通过用户名限制用户上网

u 案例需求

如何使用TMG防火墙通过用户名限制用户上网?

u 知识提示

在TMG防火墙中除了可以通过IP地址限制用户上网外,还可以通过用户名限制用户上网,这时候就需要对用户进行身份验证。一般来说会分为以下两种情况。

? 工作组环境

如果TMG未加入Windows域,则需要使用镜像账号的方式对用户进行身份验证,即在TMG和客户机上分别创建用户名和密码都完全相同的用户账号,TMG对用户身份进行验证。

? Windows域环境

如果TMG已加入到Windows域,就可以直接对AD中已存在的账户或组进行限制,AD对用户身份进行验证。

在此以将TMG加入到Windows域中进行讲解,具体步骤如下。

(1)在AD中新建组,组名为“允许上网用户”,然后将需要允许上网的用户账户加入到该组中,如图2.1所示。

通过用户名限制用户上网_工作组

图2.1 新建组

(2)在TMG中新建用户集,用户集名称为“允许上网用户”,如图2.2所示。

通过用户名限制用户上网_Windows_02

图2.2 新建用户集

(3)在“用户”窗口中单击“添加”按钮,然后选择“Windows用户和组”,单击“下一步”按钮,如图2.3所示。

通过用户名限制用户上网_Windows_03

图2.3 输入规则名称

(4)在如图2.4所示窗口中选择在AD中新建的组“允许上网用户”,然后单击“确定”按钮,如图2.5所示,然后单击“下一步”按钮,完成用户集的创建。

通过用户名限制用户上网_Windows_04

图2.4 选择用户或组

通过用户名限制用户上网_工作组_05

图2.5 完成添加用户

(5)在TMG中新建一条访问规则,在新建访问规则向导的“用户集”页面添加新建的用户集“允许上网用户”,将原有的用户集“所有用户”删除,如图2.6所示,然后单击“下一步”按钮,完成访问规则的创建。

通过用户名限制用户上网_Windows_06

图2.6 选择用户集

(6)如果要启用用户身份验证,客户端必须配置为Web代理或TMG防火墙客户端,SecureNAT不支持身份验证。在此将客户机配置为Web代理客户端,如图2.7所示。

通过用户名限制用户上网_工作组_07

图2.7 设置时间计划

(7)在客户机上浏览网页,会要求输入用户名和密码才能够继续,如图2.8所示。正确输入“允许上网用户”组中的账户和密码后,可以正常浏览网页,如果不输入有效的用户名和密码,将会出现如图2.9所示报错页面。

通过用户名限制用户上网_工作组_08

图2.8 要求输入用户名和密码

通过用户名限制用户上网_IP地址_09

图2.9 报错信息

(8)在客户机上使用账户zhangsan登录到域,然后再浏览网页,则该用户可以正常浏览网页,如图2.10所示。

通过用户名限制用户上网_工作组_10

图2.10 正常浏览网页