配置和管理RV34x系列路由器上的使用者帳戶

目標

本文的目的是展示如何在RV34x系列路由器上配置和管理本地和遠端使用者帳戶。這包括如何配置本地使用者的密碼複雜性、配置/編輯/匯入本地使用者、使用RADIUS、Active Directory和LDAP配置遠端身份驗證服務。

適用裝置 |韌體版本

• RV34x系列 | 1.0.01.16(下載最新版本)

簡介

RV34x系列路由器提供使用者帳戶以便檢視和管理設定。使用者可能來自不同的組，或者屬於共用身份驗證域、區域網(LAN)和服務訪問規則以及空閒超時設定的安全套接字層(SSL)虛擬專用網路(VPN)的邏輯組。使用者管理定義哪些型別的使用者可以使用特定型別的合作室以及如何使用。

外部資料庫優先順序始終為遠端身份驗證撥入使用者服務(RADIUS)/輕量級目錄訪問協定(LDAP)/Active Directory(AD)/本地。如果在路由器上新增RADIUS伺服器，Web登入服務和其他服務將使用RADIUS外部資料庫驗證使用者。

沒有選項可以單獨為Web登入服務啟用外部資料庫並為其他服務配置另一個資料庫。在路由器上建立並啟用RADIUS後，路由器將使用RADIUS服務作為外部資料庫進行網路登入、站點到站點VPN、EzVPN/第三方VPN、SSL VPN、點對點傳輸協定(PPTP)/第2層傳輸協定(L2TP)VPN和802.1x。

目錄

• 配置本地使用者帳戶
• 本地使用者密碼複雜性
• 配置本地使用者
• 編輯本地使用者
• 匯入本地使用者
• 配置遠端身份驗證服務
• RADIUS
• Active Directory配置
• Active Directory整合
• Active Directory整合設定
• LDAP

配置本地使用者帳戶

本地使用者密碼複雜性

步驟1.登入到路由器的基於Web的實用程式，然後選擇System Configuration > User Accounts。

步驟2.選中Enable Password Complexity Settings覈取方塊以啟用密碼複雜性引數。

步驟3.在最小密碼長度欄位中，輸入範圍從0到127的數字，以設定密碼必須包含的最小字元數。預設值為8。

在本示例中，最小字元數設定為10。

步驟4.在「最小字元類數」字段中，輸入0到4之間的數字以設定類。輸入的數字表示不同類別的最小或最大字元數：

• 密碼由大寫字元(ABCD)組成。
• 密碼由小寫字元(abcd)組成。
• 密碼由數字字元(1234)組成。
• 密碼由特殊字元(!@#$)組成。

在此範例中，使用4。

步驟5.選中Enable覈取方塊，新密碼必須不同於當前密碼。

步驟6.在Password Aging Time欄位中，輸入密碼到期的天數(0 - 365)。在此示例中,已輸入180天。

現在，您已成功在路由器上配置本地使用者密碼複雜性設定。

配置本地使用者

步驟1.在「本地使用者成員資格清單」(Local User Membership List)表格中，按一下Add建立新的使用者帳戶。您將進入「新增使用者帳戶」頁。

