บทนำ
Authentication Policy บน Sangfor IAG เป็นการกำหนดวิธีการ authenticate ผู้ใช้งานก่อนเข้าถึงอินเทอร์เน็ต โดย IAG จะตรวจสอบ IP Address, Network Segment, MAC Address หรือ VLAN ID ของอุปกรณ์ที่เชื่อมต่อ แล้ว match กับ Authentication Policy ที่กำหนดไว้ตามลำดับความสำคัญจากบนลงล่าง เพื่อกำหนดว่าผู้ใช้งานในแต่ละกลุ่มต้อง authenticate ด้วยวิธีใด
Auth Method ที่รองรับมีดังนี้:
- Open Authentication - ระบบจะระบุตัวตนผู้ใช้จาก IP/MAC/Hostname โดยอัตโนมัติ ไม่ต้องกรอก username/password
- Password Based - ผู้ใช้ต้อง login ผ่าน Captive Portal โดยรองรับ Local Password, External Server (LDAP/RADIUS/POP3), SMS, WeChat, QR Code และ Two-Factor Authentication
- Single Sign-On (SSO) - ผู้ใช้ authenticate ผ่าน third-party server เช่น AD Domain, RADIUS SSO, POP3 SSO, Web SSO เป็นต้น
- None (Disabled) - ปิดกั้นการเข้าถึงอินเทอร์เน็ตสำหรับผู้ใช้ใน IP/MAC range ที่กำหนด
- USB Key Authentication - ใช้ USB Key สำหรับ authenticate โดยมีลำดับความสำคัญสูงสุด
ข้อกำหนดเบื้องต้น
- มี Sangfor IAG ที่ติดตั้งและใช้งานได้ปกติ พร้อมสิทธิ์ Admin
- หากใช้ Password Based ต้องสร้าง Local User หรือตั้งค่า External Auth Server ไว้ก่อน
- หากใช้ SSO ต้องตั้งค่า Auth Server และ Single Sign-On ไว้ก่อน
- ทราบ IP range/MAC range/VLAN ของกลุ่มผู้ใช้ที่ต้องการกำหนด policy
ขั้นตอนการตั้งค่า
ขั้นตอนที่ 1: เข้าหน้า Authentication Policy
ไปที่ Access Mgt > Authentication > Web Authentication > Authentication Policy
ขั้นตอนที่ 2: เพิ่ม Authentication Policy
- คลิก Add เพื่อเพิ่ม policy ใหม่
- ติ๊ก Enable เพื่อเปิดใช้งาน policy
- กรอก Name และ Description ของ policy
ขั้นตอนที่ 3: กำหนด Objects (ขอบเขตการใช้งาน)
- Select Device: เลือก All หรือเลือกอุปกรณ์เฉพาะที่ต้องการให้ policy มีผล
-
IP/MAC Address: กำหนดขอบเขตของ policy โดยระบุ IP address, IP range, network segment, MAC address, VLAN ID หรือ Key value (เช่น SSID=wifi-name)
- ตัวอย่าง:
192.168.0.0/255.255.255.0สำหรับ network segment - ตัวอย่าง:
192.168.0.1-192.168.0.255สำหรับ IP range - ตัวอย่าง:
06-53-33-65-79-1Aสำหรับ MAC address
- ตัวอย่าง:
ขั้นตอนที่ 4: กำหนด Auth Method
เลือกวิธีการ authenticate ที่ต้องการ:
- Open authentication: ระบบจะกำหนด username อัตโนมัติจาก IP address, MAC address หรือ hostname ของอุปกรณ์ ผู้ใช้ไม่ต้อง login
- Password based: เลือก Auth Server (Local user database หรือ External Auth Server) และสามารถเปิดใช้งาน Self registration, Account login with WeChat, Account login with SMS code หรือ Two-Factor Authentication ได้ นอกจากนี้ยังกำหนด Captive Portal และ Login Redirection ได้
- Single Sign-On (SSO): ระบุ SSO Server ที่ตั้งค่าไว้ และกำหนด fallback action หาก SSO ล้มเหลว (Open authentication, Password based หรือ Go to URL)
- None (requests are rejected always): ปิดกั้นการเข้าถึงอินเทอร์เน็ต
ขั้นตอนที่ 5: กำหนด Action (การดำเนินการหลัง authenticate)
- Add Non-Local/Domain Users To Group: กำหนด group สำหรับผู้ใช้ที่ไม่ใช่ Local/AD user หลัง authenticate สำเร็จ เพื่อใช้ Internet Access Policy ของ group นั้น
- Add user account to local user database: เพิ่ม user ที่ authenticate สำเร็จเข้า local database อัตโนมัติ
- Automatic binding: ผูก IP/MAC address กับ username อัตโนมัติหลัง login สำเร็จ
ขั้นตอนที่ 6: บันทึกและจัดลำดับ
- คลิก Commit เพื่อบันทึก policy
- ใช้ปุ่ม Move Up / Move Down เพื่อจัดลำดับความสำคัญของ policy (ระบบ match จากบนลงล่าง)
- สามารถ Enable / Disable แต่ละ policy ได้ตามต้องการ
การตรวจสอบ
- ทดสอบเข้าถึงอินเทอร์เน็ตจากอุปกรณ์ที่อยู่ใน IP/MAC range ของ policy ที่สร้าง ตรวจสอบว่าแสดง Captive Portal หรือ authenticate ตามวิธีที่กำหนด
- ตรวจสอบที่ Status > Online Users ว่าผู้ใช้ปรากฏด้วย Auth Method ที่ถูกต้อง
- ใช้ฟังก์ชัน Search by IP Address ในหน้า Authentication Policy เพื่อตรวจสอบว่า IP ใดตรงกับ policy ข้อใด
หมายเหตุ
- Authentication Policy จะถูก match จาก บนลงล่างตามลำดับ หาก IP/MAC ของผู้ใช้ตรงกับ policy แรก จะใช้ policy นั้นทันที
- Default Policy (policy สุดท้าย) จะ match กับ IP ทั้งหมดที่ไม่ตรงกับ policy อื่น ค่าเริ่มต้นเป็น Open Auth
- สามารถแก้ไข policy หลายรายการพร้อมกันได้โดยเลือกหลาย policy แล้วคลิก Edit
- สามารถ Import policy จากไฟล์ได้โดยคลิก Import และดาวน์โหลด Example File เพื่อดูรูปแบบ
- USB Key Authentication มีลำดับความสำคัญสูงสุด ไม่ต้องสร้าง Authentication Policy แยก สามารถจัดการได้ที่ Access Mgt > User Management > Advanced > USB Key User
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น