H3C SSLVPN同一个访问实例中新增一个用户权限组
1、在域控Active Directory用户和计算机中任意OU下创建一个组。
2、例如:命名为SHsslvpnzituras。
3、创建组后,打开网络策略服务器(NPS),在策略-网络策略-新建。
4、例如:命名h3csslvpnzitura后下一步。
5、添加步骤2中创建好的组和服务类型Framed、Login。下一步。
6、选择已授予访问权限,下一步。
7、默认是勾选了前4个,这里追加勾选加密身份认证和未加密身份认证,下一步后会提示一个警告选择否。
8、默认直接下一步。
9、标准里删掉Framed-Protocol PPP,再添加一个Login-Service Telnet。
10、供应商特定里选择添加,选择Vendor-Specific RADIUS Standard(图一)点击添加后弹出一个属性信息再次点击添加(图二),选择输入供应商代码25506和“是。它符合”(图三),点击配置属性-供应商分配的属性号填写140,属性格式选择字符串,属性值可以自定义,例如:sslvpnzituras。(图四)确定完成,路由和远程访问都是默认,下一步查看结果数值完成。
注:这里的属性值(sslvpnzituras)会和后面的防火墙组名称一致。
11、在创建一个组和NPS,参考上面相同的步骤(步骤10中的属性值要区分)。
12、在H3C防火墙-网络-安全域中新建一个,例如:VPN。
13、网络-SSL VPN-创建一个网关,例如:sslvpnwgtest,IP地址***.**.***.**(公网IP),端口自定义。
14、再创建一个客户端地址池,例如:sslvpnpool3,IP:10.100.140.10-10.100.140.254。
15、再创建一个IP接入接口,例如:接口4-点击确定-安全域选择步骤12中新建的“VPN”-IP地址:10.100.140.1/24。
16、SSLVPN-新建访问实例-名字(例如:zituras)-网关新建选择步骤13中创建的网关-最大会话限制要关闭,空闲超时最好填写最大,最后要开启访问实例,下一步。
17、认证配置选择域控的域名。(例如:zeotrue.com)
18、URI ACL默认下一步,业务选择勾选IP业务,IP接入口选择步骤15中创建的,客户端地址池选择步骤14中创建的,掩码24,DNS服务器选择域控IP。IP接入资源新建路由,例如sslvpnzituras和sslvpntest,这里可以限制VPN的访问权限可以包含和排除。然后下一步,快捷方式直接默认下一步。
19、资源组-新建资源组-完成,例:资源组名称“resgrpzituras”-指定路由接入VPN“子网资源”-子网资源“选择前面IP业务的sslvpnzituras”-客户端地址池“选择步骤14中创建的”-客户端地址掩码24-ACL默认IP,resgrptest同上。
20、点击对象-用户-用户管理-本地用户-用户组-新建,输入用户组名,SSLVPN策略组选择步骤12访问实例中创建的资源组。(这里新建的用户组对应域控NPS里的属性值,查看步骤10),例:sslvpnzituras和sslvpntest。