深信服AC初级认证培训外部认证培训分析.ppt

培训内容 培训目标 SANGFOR AC/SG 外部认证功能介绍 1. 了解AC/SG设备支持的三种外部认证服务器 SANGFOR AC/SG外部认证配置举例 1.掌握AC/SG设备和LDAP服务器结合的外部认证的配置 2.了解AC/SG设备其他外部服务器结合认证的配置 SANGFOR AC/SG 外部认证功能介绍 深信服公司简介 LDAP 外部认证配置举例 练练手 SANGFOR AC/SG 外部认证功能介绍 SANGFOR AC/SG的外部认证功能，也称为第三方认证。用户的账号密码信息保存在第三方服务器上，AC/SG将用户提交的用户名密码信息转给第三方认证服务器校验，通过第三方服务器返回的认证成功与否的信息，决定是否通过AC/SG的认证，这个过程称为AC/SG的外部认证。 AC/SG支持的第三方认证服务器 LDAP 认证 RADIUS 认证 POP3 认证 与微软AD结合使用的第三方认证使用最广泛 Microsoft AD Open LDAP Sun LDAP IBM LDAP . . . SANGFOR AC/SG外部认证过程 1. PC向AC/SG提交用户名密码信息 2. AC/SG判断为外部认证，并把用户名密码信息发给外部认证服务器校验 3. 外部认证服务器校验后，向AC/SG发送认证与否的消息 4. AC/SG根据外部认证服务器返回的消息，确定是否让该PC通过认证。 5. PC通过认证后，就可直接访问公网了 外部认证用户 满足如下两个条件的用户才会匹配外部认证流程： 2. 组织结构中，用户属性未勾选“本地密码”和“启用DKEY”。 认证策略中，认证方式选择“本地密码认证/外部认证/单点登录”的用户。 与是否绑定IP/MAC地址无关 外部认证服务器配置界面 1、选择需要新增的外部认证服务器类型【LDAP, RADIUS, POP3服务器】 2、设置外部认证服务器的通信方式，IP，端口等 只支持单点登录，不支持外部认证。 LDAP 外部认证配置举例 LDAP 外部认证配置举例 案例背景： 某公司内网有一台AD域服务器，域名为Vlab.cti.local，服务器IP地址为1。要求该域中“train”下的用户和子OU都按照原来的结构同步到SG设备的“MSAD域用户组”中，内网用户上网时用登录域控的账号和密码来通过SG设备的认证。对于AD域中新增的用户也希望能通过SG的认证并加到组织结构中。 LDAP 外部认证配置举例 配置思路 1、新建用户组 。 2、新建外部认证服务器，设置AD域服务器信息。 3、设置LDAP自动同步，同步AD域OU “train”下的用户和子OU到SG的组织结构 里。 4、新建认证策略，选择“密码认证/外部认证/单点登录”。 LDAP 外部认证配置步骤 第一步：建立用户组，“MSAD域同步组” LDAP 外部认证配置步骤 第二步：新建外部认证服务器，设置AD域服务器相关信息。 域服务器的IP地址 域服务器类型 访问域服务器的管理员账号和密码，填写成administrator@Vlab.cti.local 或cn=administrator,cn=user,dc=Vlab,dc=cti,dc=local的形式均可 表明域服务器设置正确，设备与服务器能正常通信 LDAP 外部认证配置步骤 第三步：设置LDAP自动同步。 从外部认证服务器中同步组织结构和用户 从OU“train”开始同步 域中的组织结构已经同步到设备中 LDAP 外部认证配置步骤 第四步：新建认证策略，选择“密码认证/外部认证/单点登录”。 需要外部认证的用户网段 如果域服务器上添加新的用户来认证，则自动触发该用户的同步。 LDAP 外部认证配置举例 用户user1访问网页时正确输入用户名和密码之后通过认证，访问公网。 LDAP 外部认证配置举例 注意事项： AC/SG4.0版本开始支持安全组嵌套同步，如：安全组A隶属于安全组B，安全组B又隶属于安全组A，则AC/SG进行域同步时，从域上遍历各安全组，如果先遍历到A，则同步至AC/SG上，A属于父组，B属于A的子组。 配置LDAP自动同步时，自动添加用户不支持安全组同步，只支持OU同步，配置页面上有相关说明，如下图： 其他外部认证配置步骤 如果客户网络环境中采用RADIUS或POP3服务器做外部认证，AC/SG结合外部认证服务器认证的配置步骤为： 1、新建用户组 ，假设用户组名为“外部认证组” 2、新建外部认证服务器，设置服务器相关信息 3、新建认证策略，选择“密码认证/外部认证/单点登录”，并设置新用户认证成功后自动添加到“外部认证组” 想一想 如果本地认证存在用户“test”，外部认证服务器里也有同名的用户“test