SANGFOR_AC_2014_05_外部认证培训

1、SANGFOR AC&SG外部认证培训培训内容培训目标SANGFOR AC/SG 外部认证功能介绍1. 了解AC/SG设备支持的三种外部认证服务器SANGFOR AC/SG外部认证配置举例1.掌握AC/SG设备和LDAP服务器结合的外部认证的配置2.了解AC/SG设备其他外部服务器结合认证的配置 SANGFOR AC/SG 外部认证功能介绍深信服公司简介 LDAP 外部认证配置举例 练练手SANGFOR AC/SG 外部认证功能介绍SANGFOR AC/SG的外部认证功能，也称为第三方认证。用户的账号密码信息保存在第三方服务器上，AC/SG将用户提交的用户名密码信息转给第三方认证服务器

2、校验，通过第三方服务器返回的认证成功与否的信息，决定是否通过AC/SG的认证，这个过程称为AC/SG的外部认证。AC/SG支持的第三方认证服务器LDAP 认证RADIUS 认证POP3 认证与微软与微软AD结合使用的第三结合使用的第三方认证使用最广泛方认证使用最广泛Microsoft ADOpen LDAPSun LDAPIBM LDAP.SANGFOR AC/SG外部认证过程1. PC向AC/SG提交用户名密码信息2. AC/SG判断为外部认证，并把用户名密码信息发给外部认证服务器校验3. 外部认证服务器校验后，向AC/SG发送认证与否的消息4. AC/SG根据外部认证服务器返回的消息，确定

3、是否让该PC通过认证。5. PC通过认证后，就可直接访问公网了外部认证用户满足如下两个条件的用户才会匹配外部认证流程：2. 组织结构中，用户属性未勾选“本地密码”和“启用DKEY”。1.认证策略中，认证方式选择“本地密码认证/外部认证/单点登录”的用户。与是否绑定IP/MAC地址无关 外部认证服务器配置界面1、选择需要新增的外部认证服务器类型【LDAP, RADIUS, POP3服务器】2、设置外部认证服务器的通信方式，IP，端口等只支持单点登录，不支持外部认证。LDAP 外部认证配置举例LDAP 外部认证配置举例案例背景：某公司内网有一台AD域服务器，域名为Vlab.cti.local，服务

4、器IP地址为10.10.2.21。要求该域中“train”下的用户和子OU都按照原来的结构同步到SG设备的“MSAD域用户组”中，内网用户上网时用登录域控的账号和密码来通过SG设备的认证。对于AD域中新增的用户也希望能通过SG的认证并加到组织结构中。LDAP 外部认证配置举例配置思路1、新建用户组 。2、新建外部认证服务器，设置AD域服务器信息。3、设置LDAP自动同步，同步AD域OU “train”下的用户和子OU到SG的组织结构 里。4、新建认证策略，选择“密码认证/外部认证/单点登录”。LDAP 外部认证配置步骤第一步：建立用户组，“MSAD域同步组”LDAP 外部认证配置步骤第二步：新

5、建外部认证服务器，设置AD域服务器相关信息。域服务器的IP地址域服务器类型访问域服务器的管理员账号和密码，填写成administratorVlab.cti.local 或cn=administrator,cn=user,dc=Vlab,dc=cti,dc=local的形式均可表明域服务器设置正确，设备与服务器能正常通信LDAP 外部认证配置步骤第三步：设置LDAP自动同步。从外部认证服务器中同步组织结构和用户从OU“train”开始同步域中的组织结构已经同步到设备中LDAP 外部认证配置步骤第四步：新建认证策略，选择“密码认证/外部认证/单点登录”。需要外部认证的用户网段如果域服务器上添加新的

6、用户来认证，则自动触发该用户的同步。LDAP 外部认证配置举例 用户user1访问网页时正确输入用户名和密码之后通过认证，访问公网。LDAP 外部认证配置举例注意事项：1.AC/SG4.0版本开始支持安全组嵌套同步，如：安全组A隶属于安全组B，安全组B又隶属于安全组A，则AC/SG进行域同步时，从域上遍历各安全组，如果先遍历到A，则同步至AC/SG上，A属于父组，B属于A的子组。2.配置LDAP自动同步时，自动添加用户不支持安全组同步，只支持OU同步，配置页面上有相关说明，如下图：其他外部认证配置步骤 如果客户网络环境中采用RADIUS或POP3服务器做外部认证，AC/SG结合外部认证服务器认

7、证的配置步骤为：1、新建用户组 ，假设用户组名为“外部认证组”2、新建外部认证服务器，设置服务器相关信息3、新建认证策略，选择“密码认证/外部认证/单点登录”，并设置新用户认证成功后自动添加到“外部认证组”想一想 如果本地认证存在用户“test”，外部认证服务器里也有同名的用户“test”，那么用户使用“test”这个账号认证时，会匹配本地认证还是去外部认证服务器认证呢？ 如果本地认证和外部认证存在有相同的用户名时，优先匹配本地认证，当本地认证不通过时，直接返回用户名密码错误的提示。 如果是多个外部认证服务器上都存在相同的用户“test”，那么用户使用“test”这个账号认证时，又会如何出现什

8、么样的结果呢？ 如果多个外部认证服务器都存在相同用户名时，AC/SG设备会同时把认证消息发给多个外部认证服务器，从哪个认证服务器先返回认证成功的消息，就从哪个认证服务器通过认证。想一想 外部认证和单点登录功能都需要AC/SG设备与第三方的认证服务器结合，这两种认证方式有什么区别呢？ 1. 外部认证时，用户打开浏览器上网需要输入用户名密码进行认证；单点登录的情况下无需输入用户名与密码可直接上网。 2. 外部认证的实现过程，由AC/SG设备转发用户名密码到第三方服务器去认证；单点登录过程中，由PC直接与第三方服务器认证，AC/SG设备通过监听认证数据或获取第三方服务器上的认证成功数据等方式来实现的。练练手某公司部署了SANGFOR AC做上网行为的控制和审计，内网有一台AD域服务器，要求用户上网输入正确的域用户名和密码，实现上网记录以域用户名的方式来记录。并要求AC设备中沿用域的组织结构，域控制器中删除或者新增用户，同时AC设备里也能相应的删除和新增用户。请问如何配置实现？1.AC可以与哪些第三方服务器结合做外部认证？问题思考3.某客户有LDAP服务器，客