SANGFOR_SSL_v6.8_2015年度渠道高级认证培训02_用户认证进阶培训

SANGFORSSLVPN用户认证进阶培训,SSL与第三方结合认证功能介绍及配置,组映射和角色映射功能介绍及配置,LDAP导入用户到本地功能介绍及配置,WebService短信认证配置指导,SANGFORSSL,第三方CA证书认证配置指导,第三方服务器认证介绍,SANGFORSSLVPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。,第三方服务器认证介绍,LDAP认证：轻量级目录访问协议。移动用户接入SSLVPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSLVPN成功。SSLVPN支持所有使用标准LDAP协议的认证服务器。LDAP认证常用端口：TCP389,第三方服务器认证介绍,RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。认证交互过程：1.用户输入用户名和口令；2.radius客户端(NAS)根据获取的用户名和口令，向radius服务器发送认证请求包（access-request）。3.radius服务器将该用户信息与users数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius客户端；如果认证失败，则返回access-reject响应包。RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。,LDAP认证配置介绍,新建LDAP认证服务器，设置相关信息。,域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理员的格式，需要添加域名！,支持的域服务器类型：MSActiveDirectory：指微软域用户LDAPServer：指除微软域以外的其他LDAPMSActiveDirectoryVPN：指微软域内带有允许接入微软VPN属性的用户,RADIUS认证配置介绍,新建RADIUS认证服务器，设置相关信息。,共享密钥:与RADIUS服务器设置相同,组映射和角色映射功能介绍及配置,组映射和角色映射功能介绍,LDAP组映射：将LDAP上的OU以用户组的形式导入到SSL设备上，或者将OU一一映射给设备上的某个组。,将LDAP服务器中的OU导入到SSL设备中，只导入用户组，不导入用户。可分别对用户组设置不同的角色和策略，用户通过认证后获得相应组的权限,组映射和角色映射功能介绍,LDAP角色映射：将LDAP上的安全组以角色的形式导入到SSL设备上，或者将安全组一一映射给设备上的某个角色。,组映射和角色映射功能介绍,RADIUS组映射：RADIUS用户登录SSL时，根据Class属性字段进行分组。,LDAP导入用户到本地功能介绍,LDAP导入用户到本地：实现将LDAP服务器中的用户以及组织结构导入到SSLVPN组织结构中，可分别为不同的用户或者用户组关联策略组和角色。功能需求：LDAP服务器上不同的用户需要具有不同的资源访问权限和策略组。,LDAP导入用户到本地功能配置,1.【认证设置】，新建LDAP认证服务器并填写相应信息。（省略配置）,2.【认证设置】，选择需要导入用户的LDAP服务器，点击“导入用户到本地”,将域服务器中的组织结构导入到SSL设备中。,LDAP导入用户到本地功能配置,3.【用户管理】，查看是否有LDAP服务器中同步过来的用户和用户组。,与LDAP服务器中的组织结构和用户一致。,LDAP导入用户到本地功能补充说明,1.如果某用户“user3”在LDAP服务器中被禁用，通过LDAP导入功能，能将此用户成功导入到SSL设备。但是移动用户使用域用户“user3”登录SSLVPN进行认证时，会认证失败。,2.SSL设备的组织结构中，不能存在同名的用户。如果设备组织结构中已经存在用户“user4”（本地认证或者通过RADIUS认证），LDAP服务器中也存在同名用户“user4”，则从LDAP服务器中导入用户“user4”不成功。,LDAP导入用户到本地功能补充说明,3.从LDAP服务器导入用户到本地设置中，对已经导入用户的覆盖，只能覆盖通过LDAP服务器导入的同名用户。