备上的用户组名称一致。

 

         在深澜服务器添加设备时,详情请咨询深澜技术服务支持。

3.    配置设备发送实名信息

【应用场景】

本设备作为用户认证系统时,将用户认证信息同步给其他的网络设备或指定的服务器。

【前置条件】

两台设备之间,或设备与第三方服务器之间网络互通。

【操作步骤】

(1)   点击[系统]>>[联动配置]>>[联动身份系统]菜单项。

(2)   点击开启实名同步功能,设置联动类型为“发送实名信息”。

(3)   配置联动相关信息。

         联动锐捷安全和网关产品:配置设备向其他锐捷设备发送用户实名信息。

 

配置项

说明

配置方法

接收端IP地址

接收用户认证信息的对端设备的IP地址。

[示例]

192.168.21.2

           UDP对接端口

           本端设备与对端接收用户认证信息设备对接的UDP端口。

           UDP端口必须与对端保持一致,否则将会导致同步失败。

           [示例]

           2019

共享密钥

本端设备与对端接收用户认证信息设备通过该密钥封装交互信息。

[示例]

Test12

           发送源

      默认(自动选路):设备自动选择路由发送用户信息给对端设备。

      接口:设备从指定接口发送用户信息给对端设备。

           [示例]

           默认(自动选路)

 

         联动第三方定制系统:配置设备通过HTTP协议向第三方服务器发送用户实名信息及用户上下线日志。

*   注意

在配置前,请确认第三方服务器支持联动本设备,接收本设备发送的实名同步信息。

 

 

            配置项

            说明

            配置方法

服务器URL

接收用户实名信息的服务器的URL

[示例]

http://10.10.10.10/

共享密钥

本端设备与对端服务器通过该密钥封装交互信息。

[示例]

Test123

 

(4)   确认配置无误,点击<应用>按钮。

4.    配置联动阻断网络

【前置条件】

l  设备与联动的认证服务器之间网络互通。

l  开启实名同步功能,配置设备接收来自认证服务器(SAM+或深澜)的用户实名信息。若联动SAM+阻断用户,则需要配置设备接收来自SAM+的用户实名信息;若联动深澜阻断用户/MAC,则需要配置设备接收来自深澜服务器的用户实名信息。具体配置步骤请参见 配置设备接收实名信息 章节。

【操作步骤】

(1)   点击[系统]>>[联动配置]>>[联动身份系统]菜单项。

(2)   配置联动阻断网络功能。

image.png

 

配置项

说明

配置方法

联动系统

      无:关闭联动系统阻断网络功能。

      SAM+:通过SAM+服务器阻断黑名单用户/MAC

      深澜:通过深澜服务器阻断黑名单用户/MAC

[示例]

SAM+

SAM+

仅当实名同步下配置设备接收实名信息且联动系统选择锐捷身份管理产品时,支持选择该服务器。

服务器IP地址

SAM+服务器的IP地址。与实名同步功能选择的服务器可以相同也可以不同。

更改该服务器IP地址时,会提示用户确认是否仅修改IP地址或是更换服务器:

      仅修改IP地址:不会重新下发身份系统阻断黑名单到服务器。

      更换服务器:重新下发身份系统阻断黑名单到新的服务器。

暂只支持IPv4地址。

[示例]

192.168.1.1

TCP对接端口

本设备与SAM+服务器对接的TCP端口。

需要与服务器端的配置保持一致。

[示例]

8443

用户名

本设备向SAM+服务器建立连接时的凭证,用于验证本设备的身份。

需要与服务器端的配置保持一致。

[示例]

User1

密码

本设备向SAM+服务器建立连接时的凭证,用于验证本设备的身份。

需要与服务器端的配置保持一致。

[示例]

Test123

用户提醒内容

SAM+服务器发送给终端的阻断提醒页面内容。

-

发送源

      默认(自动选路):设备自动选择路由发送用户/MAC黑名单信息给对端服务器。

      接口:设备从指定接口发送用户/MAC黑名单信息给对端服务器。

[示例]

默认(自动选路)

系统连接状态

点击“连通测试”检测与对端服务器的连接状态,确认连通正常后,再应用配置。

-

深澜

仅当实名同步下配置设备接收实名信息且联动系统选择深澜时,支持选择该服务器。

服务器IP地址

深澜服务器的IP地址。与实名同步功能选择的服务器可以相同也可以不同。

当更改该服务器IP地址时,会提示用户确认为仅修改IP地址还是更换服务器:

      仅修改IP地址:不会重新下发身份系统阻断黑名单到服务器。

      更换服务器:会重新下发身份系统阻断黑名单到新的服务器。

暂只支持IPv4地址。

[示例]

192.168.1.1

TCP对接端口

本设备与深澜服务器对接的TCP端口。

需要与服务器端的配置保持一致。

[示例]

8443

AppID

本设备向深澜服务器建立连接时的凭证,用于验证本设备的身份。

需要与服务器端的配置保持一致。

[示例]

1234567890abcdef

AppSecret

本设备向深澜服务器建立连接时的凭证,用于验证本设备的身份。

需要与服务器端的配置保持一致。

[示例]

6f4f7b5c5b5e6f4f7b5c5b5e6f4f7b5c5b5e

发送源

      默认(自动选路):设备自动选择路由发送用户/MAC黑名单信息给对端服务器。

      接口:设备从指定接口发送用户/MAC黑名单信息给对端服务器。

[示例]

默认(自动选路)

系统连接状态

点击“连通测试”检测与对端服务器的连接状态,确认连通正常后,再应用配置。

-

 

(3)   确认配置无误,点击<应用>按钮。