《SANGFOR_AC&SG_v11.0_2016年度渠道高级认证培训05_AD域单点登录》由会员分享,可在线阅读,更多相关《SANGFOR_AC&SG_v11.0_2016年度渠道高级认证培训05_AD域单点登录(45页珍藏版)》请在金锄头文库上搜索。
1、AD域单点登录培训内容培训目标域单点登录应用背景1.了解域单点登录应用背景域单点登录实现方式1.了解域单点登录的四种实现方式域脚本单点登录配置示例1.掌握域脚本单点登录配置域免插件单点登录配置示例1.掌握域免插件单点登录配置IWA单点登录配置示例1.掌握IWA单点登录配置监听方式单点登录配置示例1.掌握监听方式单点登录配置1.了解每种单点登录方式的优缺点,掌握实际场景中应该怎样选择单点登录方案四种单点登录方式总结域单点登录认证应用背景域单点登录认证实现方式深信服公司简介免插件单点登录认证配置示例SANGFOR AC/SGIWA单点登录认证配置示例域脚本单点登录认证配置示例四种单点登录方式总结监
2、听方式单点登录配置示例域单点登录应用背景域单点登录应用背景域单点登录适用于客户内网已有一台域控制器做管理。部署AC/SG设备后,希望实现用户电脑开机登录域即自动通过AC/SG认证以域用户身份直接上网,并希望终端的上网日志可以追踪到具体域用户。域单点登录有脚本方式,免插件,IWA方式和监听方式。只有微软的AD域才支持这四种单点登录方式,此文介绍的单点登录认证均是指AC/SG和微软AD域结合单点登录认证。域单点登录实现方式域单点登录实现方式 AD域单点登录脚本方式:通过在域控上添加登录和注销脚本来实现。当PC开机登录域时,登录脚本自动执行,发认证信息给AC认证,从AC上线;当PC关机或注销时,注销
3、脚本自动运行,发注销信息给AC,从AC下线。AD域安装登录和注销脚本PC域单点登录实现方式AD域集成WINDOWS身份验证(IWA):集成WINDOWS身份验证简称IWA,PC登录域后,PC再打开浏览器访问网站即自动通过AC认证。PCAD域域单点登录实现方式 AD域单点登录免插件模式:AC上开启域监控单点登录,当PC成功登陆域后,AC会主动到AD域控制器上检索日志,以获取登录的用户信息。注意:11.0之前版本需要内网找一台PC机专门安装ADSSO程序来实时监控AD域上的登录信息再上报给AC,11.0版本已将此程序合入到设备内。PCAD域域单点登录实现方式 监听方式: 左图,AD在AC外网方向,
4、内网PC登录AD的过程经过AC。此时PC通过AD域服务器认证时,认证数据被AC/SG设备监听(UDP88端口),同时通过认证。ADADPC监听口镜像口域单点登录实现方式(续) 监听方式(续):左图,AD在AC内网方向,内网PC登录AD的过程不经过AC。此时需要在交换机上将AD的流量镜像给AC,AC配置监听口。当PC通过AD域服务器认证时,认证数据被AC/SG设备监听(UDP88端口),同时通过认证。域脚本单点登录配置示例域脚本单点登录配置示例某公司内网有一台AD域服务器,域名为Vlab.cti.local,IP地址为10.10.2.21。要求内网域用户成功登录域之后,直接通过AC设备的认证上网
5、。同时要求域单点登录不成功的用户能够直接上网(不弹出用户名密码输入框)。配置思路:1.新增认证策略2.新增外部认证服务器,填写AD域服务器信息3.启用域单点登录,并设置组件模式单点登录信息4.AD域服务器配置登录和注销脚本域脚本单点登录配置示例第一步:新建认证策略。域脚本单点登录配置示例单点登录失败的用户,此处选择密码认证,选择所配置的LDAP域控服务器,即可以实现用户单点登录失败后,还可以用域控上的账号密码实现密码认证上线。选择第一种认证后处理方式,域用户会以所属OU上线,但是不会录入到本地组织结构,推荐使用这种方式上线。第二步:新增外部认证服务器,配置AD域服务器。域服务器IP地址管理员账
6、号域脚本单点登录配置示例第三步:设备启用LDAP单点登录,并设置组件模式单点登录信息。开启域单点登录设置共享密钥,域服务器上配置单点登录脚本时也需要设置相同的共享密钥域脚本单点登录配置示例第四步:域服务器上配置登录和注销脚本从设备控制台下载登录脚本到本地,然后把存放在域服务器本地的登录脚本logon.exe拖到这里。脚本参数格式:AC的IP,端口号(固定是1773),密钥(必须与AC控制台设置的密钥一致)域脚本单点登录配置示例配置注销脚本。域组织结构OU“train”下的用户user3登录域之后,成功通过AC的认证,可以直接上网。域脚本单点登录配置示例注意这里只列举了脚本单点登录最基本的使用方
