搜索
SANGFORSSLVPN与第三方服务器结合认证培训内容培训目标第三方服务器认证1.了解SSLVPN支持的第三方服务器认证LDAP认证1.掌握SSL结合LDAP服务器认证的配置步骤RADIUS认证1.掌握SSL结合RADIUS服务器认证的配置步骤组映射和角色映射1、了解组映射和角色映射功能的作用2、掌握组映射和角色映射功能的配置方法LDAP导入用户1、掌握LDAP导入用户到本地功能的配置方法SSL与第三方结合认证功能介绍及配置组映射和角色映射功能介绍及配置深信服公司简介LDAP导入用户到本地功能介绍及配置练练手SANGFORSSL第三方服务器认证介绍SANGFORSSLVPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。外部认证也是一种主要认证方式,用户名密码认证与外部认证不能同时启用。第三方服务器认证介绍LDAP认证:轻量级目录访问协议。移动用户接入SSLVPN,需要到LDAP服务器上去认证,认证成功后LDAP服务器会将校验信息返回给SSL设备,同时用户登录SSLVPN成功。SSLVPN支持所有使用标准LDAP协议的认证服务器。LDAP认证常用端口:TCP389第三方服务器认证介绍RADIUS认证:远程用户拨号认证系统,是目前应用最广泛的AAA协议。认证交互过程:1.用户输入用户名和口令;2.radius客户端(NAS)根据获取的用户名和口令,向radius服务器发送认证请求包(access-request)。3.radius服务器将该用户信息与users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius客户端;如果认证失败,则返回access-reject响应包。RADIUS认证常用端口:UDP1812(认证)、UDP1813(计费)。LDAP认证配置介绍新建LDAP认证服务器,设置相关信息。添加域服务器的IP和端口域管理员Administrator在域服务器sangfor.com的Users文件夹下,管理员路径填写格式为:cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理员的格式,需要添加域名!选择用于认证的LDAP用户账号所在路径包含该路径下所有子路径的用户账号,不勾选则仅包含该路径下的用户账号。支持的域服务器类型:MSActiveDirectory:指微软域用户LDAPServer:指除微软域以外的其他LDAPMSActiveDirectoryVPN:指微软域内带有允许接入微软VPN属性的用户当没有设置组映射关系时,自动匹配为某个组的用户RADIUS认证配置介绍新建RADIUS认证服务器,设置相关信息。添加RADIUS服务器的IP和认证端口选择RADIUS服务器对应的认证协议共享密钥:与RADIUS服务器设置相同当没有设置组映射关系时,自动匹配为某个组的用户LDAP结合认证典型案例及配置LDAP结合认证典型案例及配置客户需求:客户内网已部署好LDAP服务器,通过域来管理内网用户。客户使用SANGFORSSLVPN设备,希望移动用户登录SSLVPN时使用LDAP上的用户名和密码进行认证。解决方案:使用SSLVPN与客户原有LDAP服务器结合认证,无需在设备上创建本地账号。客户网络环境:SSLVPN移动用户PCLDAP服务器LDAP结合认证典型案例及配置配置思路:1.配置LDAP服务器,在OU中新建用户。2.SSLVPN新建LDAP服务器,结合LDAP认证。3.使用域账号登陆SSLVPN。LDAP结合认证典型案例及配置1.在LDAP服务器下创建一个用户名为“test1”的用户LDAP结合认证典型案例及配置2.SSLVPN设备上,新建LDAP认证服务器并填写相应信息LDAP认证配置介绍3.移动用户通过域账号和密码登录SSLVPN。组织结构中无用户“test1”通过域用户名密码登陆SSLVPN组映射和角色映射功能介绍及配置组映射和角色映射功能介绍LDAP组映射:将LDAP上的OU以用户组的形式导入到SSL设备上,或者将OU一一映射给设备上的某个组。勾选需要映射的OU映射到本地的位置将LDAP服务器中的OU导入到SSL设备中,只导入用户组,不导入用户。可分别对用户组设置不同的角色和策略,用户通过认证后获得相应组的权限组映射和角色映射功能介绍LDAP角色映射:将LDAP上的安全组以角色的形式导入到SSL设备上,或者将安全组一一映射给设备上的某个角色。勾选需要映射的安全组安全组的用户通过认证后,自动获得相应的角色资源访问权限。组映射和角色映射功能介绍RADIUS组映射:RADIUS用户登录SSL时,根据Class属性字段进行分组。填写class属性的值,和对应的本地用户组。移动用户通过RADIUS账号登陆SSL后,根据账号的class属性值,自动分配对应用户组的角色和策略。LDAP导入用户到本地功能介绍及配置LDAP导入用户到本地功能介绍LDAP导入用户到本地:实现将LDAP服务器中的用户以及组织结构导入到SSLVPN组织结构中,可分别为不同的用户或者用户组关联策略组和角色。功能需求:LDAP服务器上不同的用户需要具有不同的资源访问权限和策略组。LDAP导入用户到本地功能配置1.【认证设置】,新建LDAP认证服务器并填写相应信息。(省略配置)2.【认证设置】,选择需要导入用户的LDAP服务器,点击“导入用户到本地”单独导入:仅导入选中的用户组用户。