摘要:
『管理员账户』用来设置能够通过控制台管控设备的登录用户。在【导航菜单】页面中的『系统管理』→『系统配置』→『管理员账户』...... 『管理员账户』用来设置能够通过控制台管控设备的登录用户。在【导航菜单】页面中的『系统管理』→『系统配置』→『管理员账户』,右边进入【管理员账户】编辑页面
默认管理员账号
一台新出厂的设备,默认只提供一个超级管理员账号密码,是admin/admin。
密码安全性要求
通常建议修改为复杂密码。点击“修改密码”
参考密码要求说明进行修改为复杂度高的密码:
另外,管理员密码也不能一直保持不变,在设置-密码安全策略:
默认管理员密码要求30天修改一次,修改范围是1-365天。密码规则支持至少四选二或者至少四选三。
高级使用,支持超级管理员账号改名,防止被恶意爆破。
进入超级管理员配置页面,勾选“启用别名登录”,定义别名。
完成配置后,登录控制台依然使用“admin”做用户名,提示如下图:
必须使用别名做用户名才能正常登录控制台。
改动影响说明:
“交叉线恢复密码”后,要使用别名登录控制台,而不是“admin”登录
——因为,交叉线恢复密码只恢复“密码”。
——风险点:如果连别名都忘记了,还是无法登录控制台
“交叉线恢复出厂配置”、“控制台恢复出厂配置”操作保持不变
——恢复出厂,超级管理员账号也恢复为admin。登录升级客户端只需要超级管理员的密码,不受影响
进后台,依然要使用“admin+密码组合”,而不是“别名+密码组合”
创建管理员账号
【本地管理员账号】
如何新增一个控制台管理员?
第一步,创建管理员账户。在「系统管理」-「系统配置」-「管理员账号」,点新增后,会弹出一个新增【管理员账户】的编辑窗口。设置『登录安全设置』。
『用户名』创建登录控制台的用户名。
『管理员角色』即为该用户选择第一步描述的管理员角色,设备内置四个角色:administrator、系统管理员、安全管理员、审计管理员。
『登录安全设置』中的『新密码』和『确认新密码』即为登录控制台的密码
『该账户仅允许从下列地址登录』用于限制管理员登录控制台的IP地址。可以设置单个IP也可以设置IP段,一行一条设置最多可以设置32行。
第二步:对创建的账户设置『组织权限设置』,用于设置控制台用户管理用户组的权限,用户组可以选择,点击选择,列出设备中的组织结构,选择可以管理的组即可。
超级管理员administrator角色是不能配置“组织权限设置”的,默认是所有权限。
第三步:设置页面权限,定义管理员是否有各个模块可查看或者是可编辑的权限。超级管理员administrator角色是不能配置“页面权限设置”的,默认是所有权限;
内置的系统管理员、安全管理员、审计管理员角色也各自有默认的页面权限,可以依据实际需求进行增删权限。
完成配置后,点击提交。
到这里,完成了新增一个本地密码管理员账号的配置。
【外部认证服务器】先配置外部认证服务器
只有配置了“第三方认证服务器管理”管理员账号才会出现“外部认证”的勾选项。
【Tacacs+服务器】
测试条件
准备AC设备一台,设备与认证服务器可通讯
使用admin管理员账号登录设备控制台
【管理员账号】配置外部认证服务器选择tacacs+服务器
测试有效性通过
新增一个管理员账号,填写服务器上的用户名
配置完成后:用test1登录控制台,去服务器校验密码成功,登录成功
【Radius服务器】
测试条件
准备AC设备一台,设备与认证服务器可通讯
已知外部认证服务器radius的IP是192.200.244.241(3)用户名lee密码support@123
(4)端口1812
配置方案
使用admin管理员账号登录设备控制台
【管理员账号】配置外部认证服务器选择radius服务器
测试有效性通过
新增一个管理员账号,填写服务器上的用户名
配置完成后:用lee账号登录控制台,去服务器校验密码成功,登录成功
【LDAP服务器】
测试条件
准备AC设备一台,设备与认证服务器可通讯
已知外部认证服务器LDAP的IP是10.10.10.11
用户名marui密码sangfor@123
(4)端口389
配置方案
使用admin管理员账号登录设备控制台
【管理员账号】配置外部认证服务器选择LDAP服务器
测试有效性通过
新增一个管理员账号,填写服务器上的用户名
配置完成后:用域账号marui登录控制台,去服务器校验密码成功,登录成功
注意:
1.三种外部认证服务器选择使用一种,不支持多选
2.TACACS+协议不支持IPv6,RADIUS和LDAP支持IPv6;
