用户

系统中的用户(User)是指使用设备提供的功能、服务、被设备认证、管理的用户。被设备认证的用户有本地和外部两种。本地用户(Local User)由系统管理员创建,分属于不同的本地认证服务器,储存在系统的配置文件中;外部用户(External User)储存在外部服务器上,例如AD服务器、LDAP服务器等。

为方便管理本地用户,HSM还支持本地用户组功能,将属于同一本地认证服务器的用户划分到不同的用户组中。

为某一本地服务器创建本地用户/用户组后,当该本地服务器随着ZTNA策略规则与ZTNA设备形成了关联关系时,属于该本地服务器的用户/用户组信息也将与相应的ZTNA设备形成关联关系。

本节包含以下内容:

新增本地用户

对于所有本地服务器而言,系统最多支持配置4096个本地用户。新增本地用户,请按照以下步骤进行操作:

  1. 选择“安全设备管理器 > 对象 > 用户 > 本地用户”或“ZTNA管理器 > 对象 > 用户 > 本地用户”。
  2. 在列表左上方的本地服务器下拉菜单中,选择所需的本地服务器,添加属于该本地服务器的用户。
  3. 点击“新增 > 新增用户”,打开<新增用户>页面。

    4. 在该页面进行如下配置。

    选项 说明
    名称 输入用户的名称,最多可输入63个字符。
    密码加密方式 指定用户密码的加密方式,即指定用户密码是否采用可逆加密算法或不可逆加密算法。
    • 可逆:表示系统将使用AES可逆加密算法对用户密码进行加密,在某些认证场景,系统可对密码进行解密后使用。
    • 不可逆:表示系统将使用SHA不可逆加密算法对用户密码进行加密,密码将无法被解密。此时该用户通过CHAP(挑战握手认证协议,L2TP VPN和802.1X中使用该协议)方式将无法认证通过。
    密码 输入用户的密码。
    密码确认 再次输入密码以确认。
    手机号码 配置用户的手机号码。如果启用了短信认证功能,当用户登录SCVPN客户端时,设备将验证码发送到该手机号码上。
    邮箱 输入用户的邮箱地址,最多可输入127个字符。如果启用了邮件口令认证功能,用户会通过此邮箱接收包含认证码信息的邮件。
    描述 输入用户描述信息。
    所属用户组 把当前用户加入一个或多个用户组。点击文本框,从下拉菜单中选择已创建的用户组名称。
    账户到期日 点击“启用”按钮,并选择日期和时间,开启用户的有效期限制功能。超过有效期的用户不可以通过设备的认证,因此不可以在系统中继续使用。默认情况下,用户没有有效期限制。

  4. 点击“确定”按钮保存所做的配置。新创建的用户将会显示在用户列表中。

新增本地用户组

同一个用户可以同时属于不同的用户组,属于同一个本地认证服务器的用户组可以划分到不同的用户组中,并且同一个用户组可以同时属于不同的用户组。下图为本地AAA认证服务器“Local”的用户配置说明用户以及用户组关系:

如上图所示,用户User1、User2和User3均属于用户组UserGroup1,而User3又同时属于用户组UserGroup2,UserGroup2中还包含User4、User5以及用户组UserGroup1。

对于所有本地服务器而言,系统最多支持配置512个本地用户组。新增本地用户组,请按照以下步骤进行操作:

  1. 选择“安全设备管理器 > 对象 > 用户 > 本地用户”或“ZTNA管理器 > 对象 > 用户 > 本地用户”。
  2. 在列表左上方的本地服务器下拉菜单中,选择所需的本地服务器,添加属于该本地服务器的用户组。

  3. 点击“新增 > 新增用户组”,打开<新增用户组>页面。

    在该页面进行如下配置。

    选项 说明
    名称 输入用户组的名称,最多可输入127个字符。
    用户 指定用户组所包含的用户组成员。 点击文本框,在弹出的用户列表中选中需要指定的用户或者用户组;点击某一成员的“×”按钮,将其移除出该用户组。
    一个用户组可包含多个用户或者用户组,系统支持的用户组的嵌套层数最多为5层,但是不支持循环嵌套,即用户组不可以再嵌套它所属的用户组。

  4. 点击“确定”按钮,完成配置。

删除本地用户/用户组

当删除本地用户组时,该组内的本地用户配置没有被删除,只是取消了本地用户间的组关系。删除本地用户/用户组,请按照以下步骤进行操作:

  1. 选择“安全设备管理器 > 对象 > 用户 > 本地用户”或“ZTNA管理器 > 对象 > 用户 > 本地用户”,进入本地用户页面。
  2. 点击“操作”列的按钮,删除相应的本地用户/用户组。
    或者,点击设备列表上方的按钮,批量删除选中的本地用户/用户组。

本地用户/用户组的关联设备

当ZTNA策略包的策略规则关联ZTNA设备时,ZTNA策略绑定的本地服务器及其用户信息也会被下发至该设备。在本地用户页面,用户不仅可以查看本地服务器下的用户信息,也可以查看本地服务器已关联的设备信息,并且重新为本地服务器与ZTNA设备进行关联。

查看本地服务器已关联设备的信息,请按照以下步骤进行操作:

  1. 选择“安全设备管理器 > 对象 > 用户 > 本地用户”或“ZTNA管理器 > 对象 > 用户 > 本地用户”,进入本地用户页面。
  2. 在列表左上方的本地服务器下拉菜单中,选择所需的本地服务器。此时,下方列表中展示属于该本地服务器的用户和用户信息。
  3. 点击“关联设备”后的数值,打开该本地服务器的关联设备列表页面。在该页面,用户可以执行以下操作:
    • 点击“配置状态”列的按钮,重新下发该本地服务器配置至该设备。
    • 点击上方的 按钮,重新下发该本地服务器配置给所有未下发成功的设备。此外,也可以选择本地服务器后,点击“配置状态”后的按钮,重新下发该本地服务器配置给所有未下发成功的设备。