通過使用者名稱限制使用者上網

標籤：windows   使用者名稱   ip地址   防火牆   工作群組   

通過使用者名稱限制使用者上網

u 案例需求

如何使用TMG防火牆通過使用者名稱限制使用者上網？

u 知識提示

在TMG防火牆中除了可以通過IP地址限制使用者上網外，還可以通過使用者名稱限制使用者上網，這時候就需要對使用者進行身分識別驗證。一般來說會分為以下兩種情況。

? 工作群組環境

如果TMG未加入Windows域，則需要使用鏡像帳號的方式對使用者進行身分識別驗證，即在TMG和客戶機上分別建立使用者名稱和密碼都完全相同的使用者帳號，TMG對使用者身份進行驗證。

? Windows域環境

如果TMG已加入到Windows域，就可以直接對AD中已存在的賬戶或組進行限制，AD對使用者身份進行驗證。

在此以將TMG加入到Windows域中進行講解，具體步驟如下。

（1）在AD中新群組，組名為“允許上網使用者”，然後將需要允許上網的使用者賬戶加入到該組中，2.1所示。

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image002" border="0" alt="clip_image002" src="http://s3.51cto.com/wyfs02/M00/77/8B/wKiom1Zpf1SyaedaAAAvBoNak1w268.jpg" "237" height="244" />

圖2.1 新群組

（2）在TMG中建立使用者集，使用者集名稱為“允許上網使用者”，2.2所示。

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image004" border="0" alt="clip_image004" src="http://s3.51cto.com/wyfs02/M01/77/8B/wKiom1Zpf1XTiwRuAAA27sStjJs425.jpg" "244" height="178" />

圖2.2 建立使用者集

（3）在“使用者”視窗中單擊“添加”按鈕，然後選擇“Windows使用者和組”，單擊“下一步”按鈕，2.3所示。

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image006" border="0" alt="clip_image006" src="http://s3.51cto.com/wyfs02/M00/77/8A/wKioL1Zpf1bgu4wWAAApmtRJWjc486.jpg" "244" height="175" />

圖2.3 輸入規則名稱

（4）在2.4所示視窗中選擇在AD中建立的組“允許上網使用者”，然後單擊“確定”按鈕，2.5所示，然後單擊“下一步”按鈕，完成使用者集的建立。

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image008" border="0" alt="clip_image008" src="http://s3.51cto.com/wyfs02/M02/77/8B/wKiom1Zpf1bxuw5hAAAqoI3JjUc195.jpg" "244" height="130" />

圖2.4 選擇使用者或組

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image010" border="0" alt="clip_image010" src="http://s3.51cto.com/wyfs02/M00/77/8B/wKiom1Zpf1fQlN9MAAAnRiJ2pYQ059.jpg" "244" height="177" />

圖2.5 完成添加使用者

（5）在TMG中建立一條訪問規則，在建立訪問規則嚮導的“使用者集”頁面添加建立的使用者集“允許上網使用者”，將原有的使用者集“所有使用者”刪除，2.6所示，然後單擊“下一步”按鈕，完成訪問規則的建立。

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image012" border="0" alt="clip_image012" src="http://s3.51cto.com/wyfs02/M00/77/8A/wKioL1Zpf1jAM8aKAAAt9b4xDxs021.jpg" "244" height="184" />

圖2.6 選擇使用者集

（6）如果要啟用使用者身分識別驗證，用戶端必須配置為Web代理或TMG防火牆用戶端，SecureNAT不支援身分識別驗證。在此將客戶機配置為Web代理用戶端，2.7所示。

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image014" border="0" alt="clip_image014" src="http://s3.51cto.com/wyfs02/M01/77/8B/wKiom1Zpf1mijzDZAAA91A-30EA733.jpg" "244" height="184" />

圖2.7 設定時間計劃

（7）在客戶機上瀏覽網頁，會要求輸入使用者名稱和密碼才能夠繼續，2.8所示。正確輸入“允許上網使用者”組中的賬戶和密碼後，可以正常瀏覽網頁，如果不輸入有效使用者名稱和密碼，將會出現2.9所示報錯頁面。

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image016" border="0" alt="clip_image016" src="http://s3.51cto.com/wyfs02/M02/77/8B/wKiom1Zpf1qhva8MAAAq34bhg0I935.jpg" "244" height="184" />

圖2.8 要求輸入使用者名稱和密碼

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; margin: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image018" border="0" alt="clip_image018" src="http://s3.51cto.com/wyfs02/M01/77/8B/wKiom1Zpf1ugoXekAAA3-aC6jzw402.jpg" "244" height="184" />

圖2.9 報錯資訊

（8）在客戶機上使用賬戶zhangsan登入到域，然後再瀏覽網頁，則該使用者可以正常瀏覽網頁，2.10所示。

650) this.width=650;" style="background-image: none; border-bottom: 0px; border-left: 0px; padding-left: 0px; padding-right: 0px; border-top: 0px; border-right: 0px; padding-top: 0px" title="clip_image020" border="0" alt="clip_image020" src="http://s3.51cto.com/wyfs02/M00/77/8A/wKioL1Zpf1yRKUrwAAAfgzIYzHA634.jpg" "244" height="184" />

圖2.10 正常瀏覽網頁

通過使用者名稱限制使用者上網