在该页面,您可以配置所需的身份验证方法、全局用户设置和在用户登录网络时向其显示的可接受用户策略。
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
1
|
在用户验证方法下拉菜单中,选择您的网络使用的用户帐户管理类型:
|
|
•
|
如需使用本地数据库进行身份验证的信息,请参见使用本地用户和群组进行验证 。
|
•
|
|
•
|
|
•
|
如果您有 1000 名以上用户或者想增加额外的安全层验证访问防火墙的用户,请选择 RADIUS。如果您选择 RADIUS 进行用户验证,用户必须使用 HTTPS 登录防火墙以加密发送至防火墙的密码。如果用户尝试使用 HTTP 登录防火墙,浏览器会自动重定向至 HTTPS。
|
如需使用 RADIUS 数据库进行身份验证的信息,请参见使用 RADIUS 进行身份验证 。
|
•
|
如需使用 RADIUS 和防火墙本地用户数据库进行身份验证,请选择 RADIUS + 本地用户。
|
|
•
|
如需使用 LDAP 数据库进行身份验证的信息,
请参见使用 LDAP/Active Directory/eDirectory 验证 。
如需详细的配置说明,请参见将 LDAP 集成到 SonicWALL 设备。 。
|
•
|
如需使用 LDAP 和防火墙本地用户数据库进行身份验证,请选择 LDAP + 本地用户。
|
|
2
|
对于单点登录方法,选择以下一种方法:
|
|
•
|
|
•
|
如果您不使用 SSO 代理或 TSA 验证 Web 用户,则选择仅浏览器 NTLM 验证。用户在发送 HTTP 流量时即被识别。NTLM 要求配置 RADIUS(如使用 LDAP,则在 LDAP 基础上进行配置)访问 MSCHAP 身份验证。如果在上面选择了 LDAP,则在选择 NTLM 时会显示用于 RADIUS 的单独配置按钮。
|
|
•
|
若要网络访问服务器 (NAS) 向计费服务器发送用户登录会话计费信息,请选择 RADIUS 计费。
|
|
3
|
选择用户名区分大小写基于用户帐户名的大写情况来启用匹配。
|
|
4
|
|
5
|
要让用户在更改其密码后登录,请选中更改密码后必须重新登录复选框。默认情况下未选中该设置。
|
|
6
|
配置以下一次性密码选项:
|
|
•
|
|
•
|
|
•
|
在一次性密码长度中,在第一个字段输入最小长度,在第二个字段输入最大长度。最小和最大长度须在 4 到 14 的范围内,每个字段的默认值为 10。最小长度不能超过最大长度。
|
|
1
|
在显示登录验证页面时,会使用系统资源。通过设置在登录页面关闭之前登录运行的时间限制,可以释放这些资源。
|
2
|
在重定向浏览器至本设备的方式单选按钮中,选择以下一个选项确定如何初次将用户的浏览器重定向至 Dell SonicWALL 设备的 Web 服务器:
|
|
•
|
接口 IP 地址 – 选择该选项将浏览器重定向至设备 Web 服务器接口的 IP 地址。
|
|
•
|
使用反向 DNS 查找接口 IP 地址的域名 – 这将启用显示缓存按钮,单击后,显示设备 Web 服务器的接口、IP 地址、DNS 名称和 TTL(以秒为单位)。单击该按钮验证用于重定向用户浏览器的域名(DNS 名称)。单击关闭可关闭显示。
|
|
•
|
其配置的域名 – 选择此选项可重定向到在系统 > 管理页面配置的域名。
|
|
•
|
来自管理证书的名称 – 选择此选项可重定向到拥有正确签名证书的已配置域名。在该页面为 HTTPS Web 管理选择导入的证书后,允许定向至来自管理证书的名称。
|
如果您使用管理证书,且要避免证书警告,浏览器需要重定向到该域名,而不是 IP 地址。例如,如果我们尝试浏览 Internet 并被重定向以在 https://gateway.sonicwall.com/auth.html 登录,设备上的管理证书会认为该设备真的是 gateway.sonicall.com,因此浏览器显示登录页面。但是,如果我们被重定向到 https://10.0.02/auth.html,即使证书表明它是
