SANGFOR ACSG 2012年度培训06_单点登陆功能培训_liaoyl.ppt

培训内容 培训目标 单点登录功能介绍 了解单点登录功能的应用场景和概念 掌握AC/SG设备支持的单点登录方式 单点登录功能实现方式 了解单点登录功能的七种实现方式 单点登录功能配置举例 掌握常见网络环境中POP3单点登录方式的部署和配置 单点登录功能介绍 单点登录功能实现方式 深信服公司简介 单点登录功能配置举例 练练手 SANGFOR AC/SG 单点登录功能介绍 什么是单点登录功能： 当用户成功登录到第三方认证服务器时，自动通过AC/SG设备的认证，而无需再次输入用户名和密码。 单点登录功能的优点： 用户只需要输入一次账号和密码，即可自动通过AC/SG设备的认证，避免账号和密码的重复输入，降低密码泄露的风险。 AC/SG 设备支持的单点登录认证 AC/SG设备支持的单点登录认证 LDAP单点登录 POP3单点登录 PROXY单点登录 WEB单点登录 第三方设备单点登录 数据库单点登录 PPPOE 单点登录 兼容Kerberos的认证方式 ISA控件 普通账号密码认证方式 锐捷Sam系统 H3C cams系统 支持HTTP单点登录的接口（如城市热点等） （Oracle、MS SQL、DB2、MYSQL） 单点登录功能实现方式 AD域单点登录组件模式： 通过在域控上添加登录和注销脚本来实现。当PC登录到域时，会从域上下发登录脚本，执行成功后，PC上报AC/SG认证成功的信息，从而通过AC/SG的认证。 同样，当PC从域上注销时会运行注销脚本，同时发注销信息给AC/SG设备，从而在AC/SG上注销原来的在线用户。 ① ② ③ AD域 安装登录和注销脚本 PC 只有微软AD的域单点登录才有组件模式。 单点登录功能实现方式 AD域单点登录免插件模式： 在内网的一台电脑上安装单点登录客户端程序，通过单点登录客户端程序定时从域服务器上获取PC登录域成功的状态，并将获取的信息上报AC/SG设备来实现认证。 单点登录客户端也可以访问PC，检查PC是否从域注销，并将注销的信息发给AC/SG设备来实现同步注销用户。 PC SERVER 安装单点登录客户端程序 AD域 ① ② ③ 只有微软AD的域单点登录才有免插件模式。 单点登录功能实现方式 监听方式： 即PC提交账号和密码到外部认证服务器校验的时候，认证数据被AC/SG设备监听。如果认证成功，AC/SG设备把该用户加入到在线用户列表从而通过AC/SG的认证。 LDAP监听方式的单点登录和POP3单点登录，PROXY普通账号密码的单点登录，WEB单点登录均属于这种情况。 ① SERVER ② 单点登录功能实现方式 第三方设备锐捷sam系统： 锐捷sam系统是一套宽带网认证计费管理系统，每认证/注销一个用户，会在数据库相应表中作一次insert/delete操作。 通过在数据库中生成触发器，当指定表的指定字段有insert/delete/update时，触发器利用xp_cmdshell执行logon.exe程序 通知AC/SG设备，实现单点登录和注销。 认证服务器 数据库服务器 Logon.exe ① ② ③ 单点登录功能实现方式 H3C cams系统： H3C cams系统本身提供了二次开发接口，供其他厂商合作。 AC/SG设备按照H3C cams提供的接口和它结合，定时从cams系统中获取用户信息（在线用户/用户组织结构），并更新设备自己的在线用户列表/用户列表，以达到单点登录的效果。 认证服务器 单点登录功能实现方式 数据库认证: 第三方认证系统，一般都是会有一个后台数据库来存储用户、认证信息，如果能明确数据库存储特点（表、字段信息）则不需要关心它前端认证系统，直接和后台数据库结合实现单点登录。 通过数据库单点登录设置，在AC/SG设备上设置获取用户列表/在线用户列表的SQL语句，来实现定时从数据库中获取用户信息（在线用户/用户组织结构），并更新AC/SG设备的在线用户列表/用户列表，完成单点登录。 数据库服务器 单点登录功能实现方式 PPPOE单点登录： 在AC/SG设备上利用协议剥离识别出PPPOE协议，然后监听PPPOE通讯数据包，提取出用户名，实现单点登录认证和注销。 单点登录功能配置 以POP3单点登录配置为例 POP3单点登录应用背景 用户信息存放在POP3服务器上，在上网之前，用户使用Outlook、Foxmail之类的客户端登录POP3服务器收邮件，AC认证系统会自动识别并认证通过该用户，此时用户可以直接上网，而不需再次输入用户名密码。同