YYDS Space

Appearance

APM 本地认证实现分组

简介

背景:用户使用APM本地认证,根据本地用户分组,分配不同的资源。

模拟环境:在APM本地创建两个用户user1和user2,使其分别处于两个不同的组group1和group2中,user1可以正常连接到内网环境,user2拒绝该用户接入。

1. 创建Connectivity Profile

在 Access ›› Connectivity / VPN : Connectivity : Profiles 中新建Connectivity Profile,如下图所示:

image-20210809143259985.png

2. 配置 IPV4 Lease Pools

在 Access ›› Connectivity / VPN : Network Access (VPN) : IPV4 Lease Pools 路径配置 VPN 内部分配的地址段。如下图所示:

image-20210813104029822.png

3. 配置 Network Access Policy

在 Access ›› Connectivity / VPN : Network Access (VPN) : Network Access Lists 中创建 Network Access Policy 。如下图所示:

image-20210813104211843.png

创建完成后进入创建好的 Network Access Policy network_access 中,在Network Settings 中选择 IPV4 Lease Pool 为第一步创建好的 vpn_ip。如下图所示:

image-20210813104419721.png

在 DNS/Hosts 中配置 IPV4 Primary Name Server 为 DNS 服务器地址。如下图所示:

image-20210813104557391.png

4. 配置 Webtop

在 Access ›› Webtops : Webtop Lists 中新建 webtop ,如下图所示:

image-20210813104741634.png

5. 创建本地认证实例

在 Access›› Authentication : Local User DB : Instances 中创建本地数据库。如下图所示:

image-20210811141457525.png

6. 配置APM本地认证用户信息

在 Access ›› Authentication : Local User DB : Users 中创建本地认证用户信息。此处创建两个用户,并分配不同的组,如下图所示:

image-20210816110508940.png

7.配置 VPN Policy

(1) 创建 VPN Policy

在 Access ›› Profiles / Policies : Access Profiles (Per-Session Policies) 中 创建 VPN Policy ,如下图所示:

image-20210815012846354.png

image-20210813110200338.png

(2) 编辑 VPN Policy

在 Access ›› Profiles / Policies : Access Profiles (Per-Session Policies) 中 选中上一步创建的 VPN Policy 进入, 选择 Access Policy ,点击 Edit Access Policy for Profile "Network_Access_VPE" 开始编辑策略。如下图所示:

image-20210815013132344.png

进入后VPE如下所示,点击 + 开始进行配置。 image-20210815013206952.png

a. 创建Logon Page

在 Start 步骤后配置登录页,选择 在最上面导航栏选择 Logon 点击下面Logon Page,再点击Add Item。如下图所示:

image-20210809113730975.png

b. 配置 Logon Page

配置 Logon Page ,如下图所示:

image-20210809114034571.png

配置完VPE如下所示:

image-20210815013604325.png

c. 配置本地认证

在 Authentication 中选择 LocalDB Auth ,如下图所示:

image-20210815013633862.png

LocalDB Instance 选择我们之前创建好的LOCAL_DB。

image-20210815013706349.png

配置完VPE如下所示:

image-20210815013827368.png

d. 创建Local Database

在 General Purpose 中选择 Local Database 用作组参数传递。

image-20210816114930152.png

配置组参数传递

image-20210816114901445.png

e. 获取用户组信息

根据用户所属组信息,分配不通策略。

image-20210816115642656.png

配置用户所属组分支

image-20210816120021718.png

配置完VPE拓扑如下图所示:

image-20210816120043721.png

f. 资源分配

如果通过了本地认证和AD域双重认证,则为其登陆用户分配资源,选择 Assignment 下面的 Advanced Resource Assign 点击Add Item。

image-20210815020727770.png

分配 Network_access 和 mywebtop 资源。

image-20210815020808808.png

g. 完成VPE配置

配置通过认证后规则为Allow,并点击左上角Apply Access Ploicy应用策略。

image-20210816120240875.png

8. 创建80端口VS(可选),使其重定向到443端口VS。

image-20210806144008058.png

image-20210806144038146.png

9. 创建443端口vs,关联 APM profile。

image-20210813111647936.png

image-20210813111718711.png

image-20210816120353475.png

10.测试

(1) 使用user1进行登陆测试

访问 http://192.168.10.92 进行登陆测试。输入user1用户名和密码。

image-20210816120629937.png

登陆后允许打开F5插件。

image-20210815195059057.png

由于证书是自签发的,所以会弹出安全警报,在这里点击是,如果不想弹出安全警报,可以去相关机构申请SSL证书。

image-20210815195124720.png

image-20210815195153951.png

如下所示:我们就连接到了内网环境中。

image-20210815195217468.png

(2) 使用user2登陆进行测试

访问 http://192.168.10.92 进行登陆测试。输入user2用户名和密码。

image-20210816124811641.png

根据下图测试结果,拒绝该用户登陆。

image-20210816124837698.png