SANGFOR_SSL_v58_____年度渠道高级认证培训01_与第三方服务器结合认证.ppt

SANGFORSSLVPN与第三方服务器结合认证 SSL与第三方结合认证功能介绍及配置 组映射和角色映射功能介绍及配置 深信服公司简介 LDAP导入用户到本地功能介绍及配置 练练手 SANGFORSSL 第三方服务器认证介绍 SANGFORSSLVPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证 外部认证也是一种主要认证方式 用户名密码认证与外部认证不能同时启用 第三方服务器认证介绍 LDAP认证 轻量级目录访问协议 移动用户接入SSLVPN 需要到LDAP服务器上去认证 认证成功后LDAP服务器会将校验信息返回给SSL设备 同时用户登录SSLVPN成功 SSLVPN支持所有使用标准LDAP协议的认证服务器 LDAP认证常用端口 TCP389 第三方服务器认证介绍 RADIUS认证 远程用户拨号认证系统 是目前应用最广泛的AAA协议 认证交互过程 1 用户输入用户名和口令 2 radius客户端 NAS 根据获取的用户名和口令 向radius服务器发送认证请求包 access request 3 radius服务器将该用户信息与users数据库信息进行对比分析 如果认证成功 则将用户的权限信息以认证响应包 access accept 发送给radius客户端 如果认证失败 则返回access reject响应包 RADIUS认证常用端口 UDP1812 认证 UDP1813 计费 LDAP认证配置介绍 新建LDAP认证服务器 设置相关信息 域管理员Administrator在域服务器的Users文件夹下 管理员路径填写格式为 cn Administrator cn Users dc sangfor dc com注意管理员的格式 需要添加域名 支持的域服务器类型 MSActiveDirectory 指微软域用户LDAPServer 指除微软域以外的其他LDAPMSActiveDirectoryVPN 指微软域内带有允许接入微软VPN属性的用户 RADIUS认证配置介绍 新建RADIUS认证服务器 设置相关信息 共享密钥 与RADIUS服务器设置相同 LDAP结合认证典型案例及配置 LDAP结合认证典型案例及配置 客户需求 客户内网已部署好LDAP服务器 通过域来管理内网用户 客户使用SANGFORSSLVPN设备 希望移动用户登录SSLVPN时使用LDAP上的用户名和密码进行认证 解决方案 使用SSLVPN与客户原有LDAP服务器结合认证 无需在设备上创建本地账号 客户网络环境 LDAP结合认证典型案例及配置 配置思路 1 配置LDAP服务器 在OU中新建用户 2 SSLVPN新建LDAP服务器 结合LDAP认证 3 使用域账号登陆SSLVPN LDAP结合认证典型案例及配置 1 在LDAP服务器下创建一个用户名为 test1 的用户 LDAP结合认证典型案例及配置 2 SSLVPN设备上 新建LDAP认证服务器并填写相应信息 LDAP认证配置介绍 3 移动用户通过域账号和密码登录SSLVPN 组映射和角色映射功能介绍及配置 组映射和角色映射功能介绍 LDAP组映射 将LDAP上的OU以用户组的形式导入到SSL设备上 或者将OU一一映射给设备上的某个组 将LDAP服务器中的OU导入到SSL设备中 只导入用户组 不导入用户 可分别对用户组设置不同的角色和策略 用户通过认证后获得相应组的权限 组映射和角色映射功能介绍 LDAP角色映射 将LDAP上的安全组以角色的形式导入到SSL设备上 或者将安全组一一映射给设备上的某个角色 组映射和角色映射功能介绍 RADIUS组映射 RADIUS用户登录SSL时 根据Class属性字段进行分组 LDAP导入用户到本地功能介绍及配置 LDAP导入用户到本地功能介绍 LDAP导入用户到本地 实现将LDAP服务器中的用户以及组织结构导入到SSLVPN组织结构中 可分别为不同的用户或者用户组关联策略组和角色 功能需求 LDAP服务器上不同的用户需要具有不同的资源访问权限和策略组 LDAP导入用户到本地功能配置 1 认证设置 新建LDAP认证服务器并填写相应信息 省略配置 2 认证设置 选择需要导入用户的LDAP服务器 点击 导入用户到本地 将域服务器中的组织结构导入到SSL设备中 LDAP导入用户到本地功能配置 3 用户管理 