SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术

SANGFORSSLVPN用户认证技术,用户认证功能介绍,深信服公司简介,练练手,SANGFORSSL,用户认证配置和案例学习,SSL用户和用户组,用户：登录SSLVPN的账号，分为公有用户和私有用户。私有用户只能同时一人登录，公有用户允许多人同时登录。用户组：由“用户”组成，每个“用户”必须属于唯一的“用户组”，root根组和默认用户组无法删除。,SSL用户组的添加,选择账户类型和认证方式,填写组名和所属组,可选关联策略组与角色,SSL用户的添加,SSLVPN用户认证方式,外部认证,认证方式,本地认证,用户名、密码认证,数字证书,硬件特征码认证,短信认证,LDAP认证,RADIUS认证,辅助认证（可选）,主要认证（必须选择一种）,令牌认证（RADIUS认证）,/DKEY认证,（私有用户）,（私有用户）,（公有/私有用户）,（公有/私有用户）,（公有/私有用户）,（公有/私有用户）,（公有/私有用户）,SSLVPN用户认证方式,SSLVPN的用户必须使用一种主要认证方式，也可以使用主要认证再结合多种辅助认证的方式。如果设置了多种主要认证方式，可选择必须通过所有的主要认证或通过其中一种主要认证方式即可。,SSLVPN用户认证方式,本PPT介绍四种常用的主要认证和辅助认证方式：1.用户名密码认证2.数字证书认证3.短信认证4.硬件特征码认证,用户名密码认证,用户名密码认证，即用户通过输入用户名和密码登录SSLVPN。,用户名密码认证,为了加强用户名密码认证的安全性，可启用密码安全策略，软键盘和图形校验码功能。,数字证书认证,第三方CA,自建CA,数字证书,数字证书,DKEY,数字证书认证,DKEY,有驱DKEY,无驱DKEY,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，用来标识和证明网络通信双方的身份，此认证方法更为安全可靠。SANGFOR数字证书认证支持设备自建CA认证和第三方CA认证。,生成了无驱DKEY，不能再生成有驱DKEY；有驱DKEY，可再生成无驱DKEY。,数字证书认证（生成证书）,只有私有用户类型才能选择数字证书/DKEY认证,设置证书密码，用户安装此证书时需要填入相同的密码才允许安装。,数字证书认证（生成有驱DKEY）,如果要实现有驱KEY拔KEY注销功能，必须启用USBKeyV2,创建DKEY之前需将DKEY插入电脑中,数字证书认证（生成无驱DKEY）,无驱DKEY，必须启用USBKEYV2，才能实现DKEY接入和拔出注销。,创建DKEY之前请先将DKEY插入电脑中,硬件特征码认证,通过硬件特征码认证可实现SSLVPN帐号和电脑硬件特征的绑定，某账号只能通过固定的一台或几台电脑登录，确保了接入的安全性。硬件特征码认证读取接入电脑的硬件信息顺序:硬盘ID-网卡MAC-C盘ID-D盘ID-E盘ID.硬件特征码认证属于辅助认证，必须同时使用一种主要认证。,一般先开启硬件特征码收集，待用户全部提交硬件特征码后，再启用硬件特征码认证。,SSL用户配置案例学习,管理员如何查看、审批、删除硬件特征码？,短信认证,SSL设备通过发送短信校验码至用户绑定的手机号码上,用户正确输入短信校验码后才能登录SSL。短信认证需开通序列号才能使用。短信认证属于辅助认证，必须同时使用一种主要认证。,可支持如下短信网关类型,短信认证（使用内置短信猫）,1、内置短信猫的安装,短信猫直接连接设备的接口，如下：,设备发货时会配好对应的串行线,接线注意事项：a)将一张手机SIM卡放入短信Modem内。b)短信Modem通过发货时自带的串口线连接到设备的com口。,短信认证（使用内置短信猫）,2、短信认证设置,短信认证（使用外置短信网关）,1、外置短信网关服务器软件安装,接线注意事项：a)将一手机SIM卡放入短信Modem内。b)短信Modem通过发货时自带的串口线连接到短信服务器（电脑）的COM口。c)确保串口线和短信Modem以及串口线和短信服务器接触良好。系统要求：WindowsXP、Windows2000/2003/2008，不支持vista系统。,在服务器上安装短信网关服务器软件,a双击短信服务软件安装包，按照安装提示，点击下一步，直到出现以下软件安装目录选择页面，请保留默认的安装路径，否则短信服务无法正常启动。,短信认证外置短信网关,1、外置短信网关服务器软件安装,b按照安装提示操作，最后完成安装,c软件安装完成后，短信服务会以系统服务的形式自动运行短信服务进程为SMSSP.exe,在服务列表中能够看到短信服务SMSSERVICE,d在系统的“开始”菜单打开短信服务软件的控制台，进行配置,在系统桌面右下角的控制台能够看到当前短信服务的状态，左图为服务正常，右图为服务异常,如果软件安装好后，服务仍然显示停止，一般情况下是由于软件没有安装在系统盘下造成的，请把软件重新安装在默认路径下。,e鼠标右键点击控制台，选择【Config】,在软件服务的监听端口设置对话框里，设置好监听端口（TCP端口），如果服务器还提供其他服务，要保证设置的端口和这些服务的端口不冲突,如果短信服务器上装有防火墙软件，必须保证防火墙有放通此处设置的短信服务监听端口。至此外置短信服务器设置完毕。,短信认证（使用外置短信网关）,3、短信认证设置,SSL用户认证案例学习,SSL用户认证案例学习,背景介绍：某客户公司希望实现财务部用户通过数字证书，其余用户通过账号密码，且所有用户均只能使用自己的工作电脑接入SSLVPN。,配置思路：1）开启硬件特征码认证2）添加2个用户组，财务组使用数字证书和硬件特征码认证，普通用户组使用用户名密码和硬件特征码认证。3）添加用户关联到组，使用组属性。,SSL用户认证案例学习,1）开启硬件特征码认证控制台左树依次展开【SSLVPN设置】-【认证设置】点击【硬件特征码】处的设置,SSL用户认证案例学习,2）添加用户组控制台左树依次展开【SSLVPN设置】-【用户管理】，点击【新建】-【用户组】,SSL用户认证案例学习,3）添加用户关联到组，使用数字证书以及硬件特征码认证。,SSL用户认证案例学习,4）添加用户关联到组，使用用户名密码以及硬件特征码认证。,SSL用户认证案例学习,5）设置用户与硬件特征码的一一对应关系，限制用户只能在自己电脑登录,SSL用户认证案例学习,1.数字证书和硬件特征码认证的用户登录访问SSLVPN的过程：,1）将生成的数字证书发给移动用户,2）移动用户双击数字证书进行安装，如下图所示：,可以通过查看浏览器，检查证书是否安装成功,SSL用户认证案例学习,1.数字证书和硬件特征码认证的用户登录访问SSLVPN的过程：,3）移动用户通过IE浏览器登录SSLVPN,SSL用户认证案例学习,2.用户名密码和硬件特征码认证的用户登录访问SSLVPN的过程：,移动用户通过IE浏览器登录SSLVPN,练练手,某客户希望实现用户登录SSLVPN时，除了输入自己的账号和密码，设备还能发一条短信，把校验码发到用户的手机，用户必须输入校验码才能成功登录。,您有什么样的方案能满足客户的需求呢？,我们的建议：1、添加用户组，设置用户名密码加短信认证2、添加用户到用户组，设置密码和手机号码,1.请问以下图片中为什