SANGFOR_SSL_v6.1_2013年度培训06_第三方服务器结合认证_20130725

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

SANGFORSSLVPN与第三方服务器结合认证培训内容培训目标第三方服务器认证1.了解SSLVPN支持的第三方服务器认证LDAP认证1.掌握SSL结合LDAP服务器认证的配置步骤RADIUS认证1.掌握SSL结合RADIUS服务器认证的配置步骤证书/USBKEY认证1.了解USBKEY认证的配置步骤2.了解内置CA认证的步骤3.了解第三方CA认证的步骤组映射和角色映射1、了解组映射和角色映射功能的作用2、掌握组映射和角色映射功能的配置方法LDAP导入用户1、掌握LDAP导入用户到本地功能的配置方法SSL与第三方结合认证功能介绍及配置组映射和角色映射功能介绍及配置深信服公司简介LDAP导入用户到本地功能介绍及配置练练手SANGFORSSL证书认证第三方服务器认证介绍SANGFORSSLVPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。外部认证也是一种主要认证方式,用户名密码认证与外部认证不能同时启用。第三方服务器认证介绍LDAP认证:轻量级目录访问协议。移动用户接入SSLVPN,需要到LDAP服务器上去认证,认证成功后LDAP服务器会将校验信息返回给SSL设备,同时用户登录SSLVPN成功。SSLVPN支持所有使用标准LDAP协议的认证服务器。LDAP认证常用端口:TCP389第三方服务器认证介绍RADIUS认证:远程用户拨号认证系统,是目前应用最广泛的AAA协议。认证交互过程:1.用户输入用户名和口令;2.radius客户端(NAS)根据获取的用户名和口令,向radius服务器发送认证请求包(access-request)。3.radius服务器将该用户信息与users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius客户端;如果认证失败,则返回access-reject响应包。RADIUS认证常用端口:UDP1812(认证)、UDP1813(计费)。LDAP认证配置介绍新建LDAP认证服务器,设置相关信息。添加域服务器的IP和端口域管理员Administrator在域服务器sangfor.com的Users文件夹下,管理员路径填写格式为:cn=Administrator,cn=Users,dc=sangfor,dc=com选择用于认证的LDAP用户账号所在路径包含该路径下所有子路径的用户账号,不勾选则仅包含该路径下的用户账号。支持的域服务器类型:MSActiveDirectory:指微软域用户LDAPServer:指除微软域以外的其他LDAPMSActiveDirectoryVPN:指微软域内带有允许接入微软VPN属性的用户当没有设置组映射关系时,自动匹配为某个组的用户RADIUS认证配置介绍新建RADIUS认证服务器,设置相关信息。添加RADIUS服务器的IP和认证端口选择RADIUS服务器对应的认证协议共享密钥:与RADIUS服务器设置相同当没有设置组映射关系时,自动匹配为某个组的用户证书认证证书认证配置介绍1.证书认证介绍证书认证是一种主要认证方式,只有私有用户才能采用此认证方式。证书认证主要由根证书和用户证书构成,其中根证书用于校验用户信息,用户证书就相当于每个用户的身份证,当二者匹配时,才能认证通过。证书认证配置介绍2.证书认证分类证书认证可分为本地证书认证和第三方证书认证。本地认证的CA就在设备上,可以自行更新,用户登录使用的证书,也是直接在设备上生成。第三方证书认证的CA需要先导入第三方CA的公钥,用户认证时的证书,可以直接安装在客户端上,但此时设备必须信任该CA颁发的所有证书。如果设备只信任导入设备的用户证书,则必须在用户管理那里手动新建用户并导入证书。证书认证配置介绍3.本地证书认证下载证书后,直接安装在电脑(其他终端)上即可证书认证配置介绍4.第三方证书认证点击浏览,选择需要导入的CA公钥此处可添加多CA,按顺序添加即可证书认证典型案例客户需求:客户有一台SSLVPN设备,现在希望各分公司员工都能通过证书接入,客户总部无统一CA中心,各分公司自己有CA。解决方案:各分公司提供CA公钥并导入设备,做多CA认证,实现各分公司用户的证书接入。配置思路用户需要使用两个CA中心的根证来做用户的证书认证,现在要导入这两个根证,创建两个分属于这两CA中心的用户,并成功登陆。配置步骤:1、创建2个根CA;2、创建2个用户,分别属于这2个CA。3、安装用户证书,并进行登录测试。点击外置CA名称进行详细编辑点击有介绍如何证书属性如何配置根据此字段找到设备里对应的用户、分配权限根据此字段进行证书校验,需要在用户编辑界面设置1、创建CA2、创建用户,并启用证书认证点击并导入对应的用户证书选择对应的证书文件导入,并归属到对应的CA中去。此例以导入用户证书为例。当然,你也可以不导入证书,启用信任该CA签发的所有证书用户即可。3、安装证书并登陆LDAP结合认证典型案例及配置LDAP结合认证典型案例及配置客户需求:客户内网已部署好LDAP服务器,通过域来管理内网用户。客户使用SANGFORSSLVPN设备,希望移动用户登录SSLVPN时使用LDAP上的用户名和密码进行认证。解决方案:使用SSLVPN与客户原有LDAP服务器结合认证,无需在设备上创建本地账号。客户网络环境:SSLVPN移动用户PCLDAP服务器LDAP结合认证典型案例及配置配置思路:1.配置LDAP服务器,在OU中新建用户。2.SSLVPN新建LDAP服务器,结合LDAP认证。