SANGFOR-ACSG-2012年度培训05_外部认证培训_LSQ.pptVIP

培训内容 培训目标 SANGFOR AC/SG 外部认证功能介绍 1. 了解AC/SG设备支持的三种外部认证服务器 SANGFOR AC/SG 外部认证流程 2. 了解AC/SG设备外部认证的流程 SANGFOR AC/SG外部认证配置举例 1.掌握AC/SG设备和LDAP服务器结合的外部认证的配置思路和配置 2.了解AC/SG设备其他外部服务器结合认证的配置思路 SANGFOR AC/SG 外部认证功能介绍 SANGFOR AC/SG 外部认证流程 深信服公司简介 LDAP 外部认证配置举例 练练手 SANGFOR AC/SG 外部认证功能介绍 SANGFOR AC/SG的外部认证功能，也称为第三方认证。用户的账号密码信息保存在第三方服务器上，AC/SG将用户提交的用户名密码信息转给第三方认证服务器校验，通过第三方服务器返回的认证成功与否的信息，决定是否通过AC/SG的认证，这个过程称为AC/SG的外部认证。 AC/SG支持的第三方认证服务器 LDAP 认证 RADIUS 认证 POP3 认证 与微软AD结合使用的第三方认证使用最广泛 Microsoft AD Open LDAP Sun LDAP IBM LDAP Other LDAP Lotus LDAP Novell LDAP SANGFOR AC/SG外部认证过程 1. PC向AC/SG提交用户名密码信息 2. AC/SG判断为外部认证，并把用户名密码信息发给外部认证服务器校验 3. 外部认证服务器校验后，向AC/SG发送认证与否的消息 4. AC/SG根据外部认证服务器返回成功的消息，将此用户通过AC/SG的认证 5. PC通过认证后，就可直接访问公网了 SANGFOR AC/SG外部认证流程图 PC的上网数据 AC/SG根据IP、MAC匹配认证策略 密码认证 重定向到认证页面 输入用户名和密码 AC/SG有对应用户名且设置本地密码？ Y 本地认证成功/失败 N 认证未通过 认证失败 用户认证信息发到第三方服务器 AC/SG有对应用户名？ 认证 通过 认证成功 Y 认证策略开启自动添加新用户？ N N 认证失败 Y 自动添加新用户并认证成功 Y 外部认证用户 满足如下两个条件的用户才会匹配外部认证流程： 2. 组织结构中，用户属性未勾选“本地密码”和“启用DKEY”。 认证策略中，认证方式选择“密码认证/外部认证/单点登录”的用户。 与是否绑定IP/MAC地址无关 外部认证服务器配置界面 1、选择需要新增的外部认证服务器类型【LDAP, RADIUS, POP3服务器】 2、设置外部认证服务器的通信方式，IP，端口等 只支持单点登录，不支持外部认证。 LDAP 外部认证配置举例 LDAP 外部认证配置举例 案例背景： 某公司内网有一台AD域服务器，域名为Vlab.cti.local，服务器IP地址为1。要求该域中“train”下的用户和子OU都按照原来的结构同步到SG设备的“MSAD域用户组”中，内网用户上网时用登录域控的账号和密码来通过SG设备的认证。对于AD域中新增的用户也希望能通过SG的认证并加到组织结构中。 LDAP 外部认证配置举例 配置思路 1、新建用户组 。 2、新建外部认证服务器，设置AD域服务器信息。 3、设置LDAP自动同步，同步AD域OU “train”下的用户和子OU到SG的组织结构里。 4、新建认证策略，选择“密码认证/外部认证/单点登录”。 LDAP 外部认证配置步骤 第一步：建立用户组，“MSAD域同步组” LDAP 外部认证配置步骤 第二步：新建外部认证服务器，设置AD域服务器相关信息。 域服务器的IP地址 域服务器类型 访问域服务器的管理员账号和密码，填写成administrator@Vlab.cti.local 或cn=administrator,cn=user,dc=Vlab,dc=cti,dc=local的形式均可 表明域服务器设置正确，设备与服务器能正常通信 LDAP 外部认证配置步骤 第三步：设置LDAP自动同步。 从外部认证服务器中同步组织结构和用户 从OU“train”开始同步 域中的组织结构已经同步到设备中 LDAP 外部认证配置步骤 第四步：新建认证策略，选择“密码认证/外部认证/单点登录”。 需要外部认证的用户网段 如果域服务器上添加新的用户来认证，则自动触发该用户的同步。 LDAP 外部认证配置举例 用户user1访问网页时通过正确输入用户名和密码之后通过认证，访问公网。 其他外部认证配置步骤 如果客户网络环境中采用RADIUS或POP3服务器做外部认证，AC/SG结合外部认证服务器认证的配置步骤为： 1、新建用户组 ，假设用户组名为“外部认