查看是否有LDAP服务器中同步过来的用户和用户组 与LDAP服务器中的组织结构和用户一致 LDAP导入用户到本地功能补充说明 1 如果某用户 user3 在LDAP服务器中被禁用 通过LDAP导入功能 能将此用户成功导入到SSL设备 但是移动用户使用域用户 user3 登录SSLVPN进行认证时 会认证失败 2 SSL设备的组织结构中 不能存在同名的用户 如果设备组织结构中已经存在用户 user4 本地认证或者通过RADIUS认证 LDAP服务器中也存在同名用户 user4 则从LDAP服务器中导入用户 user4 不成功 LDAP导入用户到本地功能补充说明 3 从LDAP服务器导入用户到本地设置中 对已经导入用户的覆盖 只能覆盖通过LDAP服务器导入的同名用户 特殊案例 SSL结合飞天诚信动态令牌进行认证 动态令牌是根据专门的算法生成一个不可预测的随机数字组合 一个密码使用一次有效 目前被广泛运用在网银 网游 电信运营商 电子政务 企业等应用领域 常见的我们SSL设备跟OTP飞天诚信动态令牌结合做认证 接下来介绍OTPServer认证服务器的安装配置 OTP管理平台的安装配置和深信服SSL设备的配置方法 SSL结合飞天诚信动态令牌进行认证 SSL结合飞天诚信动态令牌进行认证 对于SSL设备来说就是radius认证 在搭建好OTP服务器之后 SSL设备仅仅需要配置radius认证部分即可 具体步骤如下 1 安装和配置数据库系统 创建OTPServer数据库和数据库表 2 安装 配置并运行OTPServer认证服务器 安装过程中需要授权文件 3 安装 配置并运行OTP管理中心 安装或配置过程中需要授权文件 4 令牌的导入和与用户帐号的绑定 在OTP管理中心中导入令牌种子 5 SSL上配置Radius认证方式 注 前4个步骤配置 请参考文档 OTPServerRadius应用安装配置手册 本PPT重点讲SSL设备上的配置以及测试效果 附 OTPServerRadius应用安装配置手册 下载链接 SSL结合飞天诚信动态令牌进行认证 1 点击 SSLVPN设置 认证设置 Radius认证 设置 新建一个radius认证服务器 SSL结合飞天诚信动态令牌进行认证 2 将用户映射到之前新建的 radius测试组 支持根据Class属性字段进行分组 SSL结合飞天诚信动态令牌进行认证 3 编辑radius用户组 认证选项 外部认证 选择otp 给该用户组关联资源完成配置 SSL结合飞天诚信动态令牌进行认证效果展示 1 登录用户登录页面 2 输入此时手上令牌的密码进行登录 附认证成功的系统日志如图所示 注意事项 1 登录VPN后弹出挑战认证框 可能是Radiusserver启用了challenge认证方式 2 Radius里的chap支持支持v1 v2 3 PPTP不支持外部认证 PPTP登录的用户不支持Radius认证 想一想 1 如果本地认证存在用户 test 外部认证服务器里也有同名的用户 test 那么移动用户使用 test 这个账号登录SSLVPN时 会匹配本地认证还是去外部认证服务器认证呢 如果本地认证和外部认证存在有相同的用户名时 优先匹配本地认证 当本地认证不通过时 返回用户名密码错误的提示 2 如下图所示 在同一个LDAP服务器设置中添加两个域服务器的IP和端口 和分别添加两个LDAP服务器 认证过程是否相同 图2的设置方法 如果这两个服务器上都存在相同用户名时 按照外部认证服务器的顺序进行认证匹配 直到找到第一个认证成功的外部认证服务器 如果所有外部认证服务器都认证失败 才返回用户名密码错误的提示 想一想 图1的设置方法 用于多个LDAP服务器群做主备的情况 当设备连接不上第一个服务器时 再去连接第二个服务器 如果第一个服务器能连接上 返回认证失败信息 则不会再连接第二个服务器 练练手 某公司购买了SANGFORSSLVPN设备给公网移动用户提供安全接入实现访问公司内网资源 由于客户内网已有LDAP服务器来管理用户 需要实现的功能如下 1 公网移动用户接入SSLVPN时到LDAP服务器上去认证 认证成功后允许接入SSLVPN 在LDAP服务器上创建一个名为 ALL 的OU 在 ALL 的OU下创建一个子OU support 和直属用户 test1 在子OU support 下创建两个用户 test2和test3 要求将 ALL 的OU结构映射到SSL的根组下 为 ALL 用户组和 support 用户组关联不同的资源 组织结构下的用户接入后可以正常访