3.使用域账号登陆SSLVPN。LDAP结合认证典型案例及配置1.在LDAP服务器下创建一个用户名为“test1”的用户LDAP结合认证典型案例及配置2.SSLVPN设备上,新建LDAP认证服务器并填写相应信息LDAP认证配置介绍3.移动用户通过域账号和密码登录SSLVPN。组织结构中无用户“test1”通过域用户名密码登陆SSLVPN组映射和角色映射功能介绍及配置组映射和角色映射功能介绍LDAP组映射:将LDAP上的OU以用户组的形式导入到SSL设备上,或者将OU一一映射给设备上的某个组。勾选需要映射的OU映射到本地的位置将LDAP服务器中的OU导入到SSL设备中,只导入用户组,不导入用户。可分别对用户组设置不同的角色和策略,用户通过认证后获得相应组的权限组映射和角色映射功能介绍LDAP角色映射:将LDAP上的安全组以角色的形式导入到SSL设备上,或者将安全组一一映射给设备上的某个角色。勾选需要映射的安全组安全组的用户通过认证后,自动获得相应的角色资源访问权限。组映射和角色映射功能介绍RADIUS组映射:RADIUS用户登录SSL时,根据Class属性字段进行分组。填写class属性的值,和对应的本地用户组。移动用户通过RADIUS账号登陆SSL后,根据账号的class属性值,自动分配对应用户组的角色和策略。LDAP导入用户到本地功能介绍及配置LDAP导入用户到本地功能介绍LDAP导入用户到本地:实现将LDAP服务器中的用户以及组织结构导入到SSLVPN组织结构中,可分别为不同的用户或者用户组关联策略组和角色。功能需求:LDAP服务器上不同的用户需要具有不同的资源访问权限和策略组。LDAP导入用户到本地功能配置1.【认证设置】,新建LDAP认证服务器并填写相应信息。(省略配置)2.【认证设置】,选择需要导入用户的LDAP服务器,点击“导入用户到本地”单独导入:仅导入选中的用户组用户。递归导入:导入选中的用户组和这个组下所有的子组用户。选择需要导入的用户组将选中的LDAP服务器中的用户和用户组,导入到SSL设备本地的哪个目标组下。将域服务器中的组织结构导入到SSL设备中。只导入用户,不导入用户组开启自动同步,每隔一段时间自动将LDAP服务器中的用户导入到SSL设备中,用于LDAP服务器中用户变更频繁的场景。LDAP导入用户到本地功能配置3.【用户管理】,查看是否有LDAP服务器中同步过来的用户和用户组。LDAP服务器中的组织结构和用户与LDAP服务器中的组织结构和用户一致。LDAP导入用户到本地功能补充说明1.如果某用户“user3”在LDAP服务器中被禁用,通过LDAP导入功能,能将此用户成功导入到SSL设备。但是移动用户使用域用户“user3”登录SSLVPN进行认证时,会认证失败。2.SSL设备的组织结构中,不能存在同名的用户。如果设备组织结构中已经存在用户“user4”(本地认证或者通过RADIUS认证),LDAP服务器中也存在同名用户“user4”,则从LDAP服务器中导入用户“user4”不成功。LDAP导入用户到本地功能补充说明3.从LDAP服务器导入用户到本地设置中,对已经导入用户的覆盖,只能覆盖通过LDAP服务器导入的同名用户。域单点登录认证功能适用场景:客户内网有域控环境,SSL设备与用户加入到相同的域,用户登陆域后,可通过SSL客户端直接登陆访问资源页面。域单点登录认证功能SSLVPN域单点登录只支持CS客户端方式登录:只支持CS客户方式登录想一想1.如果本地认证存在用户“test”,外部认证服务器里也有同名的用户“test”,那么移动用户使用“test”这个账号登录SSLVPN时,会匹配本地认证还是去外部认证服务器认证呢?如果本地认证和外部认证存在有相同的用户名时,优先匹配本地认证,当本地认证不通过时,返回用户名密码错误的提示。2.如下图所示,在同一个LDAP服务器设置中添加两个域服务器的IP和端口,和分别添加两个LDAP服务器,认证过程是否相同?图2的设置方法:如果这两个服务器上都存在相同用户名时,按照外部认证服务器的顺序进行认证匹配,直到找到第一个认证成功的外部认证服务器,如果所有外部认证服务器都认证失败,才返回用户名密码错误的提示。想一想图1的设置方法:用于多个LDAP服务器群做主备的情况。当设备连接不上第一个服务器时,再去连接第二个服务器。如果第一个服务器能连接上,返回认证失败信息,则不会再连接第二个服务器。练练手某公司购买了SANGFORSSLVPN设备给公网移动用户提供安全接入实现访问公司内网资源,由于客户内网已有LDAP服务器来管理用户,需要实现的功能如下:1.公网移动用户接入SSLVPN时到LDAP服务器上去认证,认证成功后允许接入SSLVPN。2.在LDAP服务器上创建一个名为“ALL”的OU,在“ALL”的OU下创建一个子OU“support”和直属用户“test1”,在子OU“support”下创建两个用户:test2和test3。要求将“ALL”的OU结构映射到SSL的根组下,为“ALL”用户组和“support”用户组关联不同的资源,组织结构下的用户接入后可以正常访问对应的资源。问题思考1.某客户有一台ORACAL数据库服务器存放了账号密码信息,客户想用SSLVPN跟他结合做认证,请问是否直接与ORACAL数据库结合做认证。2.组映射与LDAP用户导入组织结构的实现效果是否有区别?如果有,区别在哪里?3.某客户咨询SSL与LDAP结合做认证之后,担心用户权限的划分问题,客户希望实现不同级别的用户登录SSLVPN之后获取到不同资源,请问是否可以实现?

1 / 42
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功