ICG产品知识系列培训(6)用户识别与认证功能操作培训文档使用注意事项：自行学习本文档时请结合设备的帮助一起使用具体的操作细节请查看设备的联机帮助文档会对帮助中没有描述清楚的地方进行有效说明文档会对操作配置点的目的意义进行解释文档导读文档预期效果说明阅读本文档之后你应该可以掌握的内容：掌握用户识别与认证的专业术语的含义掌握ICG可以实现的户识别与认证的范围能够树立清晰操作前的思路能够灵活、准确的配置本功能有效的实现客户网络环境下的需求能够通过有效的手段检验已经配置的功能的正确性能够对该功能出现的异常情况有一定的排查思路重要名词解释名词解释：（认证识别的3种机理）单点登录（网康叫透明识别）：指客户原来就存在用户身份的管理系统ICG可利用原有的用户管理数据在ICG上线后上网的用户端人员不需要安装任何客户端、不需要进行附加的新的身份认证ICG就可以识别出产生网络行为的人的用户名。联动认证（网康叫第三方认证）：指客户原来存在用户身份的管理系统ICG可利用原有的用户管理数据在ICG上线后上网的用户端人员需对ICG弹出的认证狂输入原有用户管理系统的用户名密码或者安装待填用户名密码的客户端使得ICG可以识别出产生网络行为的人的用户名并应用到后期的策略和日志中（因为部分环境下无法实现单点登录所以需要联动认证）名词解释：本地认证：指客户不使用或没有已经存在的用户管理系统仅在ICG设备上重新建立用户组织架构并且通过ICG本地的自行建立用户组织架构识别网络行为产生者的用户名（认证识别的3种实现手段）用户识别：上网客户端用户无需输入用户名密码无需安装客户端即可实现身份的识别客户端认证：上网用户需要安装客户端才可以识别用户的身份Web认证：上网用户在上网时需要先通过IE等浏览器弹出的认证框输入用户名密码输入完毕后才能识别上网用户的身份名词解释：用户导入：是指不采用手工逐条的方式建立ICG上的组织架构而是通过已经存在的用户数据（用户信息文档现有用户管理系统）批量自动的写入到ICG系统中完成组织架构的建立。不进行用户导入日志中依旧可以体现用户信息但将无法在策略中引用用户信息。混合认证：是指对同一个/多个主机（IP）可以串行的进行多种身份识别与认证方式第一个正确匹配的识别认证信息中的身份信息将作为该用户的身份。认证网段：是指指定的认证方式生效的网段。超出该网段的范围指定的认证识别方式将不生效时间有效期（自动下线配置）：是指认证通过后多长时间按内该认证失效也就是该用户和对应IP对应关系解除。如果是固定的一个时间则表示从认证通过后开始计算固定的时间后这个对应关系解除。如果是不活动后的一个时间则表示认证通过后如果在一段时间内用户没有报文通过ICG则认证对应关系解除而有效期内一旦有报文通过自动从这一刻开始重新计算有效期。名词解释：Kerberos：是一种网络认证协议其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。Kerberos作为一种可信任的第三方认证服务是通过传统的密码技术（如：共享密钥）执行认证服务的。微软的AD域采用的是Kerberos协议PPPOE：一种使用在ADSL技术上的协议可以使得以太网报文中携带用户认证信息。H3CCAMS锐捷SAM：是上述两个公司的准入系统的用户身份识别系统可以识别用户名主机mac连接的交换机ID连接的交换机端口等。名词解释：嗅探器：是一种在认证服务器上的探针软件可以和ICG联动实现基于IP获取用户名主要用于单点登录技术RADIUS：RemoteAuthenticationDialInUserService远程用户拨号认证系统由RFC2865RFC2866定义是目前应用最广泛的AAA协议。普通电话上网、ADSL上网、小区宽带上网、IP电话、移动电话预付费等业务。最近IEEE提出了802.1x标准名词解释：802.1x：协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。主要用于准入技术以及无线以太网的接入认证原有认证系统在ICG外侧：用户原有认证系统的认证过程报文需要通过ICG后才到达原有的认证系统。原有认证系统在ICG内测：用户原有认证系统的认证过程报文不会通过ICG就可以到达原有的认证系统名词解释：第三方用户：当一个用户名被ICG获取后通过遍历组织架构没有找到该用户名则该用户名被放置在第三方用户中。IP临时用户：当这个IP为源地址的报文通过了ICG通过对组织架构遍历后没有找到该IP则该IP被放置在IP临时用户中。ICG用户认证与识别功能总体框架建立用户组织架构（实现在策略中引用用户信息）IP方式建立组织架构LDAP同步方式建立组织架构用户信息文件方式建立组织架构用户认