在Add User Account標題下，顯示Local Password Complexity步驟下定義的引數。

步驟2.在User Name欄位中輸入帳戶的使用者名稱。

在本示例中，使用Administrator_Noah。

步驟3.在New Password欄位中，輸入具有已定義引數的密碼。在本例中，最小密碼長度必須由10個字元組成，並包括大寫字母、小寫字母、數字和特殊字元。

步驟4.在New Password Confirm欄位中，重新輸入密碼以進行確認。如果密碼不匹配，欄位旁將顯示文本。

密碼強度計根據密碼強度而變化。

步驟5.從Group下拉選單中選擇一個組，以向使用者帳戶分配許可權。選項包括：

• admin — 讀寫許可權。
• guest — 只讀許可權。

在本例中，選擇了admin。

步驟6.按一下Apply。

現在，您已在RV34x系列路由器上成功配置本地使用者成員資格。

編輯本地使用者

步驟1.選中Local User Membership List表中本地使用者使用者名稱旁邊的覈取方塊。

在本示例中，選擇了Administrator_Noah。

步驟2.按一下「Edit」。

步驟3.在Old Password欄位中，輸入先前為本地使用者帳戶設定的密碼。

步驟4.在New Password 欄位中，輸入新密碼。新密碼必須符合最低要求。

步驟5.在New Password Confirm欄位中再次輸入新密碼進行確認。這些密碼必須匹配。

步驟6.（可選）從「組」下拉選單中，選擇一個組，以向使用者帳戶分配許可權。

在此範例中，選擇guest。

步驟7.按一下Apply。

您現在應該已成功編輯本地使用者帳戶。

匯入本地使用者

步驟1.在Local Users Import區域中，按一下 。

步驟2.在Import User Name & Password下，按一下Browse...匯入使用者清單。此檔案通常是以逗號分隔值(.CSV)格式儲存的電子表格。

在本示例中，選擇了user-template.csv。

步驟3.（可選）如果您沒有模板，請按一下Download User Template區域中的Download。

步驟4.按一下「Import」。

您現在已成功匯入本地使用者清單。

配置遠端身份驗證服務

RADIUS

步驟1.在「遠端身份驗證服務」表中，按一下Add以建立條目。

步驟2.在Name欄位中，為帳戶建立使用者名稱。

在本例中，使用Administrator。

步驟3.從「Authentication Type」下拉選單中選擇Radius。這表示將透過RADIUS伺服器進行使用者驗證。

步驟4.在Primary Server欄位中，輸入主RADIUS伺服器的IP位址。

在本示例中，192.168.3.122用作主伺服器。

步驟5.在「Port」欄位中，輸入主RADIUS伺服器的連線埠號碼。

在本例中，1645用作埠號。

步驟6.在Backup Server欄位中，輸入備份RADIUS伺服器的IP位址。這用作主伺服器關閉時的故障轉移。

在本示例中，備份伺服器地址為192.168.4.122。

步驟7.在Port 欄位中，輸入備份RADIUS伺服器的數量。

在本例中，1646用作埠號。

步驟8.在Preshared-Key欄位中，輸入在RADIUS伺服器上設定的預共用金鑰。

步驟9.在Confirm Preshared-key欄位中，重新輸入預共用金鑰以進行確認。

步驟10.按一下Apply。

您現在已在RV34x系列路由器上成功配置RADIUS身份驗證。

Active Directory配置

步驟1.要完成Active Directory配置，您需要登入到Active Directory伺服器。在PC上，開啟Active Directory使用者和電腦，然後導航到包含用於遠端登入的使用者帳戶的容器。在本例中，我們將使用Users容器。

步驟2.按一下右鍵容器並選擇屬性。導航到Attribute Editor頁籤並找到distinguishedName欄位。如果此頁籤不可見，則需要在Active Directory使用者和電腦中啟用高級功能檢視並重新開始。請記下此欄位，然後按一下Cancel。這將是使用者容器路徑。配置RV340時也需要此欄位，並且必須完全匹配。

步驟3.在將要使用的使用者帳戶所在的容器中建立全域性安全組。

在選定的容器中，按一下右鍵空白區域，然後選擇「新建」>「組」。

選擇以下內容：

• 組名 — 此名稱必須與RV340上建立的使用者組名完全匹配。在本示例中，我們將使用VPNUsers。
• 組範圍 — 全域性
• 組型別 — 安全性

按一下「OK」（確定）。

步驟4.要建立新的使用者帳戶，請執行以下操作：

• 按一下右鍵容器中的空白區域，然後選擇「新建」>「使用者」。
• 輸入名字、姓氏。
• 輸入使用者登入名。
• 按「Next」（下一步）。

系統將提示您輸入使用者的密碼。如果選中User must change password at next logon框，則使用者必須在本地登入並在遠端登入之前更改密碼。

按一下「Finish」（結束）。

如果已建立了需要使用的使用者帳戶，則可能需要進行調整。要調整使用者的規範名稱，請選擇使用者，按一下右鍵並選擇重新命名。確保所有空格都已刪除，並且與使用者的登入名相匹配。這不會更改使用者的顯示名稱。按一下「OK」（確定）。

步驟5.正確構建使用者帳戶後，需要授予其遠端登入許可權。

為此，請選擇使用者帳戶，按一下右鍵並選擇屬性。

在User Properties中選擇Attribute Editor頁籤，向下滾動到distinguishedName。確保第一個CN=的使用者登入名正確且沒有空格。

