《SANGFOR_AC&SG_v11.8_2017年度渠道初级认证培训06_外部认证》由会员分享,可在线阅读,更多相关《SANGFOR_AC&SG_v11.8_2017年度渠道初级认证培训06_外部认证(24页珍藏版)》请在金锄头文库上搜索。
1、Jan 2017 SANGFORAC外部认证 1234 外部认证介绍 外部认证流程 LDAP认证 RADIUS POP3认证 Contents 外部认证功能介绍 SANGFORAC SG的外部认证 也称为第三方认证 用户的账号密码信息保存在第三方服务器上 AC SG将用户提交的用户名密码信息转给第三方认证服务器校验 通过第三方服务器返回的认证成功与否的信息 决定是否通过AC SG的认证 这个过程称为AC SG的外部认证 与微软AD结合使用的第三方认证使用最广泛 也是我们要重点掌握的 1234 外部认证介绍 外部认证流程 LDAP认证 RADIUS POP3认证 Contents SANGFOR
2、AC SG外部认证过程 1 PC向AC SG提交用户名密码信息 2 AC SG判断为外部认证 并把用户名密码信息发给外部认证服务器校验 3 外部认证服务器校验后 向AC SG发送认证失败或成功的消息 4 AC SG根据外部认证服务器返回的消息 确定是否让该PC通过认证 5 PC通过认证后 就可直接访问公网了 外部认证用户 满足如下两个条件的用户才会匹配外部认证流程 2 认证高级选项 未 启DKEY 认证策略中 认证方式选择 密码认证 认证服务器选择 第三方服务器 外部认证服务器配置界面 1 选择需要新增的外部认证服务器类型 LDAP RADIUS POP3服务器 2 设置外部认证服务器的通信方
3、式 IP 端口等 1234 外部认证介绍 外部认证流程 LDAP认证 RADIUS POP3认证 Contents LDAP认证配置举例 案例背景 某公司内网有一台AD域服务器 域名为 服务器IP地址为172 16 100 203 要求内网用户上网时使用域帐号和密码来通过 设备的认证才可以上网 LDAP认证配置思路 新建外部认证服务器 设置AD域服务器信息 新建认证策略 选择 密码认证 认证服务器选择上面创建好的服务器 LDAP认证配置步骤 第一步 新建外部认证服务器 设置AD域服务器相关信息 一般情况 如果是AD域 则只需要配置 基本配置 即可 同步配置 和 高级配置 保持默认 其它域按需配
4、置 测试有效性 账户有效性 可以通过此功能测试域账号的有效性 如上既测试了域的管理员账号administrator是否有权限读取域的组织结构 又测试了域的用户support1账号密码是否正确 测试有效性 修改密码 如果域上的账号是允许修改密码的 可以直接通过测试有效性修改密码 修改域上的账号密码 注意 如果客户的域环境是独立域 添加外部认证服务器时 认证端口填写389 如果是父子域 如父域 子域 等 则外部认证服务器配置的是父域的地址 且端口需要填3268 LDAP认证配置步骤 第二步 新建认证策略 选择 密码认证 LDAP认证配置步骤 终端电脑输入域帐号通过AC认证 即可访问外网 1234
5、外部认证介绍 外部认证流程 LDAP认证 RADIUS POP3认证 Contents RADIUS POP3认证配置 如果客户网络环境中采用RADIUS或POP3服务器做外部认证 AC SG结合外部认证服务器认证的配置步骤为 1 新建用户组 假设用户组名为 外部认证组 2 新建外部认证服务器 设置服务器相关信息 RADIUS POP3认证配置 3 新建认证策略 选择 密码认证 并设置新用户认证成功后自动添加到 外部认证组 RADIUS POP3认证配置 练练手 某公司部署了SANGFORAC做上网行为的控制和审计 内网有一台AD域服务器 要求用户上网使用域中的帐号通过AC认证 实现用户上网日志能追踪到具体的用户 请问如何配置实现 1 AC可以与哪些第三方服务器结合做外部认证 问题思考 2 思考下 外部密码认证和本地密码认证流程有什么区别 认证策略同时勾选了本地用户认证和外部认证 如果有一个用户 设备上存在 外部认证服务器也存在 哪个优先 深信服社区资料库 社区资料库旨在为用户提供最新 最全的产品资料 访问方式 资料分类 深圳市南山区学苑大道1001号南山智园A1栋 market