gateway.sonicall.com,浏览器也没有办法判断是否正确,因此会显示证书警告。
|
3
|
如果一些未经授权的用户频繁打开 HTTP/HTTPS 连接,使这些连接被重定向,通过限制到登录页面的重定向,可防止 Dell SonicWALL 设备的 Web 服务器发生过载。
|
a
|
为了进一步限制同一页面的重定向,请选中请不要重定向重复获取同一页面复选框。默认情况下已选中该选项。
|
|
4
|
如果您希望用户在通过 HTTPS 登录后通过 HTTP 经由防火墙连接到网络,请选择在用户登录时,将用户从 HTTPS 重定向到 HTTP。如果有大量用户通过 HTTPS 登录,您可能想将他们重定向到 HTTP,因为 HTTPS 比 HTTP 消耗更多的系统资源。默认情况下已选中该选项。如果您取消选择该选项,将看到警告对话框。
|
|
5
|
选择允许以 HTTP 带有 RADIUS CHAP 模式登录在 RADIUS 用户尝试登录 HTTP 时发布 CHAP 问题。这样,即使不使用 HTTPS,也能实现安全连接。确保检查 RADIUS 服务器支持该选项。默认情况下未选中该选项。
|
|
因此,如果选中此设置,属于管理用户组成员的任何用户要因为执行管理操作而登录,可能都需要通过 HTTPS 手动登录。此限制不适用于内置的 admin 帐户。 |
|
1
|
|
2
|
从请不要允许来自这些服务的流量,以阻止用户在不活动时注销下拉菜单中,选择会阻止注销不活动用户的服务或服务组选项。选中该选项使超时的用户进入不活动状态而不是注销,从而减少由于重新识别超时的验证用户而导致的系统开销和可能延时。不活动的用户不占用系统资源,并可以显示在用户>状态页面。默认设置为无。
|
|
3
|
|
•
|
|
•
|
|
4
|
通过注销时剩余用户连接的操作选项指定在用户从 Dell SonicWALL 设备注销后,如何处理余下的用户连接。
|
|
对于需要用户验证的连接 1 |
对于其他连接 2 |
|
|
1
|
要使已通过 SSO 机制为 Dell SonicWALL 设备所识别,但是还未收到来自其流量的用户进入不活动状态,以便它们不占用资源,请选中在收到通知有登录时,使用户初始处于非活动状态,直至其发送流量复选框。用户将处于非活动状态,直至收到来自其的流量。默认情况下已选中该选项。
|
某些 SSO 机制未提供任何方式来让 Dell SonicWALL 设备主动地重新识别用户,如果用户由此类机制识别身份后未发送流量,其将处于非活动状态,直至设备最终收到该用户的注销通知。对于其他可以被重新识别的用户,如果其保持非活动且不发送流量,经过在Step 3 中设置的一定时间后,其将因超时而被移除。
|
2
|
如果一名主动登录的 SSO 识别用户因无活动而超时注销,则无法重新识别的用户将回到非活动状态。为了让在非活动状态后注销的用户回到非活动状态,请选中在不活动超时时,使所有用户保持非活动状态而不注销用户复选框。这样做可以避免用户再次活动时重新识别用户身份所需的开销和可能的延迟。默认情况下已选中该选项。
|
|
3
|
对于应该因超时而注销的不活动用户,您可以设置以分钟为单位的时间,如果他们保持非活动状态且不发送流量,则在该时间后他们会因超时而被移除,方法是选中在以下时间(分钟)后使非活动用户超时复选框且在字段中指定超时时间。默认选中此设置,最小超时值为 10 分钟,最大为 10000 分钟,默认为 60 分钟。
|
|
1
|
|
2
|
用户登录状态窗口显示用户已离开登录会话的分钟数。用户可以通过输入数值和单击更新按钮将剩余时间设为较小的分钟数。
如果启用此选项,则还可以启用监控来自该窗口的心跳的机制,以检测且注销未注销但断开连接的用户。
如果用户是 SonicWALL 管理员或有限管理员用户群组的成员,用户登录状态窗口有可以单击以自动登录到防火墙管理界面的管理按钮。如需禁用管理用户的用户登录状态窗口的信息,请参见禁用用户登录状态弹出窗口 。如需群组配置的过程,请参见配置本地群组 。
