Verschillende privileges verkrijgen door RADIUS-authenticatie: Verschillende privileges verkrijgen door RADIUS-authenticatie: In de ZyWALL USG kunt u lokale gebruikers configureren met verschillende privileges zoals admin, limited-admin, gebruikers en gasten. Hierdoor kunnen gebruikers verschillende privileges hebben wanneer ze inloggen op de USG. Voor ext-gebruikersaccounts, die zijn geauthenticeerd door een externe RADIUS-server, stelt de USG het recht voor het account standaard in op "gebruiker" als de RADIUS-server niet over de gebruikerstype-informatie beschikt. Hoe wijzen we het gebruikerstype zoals gedefinieerd op de USG toe aan het ext-gebruikersaccount op de RADIUS-server, zodat de USG het gebruikerstype kan krijgen zodra een RADIUS-gebruiker is geverifieerd? In deze handleiding laten we u zien hoe u een leverancierspecifiek kenmerk configureert om het gebruikerstype in te stellen voor elke gebruikersgroep op de RADIUS (NPS) -server.
Configuratiegids:
1. Voorwaarden
RADIUS-server: Windows Server 2008 R2
Maak drie groepen op de RADIUS-server: csoadmin, csosecurity en csoguest. Voeg leden toe aan elke groep.
2. Te bereiken doelen
Wijs het gebruikerstype toe voor elke gebruikersgroep op de RADIUS-server.
RADIUS-serverconfiguratie
1. Ga naar Beheerderstools> Netwerkbeleidsserver .
2. Selecteer CSO_admin en ga naar Eigenschappen .
3. Ga naar Instellingen> RADIUS-kenmerken> Leveranciersspecifiek . Klik op de knop Toevoegen .
4. Selecteer Leveranciersspecifiek en klik op de knop Toevoegen .
5. Klik op de knop Toevoegen .
6. Voer de leverancierscode van ZyXEL in: 890 . Klik op de knop Attribuut configureren .
7. U moet het gebruikerstype, de leasetijd en de hersteltijd in elk kenmerk configureren.
Op de ZyXEL USG-serie ondersteunen we vier soorten gebruikers: admin, limited-admin, gebruiker en gast, Support.
In dit voorbeeld stellen we "admin" in als het privilege van deze groep.
3. Gebruikerstype
Door leverancier toegewezen kenmerknummer: 1 Kenmerkindeling: String
Kenmerkwaarde: admin
Huurperiode
Door leverancier toegewezen kenmerknummer: 2 Kenmerkindeling: String
Kenmerkwaarde: 0 ~ 1440
Opnieuw tijd
Door leverancier toegewezen kenmerknummer: 3 Kenmerkindeling: String
Kenmerkwaarde: 0-1440
8. Gebruikerstype, lease-time en reauth-time zijn geconfigureerd in elk kenmerk voor de groep CSO_admin.
9. Klik op de knop Toepassen om de privilege-instelling te voltooien.
10. Herhaal stap 1 tot en met 9 om de leveranciersspecifieke kenmerk configuratie voor Netwerkbeleid CSO_guest en CSO_support te voltooien.
4. Verificatie
Gebruik de webverificatie om het gebruikerstype van de ingelogde gebruiker te controleren.
Topologie
1. Plaats een vinkje in het selectievakje Webverificatie inschakelen op de USG.
2. Ga naar CONFIGURATIE> Object> AAA-server> RADIUS en configureer de RADIUS-server op de USG
3. Ga naar CONFIGURATIE> Object> AAA-server> RADIUS en configureer de RADIUS-server op de USG
4. Gebruik het account op gastniveau "CSO_guest" en het account op beheerdersniveau "Bob" om respectievelijk in te loggen op het apparaat
Testresultaat voor account "CSO_guest"
Zonder leveranciersspecifieke kenmerken te configureren voor de groep van het account "CSO_guest", behoort het tot het type "Gebruiker" wanneer u de ingelogde gebruikers in de USG gaat controleren.
Na het volgen van de configuratiegidsen om het leveranciersspecifieke kenmerk voor de groep "CSO_guest" in te stellen en hetzelfde gastniveau-account "CSO_guest" te gebruiken om opnieuw in te loggen op het apparaat, wordt het gebruikerstype "Gast"
Testresultaat voor account "Bob"
Zonder leveranciersspecifieke kenmerken te configureren voor de groep van het account "Bob", behoort het tot het type "Gebruiker" wanneer u de ingelogde gebruikers in de USG gaat controleren.
Na het volgen van de configuratiegids om het leverancierspecifieke kenmerk voor de groep "CSO_admin" in te stellen en met hetzelfde beheerdersaccount "Bob" om opnieuw in te loggen op het apparaat, wordt het gebruikerstype "Beheerder".
5. Conclusie
Door deze handleiding te volgen, kunt u net als de lokale gebruikers verschillende gebruikerstypen toewijzen aan RADIUS-groepsaccounts op basis van hun privileges. ZyWALL USG zal dan het gebruikerstype, de leasetijd en de auth-tijd ophalen van de RADIUS-server zodra de ingelogde gebruiker is geverifieerd, die werd gebruikt om de toegang tot services in de USG te controleren.
Als je problemen tegenkomt, probeer het dan op te lossen met de volgende gids: