SANGFOR SSL v5.7 13度培训03 用户认证技术.ppt

SSL 用户配置案例学习 2. 用户名密码和硬件特征码认证的用户登录访问SSL VPN的过程： 移动用户通过IE浏览器登录SSL VPN 表示用户认证成功 SSL 用户配置案例学习 管理员如何查看、审批、删除硬件特征码？ 查看硬件特征码 选择用户，进行硬件特征码的审批和删除操作 SSL 用户配置案例学习 如何设置用户与硬件特征码的一一对应关系？ 可设置范围为1-100 设置策略组名称 SSL 用户配置案例学习 用户认证不成功示例： 1. 用户名密码错误 2. 未安装数字证书 3. 硬件特征码认证失败 策略组功能介绍 SSL 策略组 策略组用来设置用户的接入客户端相关选项，账号属性和安全桌面相关信息。策略 组设置完成后，需被用户或者用户组关联才生效。根据需求的不同，可设置不同的 策略组分别与用户，用户组关联。 策略组---客户端选项 客户端选项用来设置客户端的隐私保护，带宽会话，是否允许PPTP方式接入，SSL专线，硬件特征码个数限制。 用户退出SSL VPN后，客户端电脑自动清除缓存文件，cookies和浏览历史等。 为了防止某用户接入SSL VPN耗费了大量的带宽和服务器资源，可对客户端进行带宽和会话限制。 允许手机用户通过系统自带的PPTP VPN接入和访问资源。 用户接入SSL VPN后，不允许上外网。 用户拥有的硬件特征码个数 策略组---账号控制 账号控制用来设置账号相关的权限。 启用系统托盘 登录SSL后，自动跳转到某个资源的页面 仅允许用户在指定时间内登录SSL VPN 记录用户访问资源的日志 账号失效时间和账号无流量自动断开时间 允许私有用户修改相关信息，提高易用性。 策略组---安全桌面 安全桌面相关设置： 开启安全桌面功能 安全桌面功能介绍及详细配置请参见渠道 高级培训PPT《安全桌面功能培训》 策略组---远程应用 远程应用相关设置： 远程应用功能介绍及详细配置请参见渠道 初级培训PPT《远程应用发布功能培训》 练练手 某客户希望实现用户登录SSL VPN时，除了输入自己的账号 和密码，设备还能发一条短信，把校验码发到用户的手机， 用户必须输入校验码才能成功登录。 您有什么样的方案能满足客户的需求呢？ 我们的建议： 1、 添加用户组，设置用户名密码加短信认证 2、 添加用户到用户组，设置密码和手机号码 1.请问以下图片中为什么短信和数字证书是灰色的，是否需要开通相应授权？ 2.客户已经购买了一台SSL VPN设备并且购买了短信猫，请问要如何配置才能使用短信认证？ 3.某客户咨询公司监控室有3台PC需要接入SSL VPN，监控室有3个人，管理员想让这三个人的SSL VPN账号只能在监控室3台电脑上登陆，请问是否可以实现？怎样实现的？ 问题思考 * * * 培训内容 培训目标 用户认证技术 1、了解SSL VPN支持的所有认证方式 2、了解各种认证方式下能实现的功能 主要认证 1、掌握主要认证包含的认证方式及功能 2、结合案例掌握用户名密码和数字证书认证方式的配置步骤 辅助认证 1、掌握辅助认证包含的认证方式及功能 2、结合案例掌握硬件特征码和短信认证方式的配置步骤 策略组 1、了解策略组功能的作用 2、掌握策略组里各项功能的设置 用户认证功能介绍 深信服公司简介 策略组功能介绍 练练手 SANGFOR SSL 用户认证配置和案例学习 SSL 用户和用户组 用户： 登录SSL VPN的账号，分为公有用户和私有用户。 私有用户只能同时一 人登陆，公有用户允许多人同时登陆。 用户组： 由“用户”组成，每个“用户”必须属于唯一的“用户组”，root根组和 默认用户组无法删除。 SSL用户组的添加 选择账户类型和认证方式 填写组名和所属组 可选关联策略组与角色 保存配置后，必须点击“立即生效”使配置生效。 SSL用户的添加 如果勾选“继承所属组的认证选项”，则用户按照“support”组的认证方式填写密码即可。 不勾选“继承所属组认证选项”，则用户可以自定义认证方式。 保存和生效配置 SSL VPN 用户认证方式 外部认证 认证方式 本地认证 用户名、密码认证 数字证书 硬件特征码认证 短信认证 LDAP认证 RADIUS认证 辅助认证 （可选） 主要认证 （必须选 择一种） 令牌认证（RADIUS认证） /DKEY认证 （私有用户） （私有用户） （公有/私有用户） （公有/私有用户） （公有/私有用户） （公有/私有用户） （公有/私有用户） SSL VPN 用户认证方式 SSL VPN的用户必须使用一种主要认证方式，也可以使用主要认证再结合多种辅助认证的方式。 如果设置了多种主要认证方式，可选择必须通过所有的主要认证或通过其中一种主要认证方式即可。 SSL