用户认证进阶培训

SANGFORSSLVPN与第三方服务器结合认证培训内容培训目标第三方服务器认证1.了解SSLVPN支持的第三方服务器认证LDAP认证1.掌握SSL结合LDAP服务器认证的配置步骤RADIUS认证1.掌握SSL结合RADIUS服务器认证的配置步骤组映射和角色映射1、了解组映射和角色映射功能的作用2、掌握组映射和角色映射功能的配置方法LDAP导入用户1、掌握LDAP导入用户到本地功能的配置方法第三方CA认证1.掌握SSL结合第三方CA认证的配置步骤WebService短信认证1.掌握SSL结合WebService做短信认证的配置步骤SSL与第三方结合认证功能介绍及配置组映射和角色映射功能介绍及配置LDAP导入用户到本地功能介绍及配置WebService短信认证配置指导SANGFORSSL第三方CA证书认证配置指导第三方服务器认证介绍SANGFORSSLVPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。第三方服务器认证介绍LDAP认证：轻量级目录访问协议。移动用户接入SSLVPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSLVPN成功。SSLVPN支持所有使用标准LDAP协议的认证服务器。LDAP认证常用端口：TCP389第三方服务器认证介绍RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。认证交互过程：1.用户输入用户名和口令；2.radius客户端(NAS)根据获取的用户名和口令，向radius服务器发送认证请求包（access-request）。3.radius服务器将该用户信息与users数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius客户端；如果认证失败，则返回access-reject响应包。RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。LDAP认证配置介绍新建LDAP认证服务器，设置相关信息。添加域服务器的IP和端口域管理员Administrator在域服务器sangfor.com的Users文件夹下，管理员路径填写格式为：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理员的格式，需要添加域名！选择用于认证的LDAP用户账号所在路径包含该路径下所有子路径的用户账号，不勾选则仅包含该路径下的用户账号。支持的域服务器类型：MSActiveDirectory：指微软域用户LDAPServer：指除微软域以外的其他LDAPMSActiveDirectoryVPN：指微软域内带有允许接入微软VPN属性的用户当没有设置组映射关系时，自动匹配为某个组的用户RADIUS认证配置介绍新建RADIUS认证服务器，设置相关信息。添加RADIUS服务器的IP和认证端口选择RADIUS服务器对应的认证协议共享密钥:与RADIUS服务器设置相同当没有设置组映射关系时，自动匹配为某个组的用户组映射和角色映射功能介绍及配置组映射和角色映射功能介绍LDAP组映射：将LDAP上的OU以用户组的形式导入到SSL设备上，或者将OU一一映射给设备上的某个组。勾选需要映射的OU映射到本地的位置将LDAP服务器中的OU导入到SSL设备中，只导入用户组，不导入用户。可分别对用户组设置不同的角色和策略，用户通过认证后获得相应组的权限组映射和角色映射功能介绍LDAP角色映射：将LDAP上的安全组以角色的形式导入到SSL设备上，或者将安全组一一映射给设备上的某个角色。勾选需要映射的安全组安全组的用户通过认证后，自动获得相应的角色资源访问权限。组映射和角色映射功能介绍RADIUS组映射：RADIUS用户登录SSL时，根据Class属性字段进行分组。填写class属性的值，和对应的本地用户组。移动用户通过RADIUS账号登陆SSL后，根据账号的class属性值，自动分配对应用户组的角色和策略。特殊案例：SSL结合飞天诚信动态令牌进行认证动态令牌是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效，目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。常见的我们SSL设备跟OTP飞天诚信动态令牌结合做认证。接下来介绍OTPServer认证服务器的安装配置、OTP管理平台的安装配置和深信服SSL设备的配置方法。SSL结合飞天诚信动态令牌进行认证SSL结合飞天诚信动态令牌进行认证，对于SSL设备来说就是radius认证，在搭建好OTP服务器之后，SSL设备仅仅需要配置radius认证部分即可。具体步骤如下：(1)安装和配置数据库系统，创建OTPServer数据库和数据库表(2)安装、配置并运行OTPServer认证服务器，安装过程中需要授权文件(3)安装、配置并运行OTP管理中心，安装或配置过程中需要授权文件(4)令牌的导入和与用户帐号的绑定，在OTP管理中心中导入令牌种子(5)SSL上配置Radius认证方式注：前4个步骤配置，请参考文档《OTPServerRadius应用安装配置手册》，本PPT重点讲SSL设备上的配置以及测试效果。附《OTPServerRadius应用安装配置手册》下载链接：如部署OTP服务器遇到问题，可联系飞天诚信售后获得支撑，联系方式：结合飞天诚信动态令牌进行认证1、点击“SSLVPN设置--认证设置--Radius认证--设置”新建一个radius认证服务器SSL结合飞天诚信动态令牌进行认证2、将用户映射到之前新建的“radius测试组”支持根据Class属性字段进行分组SSL结合飞天诚信动态令牌进行认证3、编辑radius用户组，认证选项“外部认证”选择otp,给该用户组关联资源完成配置。