SANGFOR SSL 2011年度渠道初级认证培训03_用户认证技术_ZW.ppt

培训内容 培训目标 用户认证技术 1、了解SSL VPN支持的所有认证方式 2、了解各种认证方式下能实现的功能 主要认证 1、掌握主要认证包含的认证方式及功能。 2、掌握主要认证方式的配置步骤。 辅助认证 1、掌握辅助认证包含的认证方式及功能。 2、掌握辅助认证方式的配置步骤。 结合案例 1、掌握通过配置实现用户需求。 2、掌握结合各种认证满足客户的需求场景 SANGFOR SSL 用户认证配置 深信服公司简介 SANGFOR SSL 用户配置案例 SANGFOR SSL 练练手 SANGFOR SSL SSL 用户和用户组 用户： 登录SSL VPN的账号，分为公有用户和私有用户。 私有账号只能同时一人登陆，公有用户允许多人同时登陆。 用户组： 由“用户”组成，每个“用户”必须属于唯一的“用户组”，root根组无法删除。 SSL用户及用户组的添加 填写组名（名称）并选择所需认证方式 选择是否强制子组及用户继承 配置完成,确定保存 采用用户名密码及硬件特征码认证 新增组 点击新增用户 填写用户名(根据认证属性决定是否需要填写密码以及生成证书,详细请参照”用户认证方式”部分； 选择此用户所属组 test组认证属性为用户名密码及硬件特征码认证，如勾选继承用户组属性，则只需要填写密码不需要生成证书 如去掉勾则为此用户单独定义认证方式 SSL VPN 用户认证方式 外部认证 认证方式 本地认证 用户名、密码认证 数字证书 硬件特征码认证 短信认证 LDAP认证 RADIUS认证 辅助认证 （可选） 主要认证 （必须） 令牌认证（RADIUS认证） /DKEY认证 SSL VPN 用户认证方式 SSL VPN的用户必须使用一种主要认证方式，也可以使用主要认证再结合多种辅助认证的方式。 本PPT介绍常用的四种主要认证和辅助认证方式： 1. 用户名密码认证 2. 数字证书认证 3. 短信认证 4. 硬件特征码认证 用户名密码认证配置 填写登录时使用的用户名 填写登录时使用的密码并重复输入进行确认 使用用户名密码认证时，可选择【公共用户】或【私有用户】,根据客户需求选择。 公共用户:允许多个人同时使用此账号登录； 私有用户:同一时间内只允许一个人使用此账号登录。 勾选【用户名/密码】,表示启用用户名密码认证方式 当启用多种认证方式时需选择【与】、【或】。 与:所有启用的认证方式均通过才表示认证成功； 或:启用认证方式中任一 一个通过则表示认证成功。 最基本的认证方式，所添加用户的用户名密码信息库保存在SSL设备中，属于设备本地认证 组合方式与和或，是针对主要认证里的认证选项的。主要认证和辅助认证之间，只有与的关系，辅助认证内部之间也只有与的关系。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件用来标志和证明网络通信双方的身份，此认证方法更为安全可靠。Sangfor SSLVPN设备支持内置CA中心以及与第三方CA认证中心的结合。 数字证书认证配置 填写登录时使用的用户名 只启用数字证书认证可不用填写密码 当选择为【公共用户】时，【数字证书/Dkey认证】及【短信】为不可选状态,必须选择【私有用户】。 选择【私有】用户并勾选【数字证书/Dkey认证】 给用户生成数字证书 企业自建CA时【导入证书】不可选 点击下一步 颁发给指定为用户名不可修改 个属性栏可随意填写但不能留空（证书密码可以留空） 生成证书 下载保存到本地PC 硬件特征码认证 实现SSL VPN帐号和电脑硬件特征的绑定(读取绑定信息顺序:硬盘ID -网卡mac -C盘ID -D盘ID-E盘ID...），防止他人盗用帐号在其他电脑上登录。 硬件特征码认证属于辅助认证，必须同时使用一种主要认证。 此页面用于全局启用硬件特征码功能 单个用户日常使用多台电脑登录SSL时需绑定多个硬件特征码 勾选【硬件特征码】 短信认证 申请开通短信认证序列号 设备端发送短信校验码至用户手机上,用户正确输入后才能登陆SSL。 短信认证属于辅助认证,必须同时使用一种主要认证。 内置短信模块:短信猫直连SSL设备 外置短信模块:短信猫连接PC,PC上安装外置 短信服务器软件实现设备与短信猫的通讯。 SMSC号码:填写当地移动短信服务号码（短信猫暂不支持联通）,其他保持默认即可 地址:填写安装短信网关服务器软件PC的IP地址 端口:与服务器软件设置相同即可（需保证PC上没有 其他服务使用此端口产生冲突） 短信认证—短信猫 1、内置短信猫的安装 短信猫直接连接设备,根据设备型号不同，可用户连接短信猫的接口分别有： 设备发货时会配好串行线，如接口为以太口则会配备转接线 接