SANGFORSSLVPN用户认证技术.ppt

SANGFOR SSL VPN 用户认证技术,SSL 用户和用户组,用户： 登录SSL VPN的账号，分为公有用户和私有用户。 私有账号只能同时一个人登陆，公有用户允许多人同时登陆。 用户组： 由“用户”组成，每个“用户”必须属于唯一的“用户组”，root根组无法删除。,填写组名（名称）并选择所需认证方式,选择是否强制子组及用户继承,配置完成,确定保存,采用用户名密码及硬件特征码认证,新增组,点击新增用户,填写用户名(根据认证属性决定是否需要填写密码以及生成证书,详细请参照”用户认证方式”部分； 选择此用户所属组,test组认证属性为用户名密码及硬件特征码认证，如勾选继承用户组属性，则只需要填写密码不需要生成证书,如去掉勾则为此用户单独定义认证方式,SSL VPN 用户认证方式,外部认证,认证方式,本地认证,用户名、密码认证,数字证书,硬件特征码认证,短信认证,LDAP认证,RADIUS认证,辅助认证 （可选）,主要认证 （必须）,令牌认证（RADIUS认证）,/DKEY认证,SSL VPN 用户认证方式,SSL VPN的用户必须使用一种主要认证方式，也可以使用主要认证再结合多种辅助认证的方式。 本PPT介绍常用的四种主要认证和辅助认证方式： 1. 用户名密码认证 2. 数字证书认证 3. 短信认证 4. 硬件特征码认证,用户名密码认证配置,填写登录时使用的用户名,填写登录时使用的密码并重复输入进行确认,使用用户名密码认证时，可选择【公共用户】或【私有用户】,根据客户需求选择。 公共用户:允许多个人同时使用此账号登录； 私有用户:同一时间内只允许一个人使用此账号登录。,勾选【用户名/密码】,表示启用用户名密码认证方式,当启用多种认证方式时需选择【与】、【或】。 与:所有启用的认证方式均通过才表示认证成功； 或:启用认证方式中任一 一个通过则表示认证成功。,最基本的认证方式，所添加用户的用户名密码信息库保存在SSL设备中，属于设备本地认证,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件用来标志和证明网络通信双方的身份，此认证方法更为安全可靠。Sangfor SSLVPN设备支持内置CA中心以及与第三方CA认证中心的结合。,数字证书认证配置,填写登录时使用的用户名,只启用数字证书认证可不用填写密码,当选择为【公共用户】时，【数字证书/Dkey认证】及【短信】为不可选状态,必须选择【私有用户】。,选择【私有】用户并勾选【数字证书/Dkey认证】,给用户生成数字证书,企业自建CA时【导入证书】不可选,点击下一步,颁发给指定为用户名不可修改,个属性栏可随意填写但不能留空（证书密码可以留空）,生成证书,下载保存到本地PC,硬件特征码认证,实现SSL VPN帐号和电脑硬件特征的绑定(读取绑定信息顺序:硬盘ID -网卡mac -C盘ID -D盘ID-E盘ID.），防止他人盗用帐号在其他电脑上登录。 硬件特征码认证属于辅助认证，必须同时使用一种主要认证。,此页面用于全局启用硬件特征码功能,单个用户日常使用多台电脑登录SSL时需绑定多个硬件特征码,勾选【硬件特征码】,短信认证,申请开通短信认证序列号,设备端发送短信校验码至用户手机上,用户正确输入后才能登陆SSL。 短信认证属于辅助认证,必须同时使用一种主要认证。,内置短信模块:短信猫直连SSL设备 外置短信模块:短信猫连接PC,PC上安装外置 短信服务器软件实现设备与短信猫的通讯。,SMSC号码:填写当地移动短信服务号码（短信猫暂不支持联通）,其他保持默认即可,地址:填写安装短信网关服务器软件PC的IP地址 端口:与服务器软件设置相同即可（需保证PC上没有 其他服务使用此端口产生冲突）,短信认证短信猫,1、内置短信猫的安装,短信猫直接连接设备,根据设备型号不同，可用户连接短信猫的接口分别有：,设备发货时会配好串行线，如接口为以太口则会配备转接线,接线注意事项： a.将一手机sim 卡放入短信Modem 内。 b.短信Modem 通过发货时自带的串口线（一端为公头，另一端为母头）连接到设备的com或console 口。 c.