SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训04_单点登录

单点登录培训内容培训目标单点登录介绍1.了解单点登录功能的应用场景和概念2.掌握AC/SG设备支持的单点登录方式单点登录实现方式1.了解单点登录功能的几种实现方式单点登录配置举例1.掌握常见网络环境中web单点登录方式的部署和配置2.掌握常见网络环境中数据库单点登录的部署和配置3.掌握PPPOE单点登录配置4.掌握城市热点单点登录配置5.掌握H3C IMC单点登录配置6.掌握SANGFOR设备之间认证信息共享配置 单点登录介绍单点登录实现方式深信服公司简介SANGFOR AC/SG 单点登录配置示例单点登录介绍单点登录介绍 什么是单点登录：当用户成功通过到第三方服务器认证时，自动通过AC/SG设备的认证，上网无需再次输入用户名和密码通过AC/SG认证。单点登录的优点：用户只需要输入一次账号和密码，即可自动通过AC/SG设备的认证，避免账号和密码的重复输入，降低密码泄露的风险。AC/SG 设备支持的单点登录认证AC/SG设备支持的单点登录类型LDAP单点登录（LOGON，ADSSO，IWA，监听）POP3单点登录PROXY单点登录WEB单点登录第三方设备单点登录数据库单点登录PPPoE 单点登录兼容Kerberos的认证方式ISA控件普通账号密码认证方式锐捷Sam系统H3C cams系统H3C IMC城市热点 支持HTTP单点登录的接口（Oracle、MS SQL、DB2、MYSQL）深信服设备之间单点登录本章节PPT我们将学习到web单点登录，H3C IMC，城市热点，数据库，PPPoE，深信服设备等6种单点登录。单点登录实现方式单点登录功能实现方式 AD域单点登录：适用场景：内网现有AD域服务器做用户管理，内网PC开机必须要登录到域。客户希望部署AC后，用户登录域时，自动通过AC认证上线；当PC关机或注销时，自动从AC下线注销。AD域PC只有微软AD域支持单点登录。单点登录功能实现方式 WEB单点登录：适用场景：适用于内网有一套WEB认证系统（如办公OA），PC上网前会先通过内网WEB认证系统认证，客户希望部署AC后，用户上网通过现有的web系统认证后自动通过AC认证。实现过程：AC监听PC和WEB认证系统之间的认证交互过程，当PC通过WEB认证系统认证时，自动通过AC认证上线OAPC监听口镜像口单点登录功能实现方式PPPOE单点登录：适用场景：内网PPPOE拨号原有上网方式为拨号上网。部署后，希望拨号成功后即自动通过AC认证，直接可以上网。实现过程：在AC/SG设备监听PPPOE拨号的数据包，提取拨号用户名，实现单点登录认证和注销。单点登录功能实现方式数据库单点登录适用场景：客户原有第三方认证系统，一般都是会有一个后台数据库来存储用户、认证信息。部署AC后，客户希望用户通过原有认证系统成功认证后，自动通过AC认证。实现过程：AC/SG会定时从数据库获取已通过第三方认证系统认证或注销的用户，对获取的用户自动在上线认证或下线注销。数据库服务器单点登录功能实现方式深信服设备之间单点登录:适用场景：客户内网在部署AC之前，已部署深服其它设备，如部署深信服无线，客户希望终端接入无线，通过无线认证后，自动通过AC认证。实现过程：终端接入无线，通过无线认证后，无线控制器将认证信息发给AC，实现终端用户自动通过认证上线。单点登录功能实现方式H3C IMC系统：适用场景：客户内网现有H3C 管理平台，用于内网用户认证和管理。客户希望部署AC后，当内网用户通过IMC认证或注销时，可以自动通过AC认证或注销。实现过程：当内网用户通过IMC认证或注销时，IMC服务器会发送认证或注销信息给AC，从而实现在AC上自动上线或注销。认证服务器单点登录功能实现方式城市热点系统：适用场景：客户内网现有城市热点认证计费系统。用于用户上网认证和计费。客户希望，部署AC后当用户通过城市热点认证 或注销时，自动通过AC认证或注销。