|
•
|
用户登录状态窗口发送心跳时间间隔(秒数)- 设置用于检测用户是否仍有有效连接的心跳信号频率最小心跳频率为 10 秒,最大为 65530 秒,默认为 120 秒。
|
|
3
|
启用断开用户检测 - 让防火墙检测用户的连接是否仍有效和结束会话。默认情况下已选中该选项。
|
|
•
|
用户登录状态窗口心跳超时(分钟数)- 设置在结束用户会话前允许无心跳响应的时间。终止用户会话之前的最短延迟为 1 分钟,最大为 65535 分钟,默认为 10 分钟。
|
|
4
|
(可选)通过选中在同一窗口打开用户的登录状态窗口而不是弹出窗口复选框,可以让用户的登录状态窗口显示在同一窗口中,而不是弹出窗口。
|
指定的 HTTP URL 会绕过用户验证访问规则。在此部分,定义无需验证即可连接的 URL 用户的列表。
|
1
|
|
2
|
在输入 URL 字段中,输入您添加的顶层 URL,例如 www.sonicwall.com。这会包含该 URL 的所有子目录,例如 www.sonicwall.com/us/Support.html。
|
|
3
|
单击确定将 URL 添加到列表。将显示一条消息。
|
|
4
|
单击接受。
|
可接受的使用策略 (AUP) 就是用户必须同意遵守才能访问网络或互联网的策略。很多企业和教育机构经常要求员工或学生在通过防火墙访问网络或访问互联网时同意可接受的使用策略。
可接受的使用策略部分用于为用户创建 AUP 消息窗口。您可以在消息正文中使用 HTML 格式。单击实例模板按钮将为 AUP 窗口创建预定义格式的 HTML 模板;参见实例模板 。
|
•
|
显示登录来自 - 选择在用户登录时您要显示“可接受的使用策略”页面的网络界面。您(默认)可以选择任意组合受信任区域(默认)、WAN 区域(默认)、公开区域、无线区域和 VPN 区域。
|
|
•
|
窗口大小(像素)- 用于以像素数指定 AUP 窗口的大小。
|
|
•
|
选中在窗口上启用滚动条允许用户滚动浏览 AUP 窗口内容。同时指定:
|
|
•
|
宽度:最小为 400 像素,最大为 1280 像素,默认为 460 像素。
|
|
•
|
高度:最小为 200 像素,最大为 1024 像素,默认为 310 像素。
|
|
•
|
在窗口上启用滚动条 - 如果您的内容超出窗口的显示大小,请开启滚动条。默认启用该设置。
|
|
•
|
|
•
|
|
•
|
单击实例模板按钮使用默认的 AUP 模板来填写内容,您可对此进行更改:
单击预览按钮显示用户将看到的 AUP 消息。
SonicOS 允许自定义呈现给用户的登录验证页面的文字。管理员可以用自己的语言翻译登录相关的页面并应用更改,这样无需重启便可使其生效。
虽然 SonicOS 提供多种不同语言的完整界面,但有时候,管理员并不希望将整个 UI 语言更改为特定本地语言。
然而,如果防火墙要求用户先进行身份验证,然后才能访问其他网络或启用外部接入服务(如 VPN、SSL-VPN),则这些登录相关页面通常以本地化,使其能够更好地服务于一般用户。
自定义登录页面特性提供以下功能:
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
•
|
|
1
|
|
2
|
从选择登录页面下拉菜单中选择要自定义的页面。
|
|
3
|
滚动到页面底部,单击默认以加载该页面的默认内容。
|
|
5
|
单击预览,预览自定义页面的外观。
|
|
6
|
完成页面编辑后,单击接受。
|
如果登录页面的内容字段保持空白并应用更改,则用户看到的仍将是默认页面。
|
小心:部署前,务必验证自定义登录页面的 HTML,因为 HTML 错误可能导致登录页面不能正常工作。如果自定义登录页面有问题,管理员始终可以使用备用登录页面。要访问备用登录页面,请直接手动输入以下 URL:https://(device_ip)/defauth.html 到浏览器的地址栏(区分大小写)。这样就会显示无任何更改的默认登录页面,以便您正常登录,重置自定义登录相关页面。
|