把接口上的旋钮扭紧，确保串口线和短信Modem 以及串口线和设备接触良好。,短信认证短信猫,2、短信认证设置,选择【启用内置短信模块】,根据喜好设置验证有效时间（如超时则需要重新获取短信验证码进行认证）和短信内容,填写当地移动短信服务号码，可向移动询问到,添加用户时勾选【短信认证】,填写要发送短信的手机号码,短信认证外置短信网关,1、外置短信网关服务器软件安装,接线注意事项： a.将一手机sim 卡放入短信Modem 内。 b.短信Modem 通过发货时自带的串口线（一端为公头，另一端为母头）连接到短信服务器（电脑）的com 口。 c.把接口上的旋钮扭紧，确保串口线和短信Modem 以及串口线和短信服务器接触良好。 系统要求：Windows XP、Windows 2000、Windows 2003，不支持vista 系统。,在服务器上安装短信网关服务器软件,a 双击短信服务软件安装包，按照安装提示，点击下一步，直到出现以下软件安装目录选 择页面，请保留默认的安装路径，否则短信服务无法正常启动。,短信认证外置短信网关,1、外置短信网关服务器软件安装,b 按照安装提示操作，最后完成安装,c 软件安装完成后，短信服务会以系统服务的形式自动运行短信服务进程为SMSSP.exe,在服务列表中能够看到短信服务SMSSERVICE,d 在系统的“开始”菜单打开短信服务软件的控制台，进行配置,在系统桌面右下角的控制台能够看到当前短信服务的状态，左图为服务正常，右图为服务异常,如果软件安装好后，服务仍然显示停止，一般情况下是由于软件没有安装在系统盘下造成的，请把软件重新安装在默认路径下。,e 鼠标右键点击控制台，选择【Config】,在软件服务的监听端口设置对话框里，设置好监听端口（TCP 端口），如果服务器还提供其他服务，要保证设置的端口和这些服务的端口不冲突,如果短信服务器上装有防火墙软件，必须保证防火墙有放通此处设置的短信服务监听端口。至此外置短信服务器设置完毕。,短信认证外置短信网关,2、短信认证设置,选择【启用外置短信模块】，并设置短信服务器的IP和端口,根据喜好设置验证有效时间（如超时则需要重新获取短信验证码进行认证）和短信内容,填写当地移动短信服务号码，可向移动询问到,添加用户时勾选【短信认证】,填写要发送短信的手机号码,SSL用户配置案例,背景介绍： 客户需求，外网用户登录SSL，只能在自己的电脑上使用自己的用户名和密码登录，并且为了确保安全，需要启用数字证书进行双向认证。,配置思路： a 全局开启硬件特征码认证 b 添加用户组 c 添加用户关联到组，使用用户名密码、数字证书以及硬件特征码 认证,SSL用户访问案例配置,a 全局开启硬件特征码认证,控制台左树依次展开【SSLVPN设置】-【基础配置】点击【硬件特征码配置】,启用认证,SSL用户访问案例配置,b 添加用户组,控制台左树依次展开【SSLVPN设置】-【用户管理】点击【用户数据】,填写组的【名称】，勾选客户需求的认证方式,SSL用户访问案例配置,c 添加用户关联到组，使用用户名密码、数字证书以及硬件特征码认证,刚添加的组显示在列表里,填写好为此用户分配的用户名密码,填写相应信息后点击【生成】,证书保存到本地,生成的证书字段,选择此用户所要关联到的组,点击选择【一般用户组】,刚生成的用户,最后一定要点击【配置生效】,SSL用户访问案例配置,用户登录访问SSL VPN的过程,1、将生成的数字证书 发送给移动用户并安装证书,2、移动用户通过浏览器登录SSLVPN,2.1、输入用户名密码,2.2、自动提交硬件特征码,双击数字证书 进行安装,出现左图,通过浏览器查看证书是否成功安装,如图表示导入成功,浏览器内输入SSLVPN登录地址打开登录页面,点击登录,会出现此提示页面，稍等几秒页面会自动跳转,设备管理界面如图会保存移动用户所提交的特征码信息,最后跳转至此页面表示登陆成功,用户登录认证不成功实例,1、用户名密码错误,2、未安装数字证书,3、1个用户只能帮定1个硬件特征码时，更换PC登录,SSL用户访问案例配置,正确密码为123456,现输入123,提示错误,填写正确的用户名密码,提示错误,1个用户最多可拥有1个硬件特征码,用户名密码及数字证书认证成功后