收藏
下载资源

SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术

上传人:ni****g 文档编号:590512101 上传时间:2024-09-14 格式:PPT 页数:36 大小:4.50MB
返回 下载 相关 举报
SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术_第1页
第1页 / 共36页
SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术_第2页
第2页 / 共36页
SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术_第3页
第3页 / 共36页
SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术_第4页
第4页 / 共36页
SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术》由会员分享,可在线阅读,更多相关《SANGFOR_SSL_v7.0_2016年度渠道初级认证培训03_用户认证技术(36页珍藏版)》请在金锄头文库上搜索。

1、SANGFOR SSL VPN 用户认证技术培训内容培训目标用户认证技术1、了解SSL VPN支持的所有认证方式2、了解各种认证方式下能实现的功能主要认证1、掌握主要认证包含的认证方式及功能2、结合案例掌握用户名密码和数字证书认证方式的配置步骤辅助认证1、掌握辅助认证包含的认证方式及功能2、结合案例掌握硬件特征码和短信认证方式的配置步骤用户认证功能介绍深信服公司简介练练手SANGFOR SSL用户认证配置和案例学习SSL 用户和用户组用户和用户组用户:用户:登录SSL VPN的账号,分为公有用户和私有用户。 私有用户只能同时一人登录,公有用户允许多人同时登录。用户组:用户组:由“用户”组成,每

2、个“用户”必须属于唯一的“用户组”,root根组和默认用户组无法删除。SSL用户组的添加用户组的添加选择账户类型和认证方式填写组名和所属组可选关联策略组与角色保存配置后,必须点击“立即生效”使配置生效。SSL用户的添加用户的添加如果勾选“继承所属组的认证选项”,则用户按照“support”组的认证方式填写密码即可。不勾选“继承所属组认证选项”,则用户可以自定义认证方式。保存和生效配置SSLVPN用户认证方式用户认证方式外部认证认证方式本地认证用户名、密码认证数字证书硬件特征码认证短信认证LDAP认证RADIUS认证辅助认证(可选)主要认证(必须选择一种)令牌认证(RADIUS认证)/DKEY认

3、证 (私有用户)(私有用户)(公有/私有用户)(公有/私有用户)(公有/私有用户)(公有/私有用户)(公有/私有用户)SSL VPN用户认证方式用户认证方式 SSL VPN的用户必须使用一种主要认证方式,也可以使用主要认证再结合多种辅助认证的方式。 如果设置了多种主要认证方式,可选择必须通过所有的主要认证或通过其中一种主要认证方式即可。SSL VPN用户认证方式用户认证方式 本PPT介绍四种常用的主要认证和辅助认证方式: 1. 用户名密码认证 2. 数字证书认证 3. 短信认证 4. 硬件特征码认证用户名密码认证用户名密码认证 用户名密码认证,即用户通过输入用户名和密码登录SSL VPN。认证

4、方式选择“用户名/密码”用户名密码信息保存在设备数据库中,属于本地认证“同时使用”表示设置了多种主要认证方式时,所有认证都必须通过。“任意一种”表示其中一种主要认证方式通过即可公有用户和私有用户均可设置用户名密码认证用户名密码认证用户名密码认证 为了加强用户名密码认证的安全性,可启用密码安全策略,软键盘和图形校验码功能。数字证书认证数字证书认证第三方CA自建CA数字证书数字证书DKEY数字证书认证DKEY有驱DKEY无驱DKEY 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件,用来标识和证明网络通信双方的身份,此认证方法更为安全可靠。 SANGFOR数字证书认证

5、支持设备自建CA认证和第三方CA认证。生成了无驱DKEY,不能再生成有驱DKEY;有驱DKEY,可再生成无驱DKEY。数字证书认证(生成证书)数字证书认证(生成证书)设置登录的用户名只有私有用户类型才能选择数字证书/DKEY认证设置证书密码,用户安装此证书时需要填入相同的密码才允许安装。数字证书认证(生成有驱数字证书认证(生成有驱DKEY)生成有驱DKEY,管理员和用户均需下载安装DKEY驱动,管理员还需下载安装DKEY导入控件如果要实现有驱KEY拔KEY注销功能,必须启用 USB Key V2创建DKEY之前需将DKEY插入电脑中数字证书认证(生成无驱数字证书认证(生成无驱DKEY)生成无驱

6、DKEY无驱DKEY,必须启用USB KEY V2,才能实现DKEY接入和拔出注销。创建DKEY之前请先将DKEY插入电脑中硬件特征码认证硬件特征码认证 通过硬件特征码认证可实现SSL VPN帐号和电脑硬件特征的绑定,某账号只能通过固定的一台或几台电脑登录,确保了接入的安全性。 硬件特征码认证读取接入电脑的硬件信息顺序: 硬盘ID -网卡MAC -C盘ID -D盘ID-E盘ID. 硬件特征码认证属于辅助认证,必须同时使用一种主要认证。一般先开启硬件特征码收集,待用户全部提交硬件特征码后,再启用硬件特征码认证。勾选“硬件特征码”SSL 用户配置案例学习用户配置案例学习管理员如何查看、审批、删除硬

7、件特征码?管理员如何查看、审批、删除硬件特征码?查看硬件特征码选择用户,进行硬件特征码的审批和删除操作短信认证短信认证 SSL 设备通过发送短信校验码至用户绑定的手机号码上, 用户正确输入短信校验码后才能登录SSL。短信认证需开通序列号才能使用。 短信认证属于辅助认证,必须同时使用一种主要认证。开启短信验证码通过设备直连短信服务器发送短信设备和短信网关均连到PC,PC上安装短信服务器软件。在机房信号不佳的情况下,建议选择外部短信网关。短信猫中插入的手机卡的短信中心号码,支持GSM和CDMA手机卡。可支持如下短信网关类型使用默认参数即可。注:新短信猫(带有深信服LOGO)的波特率为115200短