,LDAP结合认证典型案例及配置,客户需求：客户内网已部署好LDAP服务器，通过域来管理内网用户。客户使用SANGFORSSLVPN设备，希望移动用户登录SSLVPN时使用LDAP上的用户名和密码进行认证。解决方案：使用SSLVPN与客户原有LDAP服务器结合认证，无需在设备上创建本地账号。,客户网络环境：,LDAP结合认证典型案例及配置,配置思路：1.配置LDAP服务器，在OU中新建用户。2.SSLVPN新建LDAP服务器，结合LDAP认证。3.使用域账号登陆SSLVPN。,LDAP结合认证典型案例及配置,1.在LDAP服务器下创建一个用户名为“test1”的用户,LDAP结合认证典型案例及配置,2.SSLVPN设备上，新建LDAP认证服务器并填写相应信息,LDAP认证配置介绍,3.移动用户通过域账号和密码登录SSLVPN。,特殊案例：SSL结合飞天诚信动态令牌进行认证,动态令牌是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效，目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。常见的我们SSL设备跟OTP飞天诚信动态令牌结合做认证。接下来介绍OTPServer认证服务器的安装配置、OTP管理平台的安装配置和深信服SSL设备的配置方法。,SSL结合飞天诚信动态令牌进行认证,SSL结合飞天诚信动态令牌进行认证，对于SSL设备来说就是radius认证，在搭建好OTP服务器之后，SSL设备仅仅需要配置radius认证部分即可。具体步骤如下：(1)安装和配置数据库系统，创建OTPServer数据库和数据库表(2)安装、配置并运行OTPServer认证服务器，安装过程中需要授权文件(3)安装、配置并运行OTP管理中心，安装或配置过程中需要授权文件(4)令牌的导入和与用户帐号的绑定，在OTP管理中心中导入令牌种子(5)SSL上配置Radius认证方式,注：前4个步骤配置，请参考文档OTPServerRadius应用安装配置手册，本PPT重点讲SSL设备上的配置以及测试效果。,附OTPServerRadius应用安装配置手册下载链接：,SSL结合飞天诚信动态令牌进行认证,1、点击“SSLVPN设置-认证设置-Radius认证-设置”新建一个radius认证服务器,SSL结合飞天诚信动态令牌进行认证,2、将用户映射到之前新建的“radius测试组”,支持根据Class属性字段进行分组,SSL结合飞天诚信动态令牌进行认证,3、编辑radius用户组，认证选项“外部认证”选择otp,给该用户组关联资源完成配置。,SSL结合飞天诚信动态令牌进行认证效果展示：,1、登录用户登录页面,2、输入此时手上令牌的密码进行登录,附认证成功的系统日志如图所示,注意事项：1、登录VPN后弹出挑战认证框，可能是Radiusserver启用了challenge认证方式。2、Radius里的chap支持支持v1、v2。3、PPTP不支持外部认证，PPTP登录的用户不支持Radius认证。,想一想,1.如果本地认证存在用户“test”，外部认证服务器里也有同名的用户“test”，那么移动用户使用“test”这个账号登录SSLVPN时，会匹配本地认证还是去外部认证服务器认证呢？,如果本地认证和外部认证存在有相同的用户名时，优先匹配本地认证，当本地认证不通过时，返回用户名密码错误的提示。,2.如下图所示，在同一个LDAP服务器设置中添加两个域服务器的IP和端口，和分别添加两个LDAP服务器，认证过程是否相同？,图2的设置方法：如果这两个服务器上都存在相同用户名时，按照外部认证服务器的顺序进行认证匹配，直到找到第一个认证成功的外部认证服务器，如果所有外部认证服务器都认证失败，才返回用户名密码错误的提示。,想一想,图1的设置方法：用于多个LDAP服务器群做主备的情况。当设备连接不上第一个服务器时，再去连接第二个服务器。如果第一个服务器能连接上，返回认证失败信息，则不会再连接第二个服务器。,练练手,某公司购买了SANGFORSSLVPN设备给公网移动用户提供安全接入实现访问公司内网资源，由于客户内网已有LDAP服务器来管理用户，需要实现的功能如下：1.公网移动用户接入SSLVPN时到LDAP服务器上去认证，认证成功后允许接入SSLVPN。