实现过程：当用户通过城市热点认证 或注销时，城市热点服务器会发送认证或注销信息给AC，从而实现在AC上自动上线或注销。认证服务器单点登录功能实现方式认证服务器数据库服务器Logon.exe锐捷SAM系统：适用场景：客户内网现有锐捷SAM系统认证计费系统。用于用户上网认证和计费。客户希望，部署AC后当用户通过锐捷SAM系统认证 或注销时，自动通过AC认证或注销。实现过程：当用户通过锐捷SAM系统认证 或注销时，锐捷SAM服务器会发送认证或注销信息给AC，从而实现在AC上自动上线或注销。单点登陆配置页面单点登录配置示例下面我们将学习web单点登录，H3C IMC，城市热点，数据库，PPPoE，深信服设备等6种单点登录具体配置及效果。其中我们需要重点掌握web单点登录。客户内网有bbs服务器，客户希望实现内网用户登录BBS后，自动通过AC认证，上网时无法再次输入用户名和密码进行认证WEB单点登录配置示例BBS（）PC监听口镜像口配置思路：1.1、新增认证策略，不需要认证/单点登录2.2、配置web单点登录3.3、交换机需要配置镜像口（此案例中，bbs在内网，用户登录BBS过程不经过AC，所以需要将流量镜像至AC）4.、AC需要配置监听口，监听交换机镜像给AC的内网PC登录BBS的流量。WEB单点登录配置示例如果BBS域服务器在AC外网，登录bbs认证过程经过AC，则3和4步省略第一步：新建认证策略，认证方式为“不需要认证/单点登录”WEB单点登录配置示例第二步：配置web单点登录。WEB单点登录配置示例填写终端访问论坛地址启用此项，如果用户没有登录论坛，则上网会被重定向到论坛页面填写登录论坛时，提交帐号的表单名称成功登录论坛后，服务器返回结果，根据返回的结果找关键字用户表单名及认证成功关键字怎样填写？用户表单名:指登录论坛时，提交帐号的表单名称。认证成功关键字/认证失败关键字:指登录论坛时，无论登录成功还是失败，bbs服务器都会返回结果，设备根据bbs服务器返回的关键字判断是否让用户通过设备认证。例如，配置了认证成功关键字，则设备会检测登录论坛后，服务器返回的结果是否含有配置的关键字，如果有，则通过设备认证，如果没有，则无法通过设备认证。所以关于用户表单名及认证成功关键字的获取，需要通过抓包分析。一般是在测试电脑上两次登录论坛并抓包，一次登录成功，一次登录失败，从这两次登录的数据包中找到表单名及认证关键字。本案例抓包分析如下图。成功登录论坛时，抓的包登录论坛失败时，抓的包登录论坛用的测试帐号为18688985317，从上图post包中，可以看出表单名为username，对比登录成功和登录失败服务器返回的内容（即图中蓝色部分），关键字“Df1w_2132_auth”在认证成功的包有，在认证失败的包中没有，所以可以把它作为认证成功关键字第三步：交换机需要配置镜像口WEB单点登录配置示例第四步：AC设备配置监听口注意如果BBS域服务器在AC外网，登录bbs认证过程经过AC，则3和4步可以省略WEB单点登录配置示例web单点登录效果验证用户没有登录论坛之前，任意打开网页，均被强制跳转到论坛页面，成功登录论坛后，也同时通过AC认证，如下图注意web单点登录只支持http post方式提交帐号，其它方式（https加密，或http get方式提交参数）则不支持数据库单点登录应用背景客户已有一套数据库系统存储用户、认证信息，数据库单点登录通过在界面上配置SQL查询语句，去主动查询数据库系统中的用户列表和已认证用户，并同步到AC的组织结构和在线用户列表中，从而实现用户通过数据库认证时，即通过AC的用户认证，同样的，用户从数据库认证系统中注销，也自动完成了在AC上的注销。（即单点登录/注销）目前支持的数据库类型有oracle，ms sql server，db2和mysql几种。数据库单点登录配置举例某公司内网有自己的数据库服务器，服务器IP地址为193.168.1.124。内网193.168.1.0/24网段的用户访问外网之前，会通过数据库服务器的认证。