8、信认证(使用内置短信猫)短信认证(使用内置短信猫)1、内置短信猫的安装短信猫直接连接设备的接口,如下:设备发货时会配好对应的串行线接线注意事项:a) 将一张手机SIM卡放入短信Modem 内。b) 短信Modem 通过发货时自带的串口线连接到设备的com口。短信认证(使用内置短信猫)短信认证(使用内置短信猫)2、短信认证设置短信认证必须选择私有用户账号类型选择短信认证填入用户对应的手机号码短信认证(使用外置短信网关)短信认证(使用外置短信网关)1、外置短信网关服务器软件安装接线注意事项:a) 将一手机SIM卡放入短信Modem 内。b) 短信Modem 通过发货时自带的串口线连接到短信服务器(

9、电脑)的COM 口。c) 确保串口线和短信Modem 以及串口线和短信服务器接触良好。系统要求:Windows XP、Windows 2000/2003/2008,不支持vista 系统。在服务器上安装短信网关服务器软件a 双击短信服务软件安装包,按照安装提示,点击下一步,直到出现以下软件安装目录选择页面,请保留默认的安装路径,否则短信服务无法正常启动。短信认证短信认证外置短信网关外置短信网关1、外置短信网关服务器软件安装b按照安装提示操作,最后完成安装c软件安装完成后,短信服务会以系统服务的形式自动运行短信服务进程为SMSSP.exe在服务列表中能够看到短信服务SMSSERVICEd 在系统

10、的“开始”菜单打开短信服务软件的控制台,进行配置在系统桌面右下角的控制台能够看到当前短信服务的状态,左图为服务正常,右图为服务异常如果软件安装好后,服务仍然显示停止,一般情况下是由于软件没有安装在系统盘下造成的,请把软件重新安装在默认路径下。e鼠标右键点击控制台,选择【Config】在软件服务的监听端口设置对话框里,设置好监听端口(TCP 端口),如果服务器还提供其他服务,要保证设置的端口和这些服务的端口不冲突如果短信服务器上装有防火墙软件,必须保证防火墙有放通此处设置的短信服务监听端口。至此外置短信服务器设置完毕。短信认证(使用外置短信网关)短信认证(使用外置短信网关)3、短信认证设置填写安

11、装短信网关服务器的IP和端口填入用户对应的手机号码短信认证必须选择私有用户账号类型选择短信认证SSL 用户认证案例学习用户认证案例学习SSL 用户认证案例学习用户认证案例学习背景介绍:某客户公司希望实现财务部用户通过数字证书,其余用户通过账号密码,且所有用户均只能使用自己的工作电脑接入SSL VPN。配置思路:1) 开启硬件特征码认证2)添加2个用户组,财务组使用数字证书和硬件特征码认证,普通用户组使用用户名密码和硬件特征码认证。3)添加用户关联到组,使用组属性。SSL 用户认证案例学习用户认证案例学习1) 开启硬件特征码认证控制台左树依次展开【SSL VPN设置】-【认证设置】点击【硬件特征

12、码】处的设置开启硬件特征码认证SSL 用户认证案例学习用户认证案例学习2) 添加用户组控制台左树依次展开【SSLVPN设置】-【用户管理】,点击【新建】 -【用户组】SSL 用户认证案例学习用户认证案例学习3)添加用户关联到组,使用数字证书以及硬件特征码认证。设置用户名选择所属用户组SSL 用户认证案例学习用户认证案例学习4) 添加用户关联到组,使用用户名密码以及硬件特征码认证。设置用户名密码选择所属用户组SSL 用户认证案例学习用户认证案例学习5)设置用户与硬件特征码的一一对应关系,限制用户只能在自己电脑登录)设置用户与硬件特征码的一一对应关系,限制用户只能在自己电脑登录可设置范围为1-10

13、0设置策略组名称SSL 用户认证案例学习用户认证案例学习1. 数字证书和硬件特征码认证的用户登录访问SSL VPN的过程:1) 将生成的数字证书发给移动用户2) 移动用户双击数字证书进行安装,如下图所示:填入生成证书时管理员设置的密钥可以通过查看浏览器,检查证书是否安装成功表示安装和导入证书成功SSL 用户认证案例学习用户认证案例学习1. 数字证书和硬件特征码认证的用户登录访问SSL VPN的过程:3)移动用户通过IE浏览器登录SSL VPN表示用户认证成功SSL 用户认证案例学习用户认证案例学习2. 用户名密码和硬件特征码认证的用户登录访问SSL VPN的过程:移动用户通过IE浏览器登录SS

14、L VPN表示用户认证成功练练手练练手某客户希望实现用户登录SSL VPN时,除了输入自己的账号和密码,设备还能发一条短信,把校验码发到用户的手机,用户必须输入校验码才能成功登录。您有什么样的方案能满足客户的需求呢?我们的建议:1、 添加用户组,设置用户名密码加短信认证2、 添加用户到用户组,设置密码和手机号码1.请问以下图片中为什么短信和数字证书是灰色的,是否需要开通相应授权?2.客户已经购买了一台SSL VPN设备并且购买了短信猫,请问要如何配置才能使用短信认证?3.某客户咨询公司监控室有3台PC需要接入SSL VPN,监控室有3个人,管理员想让这三个人的SSL VPN账号只能在监控室3台电脑上登录,请问是否可以实现?怎样实现的?问题思考

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号