SANGFOR AC v11.度渠道初级认证培训06 外部认证.ppt

培训内容 培训目标 外部认证介绍 1. 了解AC/SG设备支持的三种外部认证服务器 外部认证流程 2. 了解AC/SG设备外部认证的流程 LDAP认证 1.掌握AC/SG设备和LDAP服务器结合的外部认证的配置 RADIUS/POP3认证 1.了解AC/SG设备和其他外部服务器结合认证的配置 外部认证介绍 外部认证流程 深信服公司简介 RADIUS/POP3认证 SANGFOR AC/SG LDAP认证 外部认证介绍 外部认证功能介绍 SANGFOR AC/SG的外部认证，也称为第三方认证。用户的账号密码信息保存在第三方服务器上，AC/SG将用户提交的用户名密码信息转给第三方认证服务器校验，通过第三方服务器返回的认证成功与否的信息，决定用户是否通过AC/SG的认证，这个过程称为AC/SG的外部认证。 AC/SG支持的第三方认证服务器 LDAP 认证 RADIUS 认证 POP3 认证 与微软AD结合使用的第三方认证使用最广泛，也是我们要重点掌握的 Microsoft AD Open LDAP Sun LDAP IBM LDAP Other LDAP Lotus LDAP Novell LDAP 外部认证流程 SANGFOR AC/SG外部认证过程 1. PC向AC/SG提交用户名密码信息 2. AC/SG判断为外部认证，并把用户名密码信息发给外部认证服务器校验 3. 外部认证服务器校验后，向AC/SG发送认证失败或成功的消息 4. AC/SG根据外部认证服务器返回的消息，确定是否让该PC通过认证。 5. PC通过认证后，就可直接访问公网了 外部认证用户 满足如下两个条件的用户才会匹配外部认证流程： 2.认证高级选项，未“启用DKEY”。 认证策略中，认证方式选择“密码认证，认证服务器选择“第三方服务器” 外部认证服务器配置界面 1、选择需要新增的外部认证服务器类型【LDAP, RADIUS, POP3服务器】 2、设置外部认证服务器的通信方式，IP，端口等 只支持单点登录，不支持外部认证。 LDAP 认证 LDAP 认证配置举例 案例背景： 某公司内网有一台AD域服务器，域名为，服务器IP地址为03。要求内网用户上网时使用域帐号和密码来通过ＡＣ设备的认证才可以上网。 LDAP 认证配置思路 １、新建外部认证服务器，设置AD域服务器信息。 ２、新建认证策略，选择“密码认证”认证服务器选择上面创建好的服务器。 域服务器类型 域服务器的IP地址 访问域服务器的管理员账号和密码，填写成administrator@形式。 LDAP 认证配置步骤 第一步：新建外部认证服务器，设置AD域服务器相关信息。 一般情况，如果是AD域，则只需要配置“基本配置”即可。“同步配置”和“高级配置”保持默认，其它域按需配置 测试有效性—账户有效性：可以通过此功能测试域账号的有效性，如上既测试了 域的管理员账号administrator是否有权限读取域的组织结构，又测试了域的用户 support1账号密码是否正确。 测试有效性—修改密码：如果域上的账号是允许修改密码的，可以直接通过 测试有效性修改密码，修改域上的账号密码。 注意：如果客户的域环境是独立域，添加外部认证服务器时，认证端口填写389；如果是父子域，如父域,子,等，则外部认证服务器配置的是父域的地址，则端口需要填3268 LDAP 认证配置步骤 第二步：新建认证策略，选择“密码认证”。 LDAP 认证配置步骤 终端电脑输入域帐号通过AC认证，即可访问外网。 RADIUS/POP3认证 RADIUS/POP3认证配置 如果客户网络环境中采用RADIUS或POP3服务器做外部认证，AC/SG结合外部认证服务器认证的配置步骤为： 1、新建用户组 ，假设用户组名为“外部认证组” 2、新建外部认证服务器，设置服务器相关信息 RADIUS/POP3认证配置 3、新建认证策略，选择“密码认证”，并设置新用户认证成功后自动添加到“外部认证组” RADIUS/POP3认证配置 练练手 某公司部署了SANGFOR AC做上网行为的控制和审计，内网有一台AD域服务器，要求用户上网使用域中的帐号通过AC认证，实现用户上网日志能追踪到具体的用户。请问如何配置实现？ 1.AC可以与哪些第三方服务器结合做外部认证？ 问题思考 2.思考下，外部密码认证和本地密码认证流程有什么区别？认证策略同时勾选了本地用户认证和外部认证，如果有同一个用户，设备上存在，外部认证服务器也存在，哪个优先？ Tel:400-630-6430 Email:support@