数据据库类型是MS SQL，管理用户信息的数据库名为lmjtest，具有数据库查询权限的账号sa，密码123，了解到客户的在线用户信息存储在表onlieuser中，而组织结构信息存储在表ou中，两个表的结构如下：（AC去数据库表onlieuser表中取在线用户信息）数据库单点登录配置举例-同步在线用户第一步：新建认证策略。数据库单点登录配置举例-同步在线用户第二步：定义一个外部认证服务器，“用户与策略管理”“用户认证”“外部认证服务器”，新增一个数据库类型的外部认证服务器并配置，特别注意“数据库编码”的配置要和客户数据库使用的编码一致，“超时时间”可能需要根据用户数大小酌情调整，默认是60s，如下：数据库单点登录配置举例-同步在线用户第三步：启用数据库认证单点登录，菜单在“认证选项”-“数据库服务器”-勾选“启用数据库认证单点登录”，选择刚才定义的外部认证服务器lmjtest，定义查询语句如下：点击点击 测试有效性测试有效性 可以看到可以看到sql语句执行结果语句执行结果,点击点击提交提交完成配置，此时完成配置，此时AC会会立即自动同步一次在线用户列表，数据库单点登录配置到此步已经完成立即自动同步一次在线用户列表，数据库单点登录配置到此步已经完成数据库单点登录配置举例-同步组织结构 如要同步组织结构，则在“用户自动同步”-新增一个“数据库同步”，填写可以获取用户的sql语句和组路径分隔符，组路径分隔符是指客户的数据表中如果有多个组，是以什么符号来分隔组和子组，如上述示例是以短横线分隔的：点击测试有效性，可以列出可以获取的信息：同步过来之后，看到的组织结构信息如下：PPPOE单点登录多用于高校场景，高校学生上网，多数采用拨号上网，客户希望学生PPPOE拨号成功后，即能自动通过AC认证可以直接上网。需要注意，拨号服务器需要部署在设备wan口方向，如图PPPOE单点登录配置示例配置思路：1.1、新增认证策略，不需要认证/单点登录2.2、配置协议剥离。因设备部署在pppoe客户端和拨号服务器之间，这里的流量是PPPOE封堵，需要开启协议剥离才能识别3.3、配置PPPOE单点登录PPPOE单点登录配置示例第一步：新建认证策略，认证方式为“不需要认证/单点登录”PPPOE单点登录配置示例PPPOE单点登录配置示例2.开启PPPOE协议剥离。如果网络环境中由其他协议的数据包封装PPPOE的数据，则也要开启其他协议的协议剥离，如pppoe外层再由vlan封装，则需要同时开启vlan和pppoe协议剥离才能识别3.开启PPPOE单点登录。PPPOE单点登录功能配置案例3.开启PPPOE单点登录。4.认证冲突设置，如果认证时发现已经在其他IP上登录，则强制注销以前的登录，在当前IP上认证通过。如果PPPOE用户注销拨号，而AC设备上不会同步注销用户。PPPOE用户断线重拨，电脑获得的IP与之前的IP不一样，而PPPOE账号都是私有账号，就会出现AC在线用户列表中账号对应的IP和后续数据包里相同账号对应的IP不一致，导致用户上网异常，建议认证冲突做如上设置。PPPOE单点登录功能配置案例 到此，完成了PPPOE单点登录配置，电脑拨号成功，即可同时通过AC认证。PPPOE单点登录功能配置案例注意，PPPOE单点登录只有设备部署在网桥或旁路模式才生效，路由模式不生效城市热点DrCOM SOLS系统是一套认证计费系统，一般高校使用较多。设备和城市热点DrCOM SOLS系统结合认证，当终端通过DrCOM SOLS系统上下线时，自动通过AC认证或从AC上注销，从而实现联动。与城市热点DrCOM SOLS系统结合单点登录配置1、配置认证策略，认证方式设置为不需要认证/单点登录。和web单点登录配置方法一样，此处省略与城市热点DrCOM SOLS系统结合单点登录配置2、设置单点登录选择，勾选城市热点，配置城市热点IP填写安装了城市热点接口程序电脑地址。设备默认监听端口为udp 61440，不可配。与城市热点DrCOM SOLS系统