SANGFOR2013年度渠道初级认证培训06_LDAP单点登录培训.ppt

SANGFORAC SGLDAP单点登录 域单点登录功能应用背景及配置思路 域新组件单点登录配置示例 深信服公司简介 域免插件单点登录配置示例 练练手 SANGFORAC SG LDAP域单点登录应用背景 LDAP单点登录功能适用于客户内网已有一台域控制器做桌面管理 部署AC SG设备后 希望实现用户登录域即可上网 无需通过AC SG再次认证 并且AC SG设备上用户的行为记录和域用户名对应 LDAP单点登录有新组件模式 监听模式 免插件 NTLM单点登录四种方式 只有微软的AD域才支持新组件单点登录模式和免插件单点登录模式 只有微软的AD域才支持NTLM单点登录 AD域新组件单点登录模式 AD域安装登录和注销脚本 PC PC请求登录域 域认证成功后 PC执行logon exe脚本 PC运行logon exe成功后 在PC本地的C盘共享目录生成logon txt日志文件 上报成功登录域的信息给AC SG 新组件模式需要在域服务器上配置logon exe和logoff exe脚本 用户登录域或从域注销时会运行相应的脚本 并将获取的信息上报AC SG 配置思路 1 设备启用LDAP单点登录2 设备配置组件模式单点登录信息3 服务器配置登录脚本 AD域免插件单点登录模式 AD域单点登录免插件模式 在内网的一台电脑上安装单点登录客户端程序 通过单点登录客户端程序定时从域服务器上获取PC登录域成功的状态 并将获取的信息上报AC SG设备来实现认证 PC SERVER安装单点登录客户端程序 AD域 只有微软AD的域单点登录支持免插件模式 LDAP域单点登录监听模式 监听模式的单点登录无需在域服务器上安装任何组件 通过监听UDP88端口用户登录域的信息 如果用户成功登录域 AC SG设备则把该用户加入到在线用户列表 通过AC SG的认证 配置思路 1 设备启用LDAP单点登录2 设备配置单点登录信息3 设备设置监听口 域新组件单点登录配置示例 域新组件单点登录配置示例 某公司内网有一台AD域服务器 域名为Vlab cti local IP地址为10 10 2 21 要求内网域用户成功登录域之后 直接通过AC设备的认证上网 同时要求将AD域中所有的OU和用户同步到AC设备的 MSAD域用户组 域单点登录不成功的用户能够直接上网 不弹出用户名密码输入框 与单点登录成功的用户上网权限相同 域新组件单点登录配置示例 配置思路 新增用户组新增认证策略新增外部认证服务器 填写AD域服务器信息设置AD域自动同步策略启用LDAP单点登录 并设置组件模式单点登录信息AD域服务器配置登录和注销脚本 域新组件单点登录配置示例 第一步 新增用户组 MSAD域用户组 域新组件单点登录配置示例 第二步 新建认证策略 域新组件单点登录配置示例 第三步 新增外部认证服务器 配置AD域服务器 域新组件单点登录配置示例 第四步 设置AD域自动同步 将选择的组织结构和用户同步到本地 点击 立即同步 发送同步命令 刷新查看最后同步状态为 同步成功 后 即可在设备的组织结构中查看到域服务器中的组和用户 域新组件单点登录配置示例 第五步 设备启用LDAP单点登录 并设置组件模式单点登录信息 设置共享密钥 域服务器上配置单点登录脚本时也需要设置相同的共享密钥 域新组件单点登录配置示例 第六步 域服务器上配置登录和注销脚本 从设备控制台下载登录脚本到本地 然后把存放在域服务器本地的登录脚本logon exe拖到这里 脚本参数格式 AC的IP 端口号 固定是1773 密钥 必须与AC控制台设置的密钥一致 这里只例举了添加登录脚本的方法 AD域服务器详细配置见 AD域单点登录操作文档 域新组件单点登录配置示例 域组织结构OU train 下的用户user3登录域之后 成功通过AC的认证 可以直接上网 域免插件单点登录配置示例 域免插件单点登录配置示例 某公司内网有一台AD域服务器 域名为Vlab cti local IP地址为10 10 2 21 要求内网域用户成功登录域之后 直接通过AC设备的认证上网 且不希望更改域服务器的任何设置 客户要求将AD域中所有的OU和用户同步到AC设备的 MSAD域用户组 域单点登录不成功的用户能够直接上网 不弹出用户名密码输入框 与单点的登录成功的用户上网权限相同 域免插件单点登录配置示例 配置思路 新增用户组新增认证策略新增外部认证服务器 填写AD域服务器信息设置AD域自动同步策略启用LDAP单点登录 并设置组件模式单点登录信息安装和配置免插件单点登录客户端 域免插件单点登录配置的第1 5步与域新组件单点登录配置相同 配置步骤不再赘述 域免插件单点登录配置示例 第六步 安装和配置免插件单点登录客户端 6 1免插件单点登录客户端安装环境要求 1 操作系统 WINDOWSXP VISTA WIN7 WIN2003 WIN2008都可以 对于VISTA WIN7 WIN2008系统 运行免插件软件必须右键以管理员权限运行 2 用户权限 是域控上具有管理员权限的账号 并且是administrators组中的帐号3 AC SG设备版本 支持AC SG IAM三个产品线 支持2 x及以后版本 域免插件单点登录配置示例 6 2安装免插件单点登录安装工具 软件下载地址 域免插件单点登录配置示例 6 3配置免插件单点登录客户端配置域控制器 具有管理员权限的账号 并且在域控的administrators安全组中 域免插件单点登录配置示例 6 3配置免插件单点登录客户端配置设备信息 与AC设备上设置的共享密钥保持一致 域控制器和设备的状态都处于 OK 说明连通性正常 域免插件单点登录配置示例 域组织结构OU train 下的用户user3登录域之后 成功通过AC的认证 可以直接上网 域免插件单点登录注意事项 支持多台AC SG设备 多台域控同时实现单点登录 免插件安装不支持安装在域控服务器上 免插件单点登录 不支持注销功能 用户注销通过超时注销机制解决 练练手 某公司内网有一台AD域服务器 域名为 IP地址为192 168 1 24 要求内网域用户成功登录域之后 不需要再通过AC设备的认证 单点登录成功的用户自动添加到AC设备的 MSAD域新用户组 中 请试着用LDAP域新组件单点登录和免插件单