通过用户名限制用户上网
u 案例需求
如何使用TMG防火墙通过用户名限制用户上网?
u 知识提示
在TMG防火墙中除了可以通过IP地址限制用户上网外,还可以通过用户名限制用户上网,这时候就需要对用户进行身份验证。一般来说会分为以下两种情况。
? 工作组环境
如果TMG未加入Windows域,则需要使用镜像账号的方式对用户进行身份验证,即在TMG和客户机上分别创建用户名和密码都完全相同的用户账号,TMG对用户身份进行验证。
? Windows域环境
如果TMG已加入到Windows域,就可以直接对AD中已存在的账户或组进行限制,AD对用户身份进行验证。
在此以将TMG加入到Windows域中进行讲解,具体步骤如下。
(1)在AD中新建组,组名为“允许上网用户”,然后将需要允许上网的用户账户加入到该组中,如图2.1所示。
图2.1 新建组
(2)在TMG中新建用户集,用户集名称为“允许上网用户”,如图2.2所示。
图2.2 新建用户集
(3)在“用户”窗口中单击“添加”按钮,然后选择“Windows用户和组”,单击“下一步”按钮,如图2.3所示。
图2.3 输入规则名称
(4)在如图2.4所示窗口中选择在AD中新建的组“允许上网用户”,然后单击“确定”按钮,如图2.5所示,然后单击“下一步”按钮,完成用户集的创建。
图2.4 选择用户或组
图2.5 完成添加用户
(5)在TMG中新建一条访问规则,在新建访问规则向导的“用户集”页面添加新建的用户集“允许上网用户”,将原有的用户集“所有用户”删除,如图2.6所示,然后单击“下一步”按钮,完成访问规则的创建。
图2.6 选择用户集
(6)如果要启用用户身份验证,客户端必须配置为Web代理或TMG防火墙客户端,SecureNAT不支持身份验证。在此将客户机配置为Web代理客户端,如图2.7所示。
图2.7 设置时间计划
(7)在客户机上浏览网页,会要求输入用户名和密码才能够继续,如图2.8所示。正确输入“允许上网用户”组中的账户和密码后,可以正常浏览网页,如果不输入有效的用户名和密码,将会出现如图2.9所示报错页面。
图2.8 要求输入用户名和密码
图2.9 报错信息
(8)在客户机上使用账户zhangsan登录到域,然后再浏览网页,则该用户可以正常浏览网页,如图2.10所示。
图2.10 正常浏览网页