SSL结合飞天诚信动态令牌进行认证效果展示：1、登录用户登录页面2、输入此时手上令牌的密码进行登录附认证成功的系统日志如图所示注意事项：1、登录VPN后弹出挑战认证框，可能是Radiusserver启用了challenge认证方式。2、Radius里的chap支持支持v1、v2。3、PPTP不支持外部认证，PPTP登录的用户不支持Radius认证。想一想1.如果本地认证存在用户“test”，外部认证服务器里也有同名的用户“test”，那么移动用户使用“test”这个账号登录SSLVPN时，会匹配本地认证还是去外部认证服务器认证呢？如果本地认证和外部认证存在有相同的用户名时，优先匹配本地认证，当本地认证不通过时，返回用户名密码错误的提示。2.如下图所示，在同一个LDAP服务器设置中添加两个域服务器的IP和端口，和分别添加两个LDAP服务器，认证过程是否相同？图2的设置方法：如果这两个服务器上都存在相同用户名时，按照外部认证服务器的顺序进行认证匹配，直到找到第一个认证成功的外部认证服务器，如果所有外部认证服务器都认证失败，才返回用户名密码错误的提示。想一想图1的设置方法：用于多个LDAP服务器群做主备的情况。当设备连接不上第一个服务器时，再去连接第二个服务器。如果第一个服务器能连接上，返回认证失败信息，则不会再连接第二个服务器。练练手某公司购买了SANGFORSSLVPN设备给公网移动用户提供安全接入实现访问公司内网资源，由于客户内网已有LDAP服务器来管理用户，需要实现的功能如下：1.公网移动用户接入SSLVPN时到LDAP服务器上去认证，认证成功后允许接入SSLVPN。2.在LDAP服务器上创建一个名为“ALL”的OU，在“ALL”的OU下创建一个子OU“support”和直属用户“test1”，在子OU“support”下创建两个用户：test2和test3。要求将“ALL”的OU结构映射到SSL的根组下，为“ALL”用户组和“support”用户组关联不同的资源，组织结构下的用户接入后可以正常访问对应的资源。第三方CA证书认证配置指导CA简介CA(CertificateAuthority)认证中心是权威、公正的第三方机构，专门负责发放并管理数字证书。CA主要用于证书颁发、证书更新、证书吊销、证书状态的在线查询，证书认证等。CA通常建立多个层次的证书颁发机构X509标准规定建立分层的、呈树状结构的CA组织模式。SSLVPN除了支持自建CA外，同时也支持结合第三方CA做证书认证。数字证书根证书：根证书是CA认证中心给自己颁发的证书，是信任链的起始点。根证书是一份特殊的证书，它的签发者是它本身，下载根证书表示对该根证书以下所签发的证书都表示信任。用户证书：由CA中心颁发的个人证书，用于终端用户登录各种应用系统，可存于KEY等介质。数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，它由CA机构心发行，用来识别对方的身份。设备证书：也称服务器证书，该证书将安装在服务器端(SSL设备)，向尝试建立连接的客户端提供服务器身份、证书和公钥信息，使用证书和公钥在客户端和SSLVPN之间建立一条安全、加密的通道，将客户端与SSL设备之间传输数据进行加密。SANGFORSSLVPN结合第三方CA使用时与自建CA的区别是根证书、服务器证书和用户证书都是由第三方CA颁发的。SSLVPN结合第三方CA认证流程CAServerClient提交证书请求下发根证书、SSL设备证书提交用户的信息下发用户数字证书提交用户数字证书①②③提供SSL设备证书用户证书登录过程证书申请下发过程第三方CA认证配置指导配置步骤：1、SSLVPN设备生成证书请求，保存下来提交给第三方CA。2、将第三方CA颁发的根证书、设备证书导入SSLVPN设备（设备证书可不导入），并配置相关配置。3、从第三方CA申请用户证书。4、配置证书认证用户、资源、角色等，然后登录进行测试。第三方CA认证配置指导1、在【系统设置】配置界面下选择【系统配置】，再选中【设备证书】选项，生成一个证书请求，填写相关参数，并将证书请求保存下来：2、将证书请求提交给第三方CA，申请根证书、服务器证书（即设备证书）、用户证书第三方CA认证配置指导3、将获得的CA根证书和设备证书导入SSLVPN设备导入根证书导入服务器证书注:如不导入第三方服务器证书，则由SSL设备本身的设备证书建立加密隧道第三方CA认证配置指导4、配置证书认证用户进行登录，两种创建方式：方法1：通过批量导入用户方式建立用户帐号（或手动建立用户）注：使用这种方法导入用户，需要勾选“信任该CA签发的所有证书用户”第三方CA认证配置指导方法2：通过导入用户证书建立证书认证用户注：对比方法1，方法2需要先拿到用户证书并导入才能创建用户。推荐使用方法1。WebService短信认证配置指导WebService简介短信认证的WebService，其原理是向某个URL地址传递一些参数，WebService短信网关的接口接收到这些参数后就会根据参数发送短信。在配置WebService的过程中，需要用到wsdl文件。wsdl文件是描述WebService的接口信息的文件，里面包含了WebService短信网关发短信、收短信等接口的xml信息。我们设备上可以通过此wsdl文件生成短信模板，将文件中发短信的接口的xml剥离出来，后续设备发短信的时候就会根据这个xml来向指定的URL传递参数。SSL设备VPN可以通过WebService短信网关的接口，结合做短信认证。WebService配置指导1、配置WebService基本信息（从客户获取WebService接口文档进行配置）2、配置WebService发送短信模板（将客户提供的wsdl文件导入）WebService配置指导3、根据客户提供的WebService接口文档，结合我们的参数变量，对各参数进行修正