SANGFOR_AC_2014_05_外部认证培训

1、SANGFOR AC&SG 外部认证培训 培训内容培训目标 SANGFOR AC/SG 外部认证 功能介绍 1. 了解AC/SG设备支持的三种外部认证服务器 SANGFOR AC/SG外部认证 配置举例 1.掌握AC/SG设备和LDAP服务器结合的外部认 证的配置 2.了解AC/SG设备其他外部服务器结合认证的配 置 SANGFOR AC/SG 外部认证功能介绍 深信服公司简介 LDAP 外部认证配置举例 练练手 SANGFOR AC/SG 外部认证功能介绍 SANGFOR AC/SG的外部认证功能，也称为第三方认证。用户的账号密码信息保存 在第三方服务器上，AC/SG将用户提交的用户名密码信

2、息转给第三方认证服务器校 验，通过第三方服务器返回的认证成功与否的信息，决定是否通过AC/SG的认证， 这个过程称为AC/SG的外部认证。 AC/SG支持的第 三方认证服务器 LDAP 认证 RADIUS 认证 POP3 认证 与微软与微软AD结合使用的第三结合使用的第三 方认证使用最广泛方认证使用最广泛 Microsoft AD Open LDAP Sun LDAP IBM LDAP . . . SANGFOR AC/SG外部认证过程 1. PC向AC/SG提交用户名密码 信息 2. AC/SG判断为外部认证，并 把用户名密码信息发给外部 认证服务器校验 3. 外部认证服务器校验后，向 AC

3、/SG发送认证与否的消息 4. AC/SG根据外部认证服务器 返回的消息，确定是否让该 PC通过认证。 5. PC通过认证后，就可直接访 问公网了 外部认证用户 满足如下两个条件的用户才会匹配外 部认证流程： 2. 组织结构中，用户属性未勾选“本 地密码”和“启用DKEY”。 认证策略中，认证方式选择“本地 密码认证/外部认证/单点登录”的用 户。 与是否绑定IP/MAC 地址无关 外部认证服务器配置界面 1、选择需要新增的外部认证服务器类型【LDAP, RADIUS, POP3服务器】 2、设置外部认证服务器的通信方式，IP，端口等 只支持单点 登录，不支 持外部认证。 LDAP 外部认证配

4、置举例 LDAP 外部认证配置举例 案例背景： 某公司内网有一台AD域服务器，域名为Vlab.cti.local，服务器IP地址为 10.10.2.21。要求该域中“train”下的用户和子OU都按照原来的结构同步 到SG设备的“MSAD域用户组”中，内网用户上网时用登录域控的账号和 密码来通过SG设备的认证。对于AD域中新增的用户也希望能通过SG的认 证并加到组织结构中。 LDAP 外部认证配置举例 配置思路 1、新建用户组 。 2、新建外部认证服务器，设置AD域服务器信息。 3、设置LDAP自动同步，同步AD域OU “train”下的用户和子OU到SG的组织结 构 里。 4、新建认证策略，

5、选择“密码认证/外部认证/单点登录”。 LDAP 外部认证配置步骤 第一步：建立用户组，“MSAD域同步组” LDAP 外部认证配置步骤 第二步：新建外部认证服务器，设置AD域服务器相关信息。 域服务器的IP地址 域服务器类型 访问域服务器的管 理员账号和密码， 填写成 administratorVla b.cti.local 或 cn=administrator,c n=user,dc=Vlab,dc= cti,dc=local的形式 均可 表明域服务器设置正确， 设备与服务器能正常通信 LDAP 外部认证配置步骤 第三步：设置LDAP自动同步。 从外部认证服务器中同 步组织结构和用户 从O

6、U“train”开始同步 域中的组织结构 已经同步到设备 中 LDAP 外部认证配置步骤 第四步：新建认证策略，选择“密码认证/外部认证/单点登录”。 需要外部认证的用户网段 如果域服务器上添 加新的用户来认证， 则自动触发该用户 的同步。 LDAP 外部认证配置举例 用户user1访问网页时正确输入用户名和密码之后通过认证，访问公网。 LDAP 外部认证配置举例 注意事项： AC/SG4.0版本开始支持安全组嵌套同步，如：安全组A隶属于安全 组B，安全组B又隶属于安全组A，则AC/SG进行域同步时，从域上 遍历各安全组，如果先遍历到A，则同步至AC/SG上，A属于父组， B属于A的子组。 配

7、置LDAP自动同步时，自动添加用户不支持安全组同步，只支持 OU同步，配置页面上有相关说明，如下图： 其他外部认证配置步骤 如果客户网络环境中采用RADIUS或POP3服务器做外部认证，AC/SG 结合外部认证服务器认证的配置步骤为： 1、新建用户组 ，假设用户组名为“外部认证组” 2、新建外部认证服务器，设置服务器相关信息 3、新建认证策略，选择“密码认证/外部认证/单点登录”，并设 置新用户认证成功后自动添加到“外部认证组” 想一想 如果本地认证存在用户“test”，外部认证服务器里也有同名的用户 “test”，那么用户使用“test”这个账号认证时，会匹配本地认证还是 去外部认证服务器认

8、证呢？ 如果本地认证和外部认证存在有相同的用户名时，优先匹配本地认证， 当本地认证不通过时，直接返回用户名密码错误的提示。 如果是多个外部认证服务器上都存在相同的用户“test”，那么用户使 用“test”这个账号认证时，又会如何出现什么样的结果呢？ 如果多个外部认证服务器都存在相同用户名时，AC/SG设备会同时把认 证消息发给多个外部认证服务器，从哪个认证服务器先返回认证成功的 消息，就从哪个认证服务器通过认证。 想一想 外部认证和单点登录功能都需要AC/SG设备与第三方的认证服务器结 合，这两种认证方式有什么区别呢？ 1. 外部认证时，用户打开浏览器上网需要输入用户名密码进行认证；单 点登

9、录的情况下无需输入用户名与密码可直接上网。 2. 外部认证的实现过程，由AC/SG设备转发用户名密码到第三方服务器 去认证；单点登录过程中，由PC直接与第三方服务器认证，AC/SG设备 通过监听认证数据或获取第三方服务器上的认证成功数据等方式来实现 的。 练练手 某公司部署了SANGFOR AC做上网行为的控制和审计，内网有一台 AD域服务器，要求用户上网输入正确的域用户名和密码，实现上网 记录以域用户名的方式来记录。并要求AC设备中沿用域的组织结构， 域控制器中删除或者新增用户，同时AC设备里也能相应的删除和新 增用户。 请问如何配置实现？ 1.AC可以与哪些第三方服务器结合做外部认证？ 问题思考 3.某客户有LDAP服务器