SANGFOR_AC&SG_V4.5_2013年度渠道初级认证培训06_LDAP单点登录培训

SANGFORAC&SGLDAP单点登录培训内容培训目标AD域单点登录功能应用背景1.了解域单点登录功能应用背景AD域单点登录应用模式及配置思路1.了解域单点登录的三种实现方式2.掌握域单点登录三种实现方式的配置思路AD域新组件单点登录方式的配置举例1.掌握域新组件单点登录方式的配置步骤AD域免插件单点登录方式的配置举例1.掌握域免插件单点登录方式的配置步骤域单点登录功能应用背景及配置思路域新组件单点登录配置示例深信服公司简介域免插件单点登录配置示例练练手SANGFORAC/SGLDAP域单点登录应用背景LDAP单点登录功能适用于客户内网已有一台域控制器做桌面管理，部署AC/SG设备后，希望实现用户登录域即可上网，无需通过AC/SG再次认证，并且AC/SG设备上用户的行为记录和域用户名对应。LDAP单点登录有新组件模式，监听模式，免插件，NTLM单点登录四种方式。只有微软的AD域才支持新组件单点登录模式和免插件单点登录模式。只有微软的AD域才支持NTLM单点登录。AD域新组件单点登录模式①②AD域安装登录和注销脚本PC①PC请求登录域②域认证成功后，PC执行logon.exe脚本③PC运行logon.exe成功后，在PC本地的C盘共享目录生成logon.txt日志文件，上报成功登录域的信息给AC/SG新组件模式需要在域服务器上配置logon.exe和logoff.exe脚本，用户登录域或从域注销时会运行相应的脚本，并将获取的信息上报AC/SG。配置思路：1、设备启用LDAP单点登录2、设备配置组件模式单点登录信息3、服务器配置登录脚本AD域免插件单点登录模式AD域单点登录免插件模式：在内网的一台电脑上安装单点登录客户端程序，通过单点登录客户端程序定时从域服务器上获取PC登录域成功的状态，并将获取的信息上报AC/SG设备来实现认证。PCSERVER安装单点登录客户端程序AD域①②只有微软AD的域单点登录支持免插件模式。LDAP域单点登录监听模式监听模式的单点登录无需在域服务器上安装任何组件，通过监听UDP88端口用户登录域的信息，如果用户成功登录域，AC/SG设备则把该用户加入到在线用户列表，通过AC/SG的认证。②①配置思路：1、设备启用LDAP单点登录2、设备配置单点登录信息3、设备设置监听口域新组件单点登录配置示例域新组件单点登录配置示例某公司内网有一台AD域服务器，域名为Vlab.cti.local，IP地址为10.10.2.21。要求内网域用户成功登录域之后，直接通过AC设备的认证上网。同时要求将AD域中所有的OU和用户同步到AC设备的“MSAD域用户组”，域单点登录不成功的用户能够直接上网（不弹出用户名密码输入框），与单点登录成功的用户上网权限相同。域新组件单点登录配置示例配置思路：1.新增用户组2.新增认证策略3.新增外部认证服务器，填写AD域服务器信息4.设置AD域自动同步策略5.启用LDAP单点登录，并设置组件模式单点登录信息6.AD域服务器配置登录和注销脚本域新组件单点登录配置示例第一步：新增用户组，“MSAD域用户组”域新组件单点登录配置示例第二步：新建认证策略。填写策略适用的范围单点登录不成功的用户不弹出密码框，以临时用户上网域中所有用户均通过自动同步到AC的组织结构，单点登录不成功的用户以临时用户的身份上网域新组件单点登录配置示例第三步：新增外部认证服务器，配置AD域服务器。域服务器IP地址管理员账号域新组件单点登录配置示例第四步：设置AD域自动同步将选择的组织结构和用户同步到本地将域中的组织结构和用户同步到“MSAD域用户组”下点击“立即同步”，发送同步命令，刷新查看最后同步状态为“同步成功”后，即可在设备的组织结构中查看到域服务器中的组和用户域新组件单点登录配置示例第五步：设备启用LDAP单点登录，并设置组件模式单点登录信息。开启域单点登录设置共享密钥，域服务器上配置单点登录脚本时也需要设置相同的共享密钥域新组件单点登录配置示例第六步：域服务器上配置登录和注销脚本从设备控制台下载登录脚本到本地，然后把存放在域服务器本地的登录脚本logon.exe拖到这里。脚本参数格式：AC的IP，端口号(固定是1773)，密钥(必须与AC控制台设置的密钥一致)这里只例举了添加登录脚本的方法，AD域服务器详细配置见“AD域单点登录操作文档”域新组件单点登录配置示例域组织结构OU“train”下的用户user3登录域之后，成功通过AC的认证，可以直接上网。域免插件单点登录配置示例域免插件单点登录配置示例某公司内网有一台AD域服务器，域名为Vlab.cti.local，IP地址为10.10.2.21。要求内网域用户成功登录域之后，直接通过AC设备的认证上网，且不希望更改域服务器的任何设置。客户要求将AD域中所有的OU和用户同步到AC设备的“MSAD域用户组”，域单点登录不成功的用户能够直接上网（不弹出用户名密码输入框），与单点的登录成功的用户上网权限相同。域免插件单点登录配置示例配置思路：1.新增用户组2.新增认证策略3.新增外部认证服务器，填写AD域服务器信息4.设置AD域自动同步策略5.启用LDAP单点登录，并设置组件模式单点登录信息6.安装和配置免插件单点登录客户端域免插件单点登录配置的第1-5步与域新组件单点登录配置相同，配置步骤不再赘述。域免插件单点登录配置示例第六步、安装和配置免插件单点登录客户端6.1免插件单点登录客户端安装环境要求：1)操作系统:WINDOWSXP，VISTA，WIN7，WIN2003，WIN2008都可以。对于VISTA，WIN7，WIN2008系统，运行免插件软件必须右键以管理员权限运行。2)用户权限：是域控上具有管理员权限的账号，并且是administrators组中的帐号3)AC/SG设备版本：支持AC，SG，IAM三个产品线，支持2.x及以后版本域免插件单点登录配置示例6.2安装免插件单点登录安装工具软件下载地址：解压之后双击ADSSO.exe即可运行免插件程序域免插件单点登录配置示例6.3配置免插件单点登录客户端配置域控制器具有管理员权限的账号，并且在域控的administrators安全组中域免插件单点登录配置示例6.3配置免插件单点登录客户端配置设备信息与AC设备上设置的共享密钥保持一致域控制器和设备的状态都处于“OK”说明连通性正常域免插件单点登录配置示例域组织结构OU“train”下的用户user3登录域之后，成功通过AC的认证，可以直接上网。域免插件单点登录注意事项1.支持多台AC/SG设备，多台域控同时实现单点登录。2.免插件安装不支持安装在域控服务器上。3.免插件单点登录，不支持注销功能，用户注销通过超时注销机制解决。练练手某公司内网有一台AD域服务器，域名为123.com，IP地址为192.168.1.24。要求内网域用户成功登录域之后，不需要再通过AC设备的认证。单点登录成功的用户自动添加到AC设备的“MSAD域新用户组”中。请试着用LDAP域新组件单点登录和免插件单点登录方式来分别实现客户的需求吧！问题思考1.配置域新组件单点登录的时候，如果PC不能与AC通信，是否能单点登录成功？为什么？2.请说出域新组件单点登录方式与免插件单点登录方式的区别3.如下图，客户要实现单点登录，但是PC登录域的数据不经过AC，有哪些办法可以实现客户需求？微软AD域AC二层交换PC