域认证安装配置及障处理方法公司prontway.docVIP

域认证安装配置及故障处理方法 域验证方式 有两种方式 类似于本地验证的方式. a.配置方法: pqconf_nc.cnf中 LocalAuth = NTDOMAIN NtDoMainServer = 域服务器IP地址 在网络设置中将管理的ip范围加在本地验证中. 在用户管理中将需要管理的用户帐号添加到系统中,登录名需要和域控制器中用户的登录名相同,密码可以任意值. 在上网综合参数设置中将自动增加用户的选择框的v去掉. b.工作原理 用户在上网时,弹出一个验证框,需要用户输入登录名和密码, 接收到验证信息后,将其转发给域服务器,由域服务器验证,通过后 返回您可以上网了的提示信息. c.可能出现的问题及解决方法 不能弹出验证框 检查上网的电脑的ip地址是否设在本地验证的ip管理段. 输入登录名和密码后,很长时间没有反应 检查域控制器和 验证用的通讯端口445是否开放. 检查pqconf_nc.cnf中的LocalAuth 和NtDoMainServer参数是否设置正确. 输入登录名和密码后系统提示用户名不存在 检查 用户管理中该用户是否存在,域控制器中该用户是否存在. 输入登录名和密码后系统提示密码不正确 检查输入的用户名和密码是否正确 不管输入任何的用户名和密码, 系统都提示您可以上网了 检查上网综合参数设置中自动添加用户功能是否开启,应将其关闭. d.典型的应用 公司域中的电脑比较多,但很多电脑只能上局域网不能上互联网,公司希望上网需要授权,帐号借用域帐号,用户购买 的licence用户数只需要真正上网的电脑数就可以了. 在域控制器中安装客户端的域验证方式 优点:对用户完全透明,只要用户登录到域,就可以对用户的上网行为完全控制. 缺点:用户没登录到域,只能阻止其上网,不能具体控制其上网行为, 的licence用户数需要和域中的用户数相同,需要在域控制器上安装客户端程序. 的配置方法: 1) pqconf_nc.cnf配置 StartNtAuth = Yes 启动 域认证服务进程,默认不启动. NtAuthMustSet = No 不管用户的ip地址是否落在第三方验证的ip管理段,用户信息都要用域服务器中的用户信息同步. NtAuthMustSet = Yes 域服务器中的用户信息只对ip落在第三方验证IP管理段的用户进行同步. AddGroupByNt=Yes 同步域用户时,如果 中不存在部门,系统自动添加部门,默认状态该功能开启. AddGroupByNt=No同步域用户时,若该用户所属的部门在 中存在,将该用户自动归到该部门中,不存在则归到未知部门中. NtAuthCtl = No 当用户没有登录到域时, 对用户的上网行为不作控制. NtAuthCtl = Yes 用户没有登录到域时, 不允许用户上网. 默认状态NtAuthCtl = Yes 当用户网络中使用ISA代理时,用户不登录到域, ISA可以控制不让用户上网,在这种情况,最好设置NtAuthCtl = No ,否则有可能造成ISA不能正常工作的现象. 2) 界面上的配置 在网络设置中将管理的ip范围加在本地验证中. 在第三方验证中点击高级添加域验证客户端帐号信息. 如果域服务器的操作系统不是简体中文,则需要选择域服务器的操作系统的语言,否则用户信息有可能出现乱码. 如果帐号信息没法添加,在后台检查一下ncntserver的表,在mysql交互界面下执行delete from ncntserver 清空该表,再尝试添加. 为了保证域用户显示名,域用户的部门正确显示在 上,必须正确选择域用户显示名对应于系统\域用户GROUP对应于系统\域用户OU对应于系统的值.默认状态用户的显示名和登录名都对应域用户的登录名,改变配置后,需要重启 . 界面上的最后通讯时间指的是域验证客户端和 最后通讯时间,如果这个时间和当前时间差超过5分钟,需要检查一下当前域验证客户端和 通讯是否正常. 3) 域验证客户端的安装 在安装域验证客户前,以下准备工作是必须的: 域验证客户端和 通讯用的通讯端口是10000,必须要保证该端口是开放的. 在 上添加该客户端注册 的帐号,默认应该有一个nt001和nt002的帐号. 在域控制器中添加一个供该客户端软件访问目录服务的帐号. 域控制器上策略的设置 域控制器安全策略设置: 本地策略—审核—审核账户登录事件和审核登录事件登录成功设为审核. 事件日志设置保存方式要确保日志有适当的存储空间. 域安全策略的设置方法同上. 如果域控制器中的用户数超过1000,还需要修改LDAP策略. 目录服务通过LDAP访问用户信息的默认最大记录数为1000,当AD中用户数超过1000时,需