1.1.1  适用的产品和版本

表1-1     配置示例使用的产品和版本

设备类型

设备型号

版本

防火墙

RG-WALL 1600-Z系列新一代防火墙

RG-WALL 1600-Z-S系列云管防火墙

适用于V5.2-NGFW_NTOS1.0R6或更高版本

SMP服务器

RG-SMP安全管理平台

RG-SMP_2.68(p11)_Build20201118

SAM+服务器

RG-SAM+认证计费管理平台

RG-SAM+   ENTERPRISE_4.22(p3)_Build20230614

 

1.1.2  业务需求

联动锐捷身份管理产品是指用户通过RG-SMPRG-SAM+等服务器进行身份认证,服务器通过LINK-SAM协议(私有TCP协议,默认端口为2009)将IP及账号对应的实名用户的上下线消息通告给防火墙。

企业现网中已部署了一台RG-SMP(或RG-SAM+)服务器,内网用户通过该服务器进行身份认证。现希望将服务器上的认证上线用户信息同步到防火墙,通过防火墙查看在线用户信息。

图1-1     联动锐捷身份管理产品组网

 image.png

 

1.1.3  配置限制与说明

l  实名同步到防火墙的用户,不支持在防火墙上强制下线。

1.1.4  前置条件

l  已完成防火墙的基础网络配置,如接口IP、安全域、安全策略等。

l  已完成SMPSAM+服务器的基础网络配置,且服务器与防火墙之间网络互通。

1.1.5  配置步骤

1.    配置服务器

本案例列举了SMPSAM+服务器侧的配置,请根据实际组网环境,选择一种服务器进行配置。

配置SMP服务器

(1)   登录SMP服务器,点击[认证授权管理]>>[管理设备],点击<添加]>进入添加设备页面。

(2)   在设备IP后的输入框中输入防火墙IP地址,设备模板配置选择“RG-ACE设备”。

image.png

 

(3)   点击<添加>

(4)   在管理用户模板中,找到对应的用户模板,点击<编辑>,进入下述页面:

在网络流量控制策略名称中添加对应组名。

image.png

 

(5)   点击<确认>保存配置。

配置SAM+服务器

(1)   登录SAM+服务器,点击[系统管理]>>[设备管理],点击<添加>]后,进入添加设备页面。

(2)   在设备IP后的输入框中输入防火墙IP地址,设备类型选择“Web网关认证设备”,具体型号选择“V5及以后”,联动端口配置为“2009”。

image.png

 

(3)   点击<保存>后,在接入控制管理中,选择对应的接入控制策略,增加“网关策略名称”,如下图所示:

image.png

 

(4)   设置完成后,点击<保存>按钮。

2.    配置防火墙

(1)   点击[系统]>>[联动系统]>>[联动身份系统],进入实名联动页面。

(2)   点击image.png开启实名联动功能,选择联动类型为接收实名信息,联动系统为锐捷身份管理产品。TCP端口需和锐捷身份管理产品的端口保持一致,本例使用默认的端口号2009

注意:在实名联动场景下,与锐捷身份管理产品的对接只能作为非NAS场景。

 

image.png

   

1.1.6  验证配置结果

l  登录防火墙Web管理页面,点击[系统]>>[联动系统]>>[联动身份系统],可查看到已连接的服务器IP地址。

image.png

 

l  SMPSAM+服务器有用户上线时,在防火墙[对象]>>[用户认证]>>[在线用户]页面可以查看到上线的用户信息。

1727689054927061383.png    注意

实名同步的用户所属组由系统自动创建,组名与SMP/SAM+设备上用户所属部门名称一致。


image.png