在LDAP服务器上创建一个名为“ALL”的OU，在“ALL”的OU下创建一个子OU“support”和直属用户“test1”，在子OU“support”下创建两个用户：test2和test3。要求将“ALL”的OU结构映射到SSL的根组下，为“ALL”用户组和“support”用户组关联不同的资源，组织结构下的用户接入后可以正常访问对应的资源。,第三方CA证书认证配置指导,CA简介,CA(CertificateAuthority)认证中心是权威、公正的第三方机构，专门负责发放并管理数字证书。CA主要用于证书颁发、证书更新、证书吊销、证书状态的在线查询，证书认证等。CA通常建立多个层次的证书颁发机构X509标准规定建立分层的、呈树状结构的CA组织模式。,SSLVPN除了支持自建CA外，同时也支持结合第三方CA做证书认证。,数字证书,根证书：根证书是CA认证中心给自己颁发的证书，是信任链的起始点。根证书是一份特殊的证书，它的签发者是它本身，下载根证书表示对该根证书以下所签发的证书都表示信任。,用户证书：由CA中心颁发的个人证书，用于终端用户登录各种应用系统，可存于KEY等介质。,数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，它由CA机构心发行，用来识别对方的身份。,设备证书：也称服务器证书，该证书将安装在服务器端(SSL设备)，向尝试建立连接的客户端提供服务器身份、证书和公钥信息，使用证书和公钥在客户端和SSLVPN之间建立一条安全、加密的通道，将客户端与SSL设备之间传输数据进行加密。,SANGFORSSLVPN结合第三方CA使用时与自建CA的区别是根证书、服务器证书和用户证书都是由第三方CA颁发的。,SSLVPN结合第三方CA认证流程,用户证书登录过程,证书申请下发过程,第三方CA认证配置指导,配置步骤：1、SSLVPN设备生成证书请求，保存下来提交给第三方CA。2、将第三方CA颁发的根证书、设备证书导入SSLVPN设备（设备证书可不导入），并配置相关配置。3、从第三方CA申请用户证书。4、配置证书认证用户、资源、角色等，然后登录进行测试。,第三方CA认证配置指导,1、在【系统设置】配置界面下选择【系统配置】，再选中【设备证书】选项，生成一个证书请求，填写相关参数，并将证书请求保存下来：,2、将证书请求提交给第三方CA，申请根证书、服务器证书（即设备证书）、用户证书,第三方CA认证配置指导,3、将获得的CA根证书和设备证书导入SSLVPN设备,导入根证书,导入服务器证书注:如不导入第三方服务器证书，则由SSL设备本身的设备证书建立加密隧道,第三方CA认证配置指导,4、配置证书认证用户进行登录，两种创建方式：,方法1：通过批量导入用户方式建立用户帐号（或手动建立用户）,注：使用这种方法导入用户，需要勾选“信任该CA签发的所有证书用户”,第三方CA认证配置指导,方法2：通过导入用户证书建立证书认证用户,注：对比方法1，方法2需要先拿到用户证书并导入才能创建用户。推荐使用方法1。,WebService短信认证配置指导,WebService简介,短信认证的WebService，其原理是向某个URL地址传递一些参数，WebService短信网关的接口接收到这些参数后就会根据参数发送短信。在配置WebService的过程中，需要用到wsdl文件。wsdl文件是描述WebService的接口信息的文件，里面包含了WebService短信网关发短信、收短信等接口的xml信息。我们设备上可以通过此wsdl文件生成短信模板，将文件中发短信的接口的xml剥离出来，后续设备发短信的时候就会根据这个xml来向指定的URL传递参数。SSL设备VPN可以通过WebService短信网关的接口，结合做短信认证。,WebService配置指导,1、配置WebService基本信息（从客户获取WebService接口文档进行配置）,2、配置WebService发送短信模板（将客户提供的wsdl文件导入）,WebService配置指导,3、根据客户提供的WebService接口文档，结合我们的参数变量，对各参数进行修正，将模板中的固定值替换成我们设备规定的参数变量。,替换参数变量,4、点击测试，确认能否收到短信，如果还不行则需检查参数是否正确，根据系统调试日志，和第三方短信厂商沟通确认参数是否正确。,WebSer