3.本地认证和外部认证两个必须勾选一个;
4.创建新的管理员账户是默认开启本地认证;
5.只有admin账户可以编辑外部认证相关的配置,对其他账户隐藏;
6.如果同时勾选本地认证和外部认证时,优先进行本地认证;
7.如果有勾选本地认证,不论是本地认证登录还是外部认证登录,都弹弱密码提示;
8.支持AC跳转内置、外置DC,支持内置DC登录页面登录;
9.支持HCI跳转登录、BBC跳转登录;
10.admin账号必须配置本地认证。
角色管理
创建管理员角色。不同角色优先级别不一样,从上到下,越往下新增角色优先级越低,低优先级角色的管理员不能改动高角色管理员创建或修改的对象。点击角色,添加一个角色。
管理员角色列表中,其排列顺序决定了权限级别的高低顺序。在管辖范围相同的情况下高角色级别的管理员可以修改低角色级别管理员创建的策略,并且自己创建的策略优先于低级别管理员的策略。“administrator”是内置的角色,该角色的管理员自动拥有管理整个组织结构的管辖范围,并且还能够添加删除管理员账户。
设备默认提供四个内置角色:administrator、系统管理员、安全管理员、审计管理员。内置的角色都具备默认的“组织权限设置”和“页面权限设置”,administrator超级管理员是完全权限。
定义角色时,除超级管理员权限外,都需要定义“组织权限设置”和“页面权限设置”
【角色管理】
配置举例:新建一个管理员角色test,再新建一个管理员账户abc(密码设置为sangfor@1234;只给予abc管理“IT部门”的权限;并且只给予abc“用户认证与策略管理”和“对象定义”这两个控制台页面的查看和编辑权限),同时赋予abc这个管理员账户一个管理员角色test。
第一步:创建管理员角色。在【管理员账户】页面,点击角色管理,进入【新增管理员角色】界面,点击添加,在角色栏输入角色名test,在“组织权限设置”选择“IT部门”,在“页面权限设置”选择“用户认证与策略管理”和“对象定义”这两个控制台页面的查看和编辑权限。
第二步:创建管理员。在【管理员账户】页面,点击新增,进入【管理员账户】界面,填写用户名abc,填写便于理解的描述信息,点击
选择管理员角色test。然后在『登录安全设置』页面输入密码sangfor@1234,再确认一次密码。
第三步:设置完成后,用“abc”这个管理员账户登录控制台,界面如下:此用户只能查看“IT部门”的实时在线用户;管理“IT部门”的用户/用户组;以及进行对象定义和用户认证设置。
注意事项:此时,如果「上网策略」-「高级配置」设置了“允许低级别管理员查看”,则低级管理员仅具有查看选项,并且提交按钮显示为灰色,如下图:
另外,同级别的管理员,如果管辖范围不同,也是不能修改对方上网策略的。例如test2和test3关联的都是院级管理员角色,但test2管辖的是计算机学院,test3管辖的是管理学院,那么这两个管理员账户在修改对方上网策略时也会出现如上图所示的情况,策略仅允许查看。
三权分立
设备提供三种系统管理员、安全管理员、审计管理员三个内置的管理员角色。每个管理员负责不同的职责,实现三权分立.
系统管理员:负责对软件环境日常运行的管理和维护,以及对系统的备份和操作系统恢复(部署、网络配置、备份等等)
审计管理员:拥有对系统日志、管理员操作日志进行查看、导出的权限
安全管理员:负责业务配置、应用管理、授权管理等管理操作(业务配置、策略配置等)
新增管理员时,在管理员角色勾选对于角色即可:
双因子认证
【账号密码认证+USB-key认证】
管理员账号增加双因素认证,默认功能不开启。想要使用在对应管理员账号「认证策略」进行选择,用到USB-key。
准备AC设备一台,红色USB-Key一个
管理员日常使用Windows7/8/10/服务器电脑一台测试电脑:
第一步,win7电脑打开IE浏览器(win8以上电脑“以管理员身份运行”打开IE浏览器)。
第二步:使用超级管理员admin或系统管理员登录设备控制台
第三步:「系统管理」「-系统配置」「-管理员账号」认证策略选择“账号密码认证+USB-key认证”
绑定U-key点击“去生成UEB-Key”。
注意,如果使用不是Windows电脑或IE浏览器,报错:
第四步:根据提示“生成USB-Key前需要先配置内置根证书,是否现在前往进行配置”,
点击是:
这里配置的是“谁颁发(根证书)给(管理员账号)”,未配置过的新设备才会提示,
点击立即配置,完成信息填写
提交时提醒:
继续配置前,我们先检查下前面的配置,点击“证书管理”可以查看内置根证书的配置或进行修改。