選擇Member Of頁籤，然後按一下Add。

輸入全域性安全組的名稱，然後選擇檢查名稱。如果條目帶有下劃線，請按一下OK。

選擇Dial-In頁籤。在Network Access Permission部分下，選擇Allow Access，保留其餘部分為預設值。

Active Directory整合

Active Directory要求RV34x路由器的時間與AD伺服器的時間相匹配。有關如何在RV34x系列路由器上配置時間設定的步驟，請按一下此處。

AD還要求RV340具有與AD全域性安全組匹配的使用者組。

步驟1.導覽至System Configuration > User Groups。

步驟2.點選plus圖示新增使用者組。

步驟3.輸入組名。在本例中，它是VPNUsers。

步驟4.在Services下，Web Login/NETCONF/RESTCONF應標籤為Disabled。如果AD整合不能立即運行，您仍可以訪問RV34x。

步驟5.您可以新增將使用AD整合登入其使用者的VPN隧道。

1. 要新增已配置的客戶端到站點VPN，請轉到EZVPN/第三方部分，然後按一下plus圖標。從下拉選單中選擇VPN配置檔案，然後按一下Add。





2. SSL VPN — 如果使用SSL VPN隧道，請從選擇配置檔案旁邊的下拉選單中選擇策略。



3. PPTP/L2TP/802.1x — 要允許這些裝置使用AD，只需按一下它們旁邊的覈取方塊Permit。

步驟6.按一下Apply以儲存變更。

Active Directory整合設定

步驟1.導覽至System Configuration > User Accounts。

步驟2.在「遠端身份驗證服務」表中，按一下Add以建立條目。

步驟3.在Name欄位中，為帳戶建立使用者名稱。在本示例中，使用Jorah_Admin。

步驟4.從Authentication Type下拉選單中選擇Active Directory。AD用於向網路的所有元素分配寬泛的策略，將程式部署到多台電腦，並將關鍵更新應用到整個組織。

步驟5.在AD域名欄位中，輸入AD的完全限定域名。

本示例使用sampledomain.com。

步驟6.在Primary Server欄位中，輸入AD的地址。

在本例中，使用192.168.2.122。

步驟7.在Port欄位中輸入主伺服器的埠號。

在本例中，1234用作埠號。

步驟8.（可選）在User Container Path欄位中，輸入包含使用者的根路徑。

附註：本示例使用file:Documents/manage/containers。

步驟9.按一下Apply。

步驟10.向下滾動至服務身份驗證序列，設定各種選項的登入方法。

• Web Login/NETFCONF/RESTCONF — 這是您登入RV34x路由器的方式。取消選中Use Default覈取方塊，並將Primary方法設定為Local DB。這將確保即使Active Directory整合失敗，您也不會從路由器註銷。
• 站點到站點/EzVPN第三方客戶端到站點VPN — 這是為了將客戶端到站點VPN隧道設定為使用AD。取消選中Use Default覈取方塊，並將Primary方法設定為Active Directory，將Secondary方法設定為Local DB。

步驟11.按一下Apply。

步驟12.將運行配置儲存到啟動配置。

現在，您已在RV34x系列路由器上成功配置Active Directory設定。

LDAP

步驟1.在「遠端身份驗證服務」表中，按一下Add以建立條目。

步驟2.在Name欄位中，為帳戶建立使用者名稱。

在此示例中，使用Dany_Admin。

步驟3.從Authentication Type下拉選單中選擇LDAP。輕量型目錄訪問協定是用於訪問目錄服務的訪問協定。它是運行目錄伺服器以對域執行身份驗證的遠端伺服器。

步驟4.在Primary Server欄位中，輸入LDAP的伺服器地址。

在本示例中，使用192.168.7.122。

步驟5.在Port欄位中，輸入主要伺服器的連線埠號碼。

在本例中，122用作埠號。

步驟6.在Base DN欄位中輸入LDAP伺服器的基本可分辨名稱。基本DN是LDAP伺服器在收到授權請求時搜尋使用者的位置。此欄位應與LDAP伺服器上配置的基本DN匹配。

在本示例中，使用Dept101。

步驟7.按一下Apply。您將轉到遠端身份驗證服務表。

步驟8.（可選）如果要啟用或禁用遠端身份驗證服務，請選中或取消選中要啟用或禁用的服務旁邊的覈取方塊。

步驟9.按一下「Apply」。

現在，您已在RV34x系列路由器上成功配置LDAP。