用户组权限认证的好处：

可针对不同的组用户给予不同的权限，增加安全性与灵活性。

 

一、组网需求

公司有一台UAC 使用网桥模式或者路由模式，公司内网PC 通过UAC 用户组权限认证上网。

 

二、组网拓扑

 

三、配置要点

步骤1：设定用户组及用户

步骤2：为不同组用户设定权限

步骤3：设定用户组权限认证页面

　　步骤4：设定认证策略

       步骤5：配置客户端IP等配置，完成用户组权限认证

步骤6：验证效果

步骤7：保存配置

 

四、配置步骤

1.设定用户组及用户

            进入用户认证>组织结构页面，建立不同的组（如财务部、行政部）及相同的认证用户（test）。建立组和认证用户的步骤详见典型功能－用户管理。

           

           

2.为不同组用户设定权限

　　　　进入行为管理-防火墙－安全策略页面，点击新增，为不同的组用户设定不同的权限，比如行政组的人员不允许访问财务服务器（172.16.161.100），而财务组人员不允许访问行政部的服务器（121.201.33.146）。也可在上网策略中为不同组的用户设定不同的上网策略。

            

             

           

3.设定用户组权限认证页面

             进入用户认证－认证选项－终端提示页面定制页面，点击上传页面按纽

            

              首先下载一个组用户权限的示例页面

             

　　　　下载后，可对页面进行自定义修改

　　　　

　　　　修改完成后，再点击上传页面将该页面上传至UAC

　　　　

　　　　

 

4.设定认证策略

　　　　进入用户认证>认证策略，新增，认证方式选择需要认证>用户组权限认证，认证页面选择刚才自定义的“组权限认证”，其他参数根据需要作出调整。

 

5.配置客户端IP等配置，完成用户组权限认证。

注意，有两种方法可完成用户组权限认证，一种是通过IE浏览器访问网页，弹出认证界面进行认证；还有一种是通过客户端进行认证。

　　　  1)第一种方法：浏览器弹认证界面方式

      PC 使用IE 浏览器访问https://www.baidu.com，UAC 返回认证界面

            如果是财务部，则选择财务部

                 

 

      进入实时监控>在线用户，查看上线

       进入组织管理>组织结构，查看用户在线情况

           

            如果是行政部用户，则选择行政部

           

 

            进入实时监控>在线用户，查看上线

         

             进入组织管理>组织结构，查看用户在线情况

            

 

 

　　　　2）第二种方法：客户端方式登录方式

　　　　打开客户端（(客户端见附件），输入账号密码，选择要登录的域，点击登录

　　　　

　　　　进入实时监控>在线用户，查看上线

　　　　　

                当需要切换安全域的时候，可直接点击客户端切换安全域进行切换

               

                进入实时监控>在线用户，查看上线，已经从财务部切换到了行政部

              

　　　　

6.验证效果

            当用户属于财务部的时候，能访问172.16.161.100，不能访问121.201.33.146

           

           当用户属于行政部的时候，能访问121.201.33.146，不能访问172.16.161.100

          

 

7.保存配置

      WebUI 右上角，点击"保存配置"，并确定，重启后配置仍可生效。