递归导入:导入选中的用户组和这个组下所有的子组用户。选择需要导入的用户组将选中的LDAP服务器中的用户和用户组,导入到SSL设备本地的哪个目标组下。将域服务器中的组织结构导入到SSL设备中。只导入用户,不导入用户组开启自动同步,每隔一段时间自动将LDAP服务器中的用户导入到SSL设备中,用于LDAP服务器中用户变更频繁的场景。LDAP导入用户到本地功能配置3.【用户管理】,查看是否有LDAP服务器中同步过来的用户和用户组。LDAP服务器中的组织结构和用户与LDAP服务器中的组织结构和用户一致。LDAP导入用户到本地功能补充说明1.如果某用户“user3”在LDAP服务器中被禁用,通过LDAP导入功能,能将此用户成功导入到SSL设备。但是移动用户使用域用户“user3”登录SSLVPN进行认证时,会认证失败。2.SSL设备的组织结构中,不能存在同名的用户。如果设备组织结构中已经存在用户“user4”(本地认证或者通过RADIUS认证),LDAP服务器中也存在同名用户“user4”,则从LDAP服务器中导入用户“user4”不成功。LDAP导入用户到本地功能补充说明3.从LDAP服务器导入用户到本地设置中,对已经导入用户的覆盖,只能覆盖通过LDAP服务器导入的同名用户。特殊案例:SSL结合飞天诚信动态令牌进行认证动态令牌是根据专门的算法生成一个不可预测的随机数字组合,一个密码使用一次有效,目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。常见的我们SSL设备跟OTP飞天诚信动态令牌结合做认证。接下来介绍OTPServer认证服务器的安装配置、OTP管理平台的安装配置和深信服SSL设备的配置方法。SSL结合飞天诚信动态令牌进行认证SSL结合飞天诚信动态令牌进行认证,对于SSL设备来说就是radius认证,在搭建好OTP服务器之后,SSL设备仅仅需要配置radius认证部分即可。具体步骤如下:(1)安装和配置数据库系统,创建OTPServer数据库和数据库表(2)安装、配置并运行OTPServer认证服务器,安装过程中需要授权文件(3)安装、配置并运行OTP管理中心,安装或配置过程中需要授权文件(4)令牌的导入和与用户帐号的绑定,在OTP管理中心中导入令牌种子(5)SSL上配置Radius认证方式注:前4个步骤配置,请参考文档《OTPServerRadius应用安装配置手册》,本PPT重点讲SSL设备上的配置以及测试效果。附《OTPServerRadius应用安装配置手册》下载链接:结合飞天诚信动态令牌进行认证1、点击“SSLVPN设置--认证设置--Radius认证--设置”新建一个radius认证服务器SSL结合飞天诚信动态令牌进行认证2、将用户映射到之前新建的“radius测试组”支持根据Class属性字段进行分组SSL结合飞天诚信动态令牌进行认证3、编辑radius用户组,认证选项“外部认证”选择otp,给该用户组关联资源完成配置。SSL结合飞天诚信动态令牌进行认证效果展示:1、登录用户登录页面2、输入此时手上令牌的密码进行登录附认证成功的系统日志如图所示注意事项:1、登录VPN后弹出挑战认证框,可能是Radiusserver启用了challenge认证方式。2、Radius里的chap支持支持v1、v2。3、PPTP不支持外部认证,PPTP登录的用户不支持Radius认证。想一想1.如果本地认证存在用户“test”,外部认证服务器里也有同名的用户“test”,那么移动用户使用“test”这个账号登录SSLVPN时,会匹配本地认证还是去外部认证服务器认证呢?如果本地认证和外部认证存在有相同的用户名时,优先匹配本地认证,当本地认证不通过时,返回用户名密码错误的提示。2.如下图所示,在同一个LDAP服务器设置中添加两个域服务器的IP和端口,和分别添加两个LDAP服务器,认证过程是否相同?图2的设置方法:如果这两个服务器上都存在相同用户名时,按照外部认证服务器的顺序进行认证匹配,直到找到第一个认证成功的外部认证服务器,如果所有外部认证服务器都认证失败,才返回用户名密码错误的提示。想一想图1的设置方法:用于多个LDAP服务器群做主备的情况。当设备连接不上第一个服务器时,再去连接第二个服务器。如果第一个服务器能连接上,返回认证失败信息,则不会再连接第二个服务器。练练手某公司购买了SANGFORSSLVPN设备给公网移动用户提供安全接入实现访问公司内网资源,由于客户内网已有LDAP服务器来管理用户,需要实现的功能如下:1.公网移动用户接入SSLVPN时到LDAP服务器上去认证,认证成功后允许接入SSLVPN。2.在LDAP服务器上创建一个名为“ALL”的OU,在“ALL”的OU下创建一个子OU“support”和直属用户“test1”,在子OU“support”下创建两个用户:test2和test3。要求将“ALL”的OU结构映射到SSL的根组下,为“ALL”用户组和“support”用户组关联不同的资源,组织结构下的用户接入后可以正常访问对应的资源。问题思考1.某客户有一台ORACAL数据库服务器存放了账号密码信息,客户想用SSLVPN跟他结合做认证,请问是否直接与ORACAL数据库结合做认证。2.组映射与LDAP用户导入组织结构的实现效果是否有区别?如果有,区别在哪里?3.某客户咨询SSL与LDAP结合做认证之后,担心用户权限的划分问题,客户希望实现不同级别的用户登录SSLVPN之后获取到不同资源,请问是否可以实现?