7、法,脚本方式单点登录用法丰富,更多使用方法请参考附带文件“SANGFOR_AC&SG_v11.0_2016年度渠道高级认证培训05_AD域单点登录_脚本方式单点登录.doc”域免插件单点登录配置示例域免插件单点登录配置示例某公司内网有一台AD域服务器,域名为ye.local,IP地址为192.200.200.233。要求内网域用户成功登录域之后,直接通过AC设备的认证上网,且不希望更改域服务器的任何设置。域单点登录不成功的用户能够直接上网(不弹出用户名密码输入框)。域免插件单点登录配置示例配置思路:1.新增认证策略2.新增外部认证服务器,填写AD域服务器信息3.启用域监控单点登录,并设置域控制
8、器先关信息4.AD域开启EventLog审计域免插件单点登录配置的第1-2步与域脚本单点登录配置相同,请参考前面章节,前2步这里不再重复。域免插件单点登录配置示例第三步:配置ADSSO单点登录域控制器填写内网DNS填写域名需要填写管理员组的帐号域免插件单点登录配置示例第四步:开启AD 域的Eventlog 审计域免插件单点登录配置示例域组织结构OU“train”下的用户user3登录域之后,成功通过AC的认证,可以直接上网。IWA单点登录配置示例IWA单点登录配置示例某公司内网有一台AD域服务器,域名为,IP地址为172.16.100.203。要求内网域用户成功登录域之后,直接通过AC设备的认
9、证上网,且不希望更改域服务器的任何设置,域单点登录不成功的用户能够直接上网(不弹出用户名密码输入框)。IWA单点登录配置示例配置思路:1.新增认证策略2.新增外部认证服务器,填写AD域服务器信息3.启用域单点登录,并设置集成windows身份验证第一步:新建认证策略,选择“单点登录”。IWA单点登录配置示例域服务器类型域服务器的IP地址访问域服务器的管理员账号和密码,填写成形式。第二步:新建外部认证服务器,设置AD域服务器相关信息。IWA单点登录配置示例第三步:启用域单点登录,并设置集成windows身份验证IWA单点登录配置示例单点登录认证失败后默认间隔30分钟才发重定向包提交票据,导致单点
10、登录不成功时第二次尝试单点登录间隔比较久,AC11.0版本界面可配置重定向时间。第三步:启用LDAP单点登录,并设置集成windows身份验证IWA单点登录配置示例加入域成功后,右下角小喇叭会有提示是否加入域成功,如下图。注意,这里和其它单点登录不一样,域组织结构OU“train”下的用户user3登录域之后,不会自动通过AC认证,只有打开网页才会触发AC自动认证。IWA单点登录配置示例监听方式单点登录配置示例由于监听方式单点登录成功率不高,现在已很少使用,即使使用,也是和其它几种单点登录结合使用,作为辅助方式,不会单独使用。下面以AD域服务器在内网介绍监听方式单点登录配置。监听方式单点登录配
11、置示例AD(10.10.10.1/24)PC监听口镜像口配置思路:1.新增认证策略2.新增外部认证服务器,填写AD域服务器信息3.启用域单点登录,配置监听方式4.交换机需要配置镜像口,AC需要配置监听口,如果AD域服务器在AC外网,登录域经过AC,则此步省略监听方式单点登录配置示例 域监听方式单点登录配置的第1和2步与域脚本单点登录配置相同,请参考前面章节,前2步这里不再重复。第三步:启用监听方式单点登录监听方式单点登录配置示例第四步:交换机配置镜像口,将AD的数据流镜像给AC,AC配置监听口,如下图。监听方式单点登录配置示例四种单点登录方式总结四种域单点登录方式总结脚本方式IWA方式免插件方
12、式监听方式优点1、成功率高,客户普遍使用方式2、可以同时实现登录和注销不需要改变域的组策略不需要改变域的组策略不需要改变域的组策略缺点需要在域服务器上修改组策略,部分客户不愿意修改。1、用户登录域后,打开网页才能触发认证2、无法实现用户从域中注销同时从设备下线1、无法实现用户从域中注销同时从设备下线成功率不高适用场景客户允许修改域的组策略客户不允许修改域的组策略客户不允许修改域的组策略客户不允许修改域的组策略四种单点登录方式可以综合使用,实际情况中,优先推荐脚本方式,如果客户不允许修改域的配置,再同时使用免插件和IWA。而监听方式由于成功率不高使用不多,可以作为辅助开启。四种域单点登录方式总结练练手某公司内网有一台AD域服务器,域名为,IP地址为192.168.1.24。要求内网域用户成功登录域之后,不需要再通过AC设备的认证。请试着用LDAP域脚本单点登录和IWA单点登录方式来分别实现客户的需求!问题思考1.配置域脚本单点登录的时候,如果PC不能与AC通信,是否能单点登录成功?为什么?2.请说出脚本,免插件,IWA三种单点登录的适用场景Tel:400-630-6430Email:
