SANGFOR ACSG v4度培训07 LDAP单点登陆培训.ppt

问题思考 1. 配置域新组件单点登录的时候，如果PC不能与AC通信，是否能单点登录成功？为什么？ 2. 请说出域新组件单点登录方式与免插件单点登录方式的区别 3.如下图，客户要实现单点登录，但是PC登录域的数据不经过AC，有哪些办法可以实现客户需求？ 微软AD域 AC 二层交换 PC * * * * 培训内容 培训目标 域单点登录功能应用背景 1. 了解域单点登录功能应用背景 域单点登录应用模式及配置思路 了解域单点登录的四种实现方式 掌握域单点登录四种实现方式的配置思路 域新组件单点登录方式的配置举例 1. 掌握域新组件单点登录方式的配置步骤 域免插件单点登录方式的配置举例 1. 掌握域免插件单点登录方式的配置步骤 域单点登录功能应用背景及配置思路 域新组件单点登录配置示例 深信服公司简介 域免插件单点登录配置示例 练练手 SANGFOR AC/SG LDAP域单点登录应用背景 LDAP单点登录功能适用于客户内网已有一台域控制器做桌面管理，部署AC/SG设备后，希望实现用户登录域即可上网，无需通过AC/SG再次认证，并且AC/SG设备上用户的行为记录和域用户名对应。 LDAP单点登录有新组件模式，监听模式，免插件，NTLM单点登录四种方式。 只有微软的 AD域才支持新组件单点登录模式和免插件单点登录模式。 只有微软的AD域才支持NTLM单点登录，且要求设备必须为SG 2.1或SG 3.4版本，其他AC或SG版本均不支持此功能。 AD 域新组件单点登录模式 ① ② ③ AD域 安装登录和注销脚本 PC ① PC请求登录域 ② 域认证成功后，PC执行logon.exe脚本 ③ PC运行logon.exe成功后，在PC本地的C盘共享目录生成logon.txt日志文件，上报成功登录域的信息给AC/SG 新组件模式需要在域服务器上配置logon.exe 和logoff.exe脚本，用户登录域或从域注销时会运行相应的脚本，并将获取的信息上报AC/SG。 配置思路： 1、设备启用LDAP单点登录 2、设备配置组件模式单点登录信息 3、服务器配置登录脚本 AD域免插件单点登录模式 PC SERVER 安装单点登录客户端程序 AD域 免插件模式需要在内网的一台电脑上安装单点登录客户端程序，无需在域服务器上做任何更改。通过单点登录客户端程序定时从域服务器上获取PC登录域成功的状态，并将获取的信息上报AC/SG。 ① ② ③ ① PC请求登录域 ② 单点登录客户端程序检测到LDAP服务器上PC登录域成功的状态 ③ 单点登录客户端程序将登录域成功的用户信息上报给AC/SG 配置思路： 1、设备启用LDAP单点登录 2、设备配置组件模式单点登录信息 3、配置单点登录客户端程序 AD域NTLM单点登录模式 PC AD域 SG设备 ① ② ③ NTLM单点登录功能需要在SG设备上开启代理功能，内网用户通过SG设备代理上网。 ④ ⑤ PC发起连接请求 SG设备返回需要认证 PC将用户名+域名提交给SG设备 SG设备将PC的用户名+域名转发给AD发起连接请求 AD域发起挑战信息 SG设备将挑战信息返回给PC PC将用户名+域名+加密的挑战信息发给SG设备请求登录 SG设备把用户名+域名+加密的挑战信息发给AD域请求登录 AD域返回登录成功/失败 SG设备返回PC登录成功/失败 AD域NTLM单点登录模式 NTLM单点登录功能配置思路： SG 2.1版本： 1. 设置上网代理 2. 添加外部认证服务器，填写AD域相关信息 3. 设置新用户认证策略，选择到LDAP服务器去认证，认证成功的用户，自动添加到组织结构。 4. 勾选“启用域单点登录”，并勾选“使用NTLM认证，用于代理服务器” SG 3.4版本： 设置上网代理 添加外部认证服务器，填写AD与相关信息。 设置用户自动同步，从AD域自动同步到设备的组织结构。 设置单点登录认证策略。 勾选“启用域单点登录”即可。 LDAP域单点登录监听模式 监听模式的单点登录无需在域服务器上安装任何组件，通过监听UDP 88端口用户登录域的信息，如果用户成功登录域，AC/SG设备则把该用户加入到在线用户列表，通过AC/SG的认证。 ② ① 配置思路： 1、设备启用LDAP单点登录 2、设备配置单点登录信息 3、设备设置监听口 LDAP域单点登录监听模式 ① 图中环境PC登录域是穿透AC/SG设备，此时设备能自动捕获到PC登录域的信息，无需再设置监听口。此环境下要允许未认证的用户能访问到域服务器的权限。 配置思路： 1、设备启用LDAP单点登录 2、设备配置监听模式单点登录信息 LDAP域单点登录监听方式的配置和POP3单点登录类似，此PPT不再赘述 PC LDAP ② 四种域单点登录模式对