SANGFOR SSL v5.7 13度培训06 第三方服务器结合认证.ppt

LDAP导入用户到本地功能配置 1. 【认证设置】，新建LDAP认证服务器并填写相应信息。（省略配置） 2. 【认证设置】，选择需要导入用户的LDAP服务器，点击“导入用户到本地” 单独导入： 仅导入选中的用户组用户。 递归导入：导入选中的用户组和这个组下所有的子组用户。 选择需要导入的用户组 将选中的LDAP服务器中的用户和用户组，导入到SSL设备本地的哪个目标组下。 将域服务器中的组织结构导入到SSL设备中。 只导入用户，不导入用户组 开启自动同步，每隔一段时间自动将LDAP服务器中的用户导入到SSL设备中，用于LDAP服务器中用户变更频繁的场景。 LDAP导入用户到本地功能配置 3. 【用户管理】，查看是否有LDAP服务器中同步过来的用户和用户组。 LDAP服务器中的组织结构和用户 与LDAP服务器中的组织结构和用户一致。 LDAP导入用户到本地功能补充说明 1. 如果某用户“user3”在LDAP服务器中被禁用，通过LDAP导入功能，能将此用户成功导入到SSL设备。但是移动用户使用域用户“user3”登录SSL VPN进行认证时，会认证失败。 2. SSL设备的组织结构中，不能存在同名的用户。如果设备组织结构中已经存在用户“user4”（本地认证或者通过RADIUS认证），LDAP服务器中也存在同名用户“user4”，则从LDAP服务器中导入用户“user4”不成功。 LDAP导入用户到本地功能补充说明 3. 从LDAP服务器导入用户到本地设置中， 对已经导入用户的覆盖，只能覆盖通过LDAP服务器导入的同名用户。 想一想 1. 如果本地认证存在用户“test”，外部认证服务器里也有同名的用户“test”，那么移动用户使用“test”这个账号登录SSL VPN时，会匹配本地认证还是去外部认证服务器认证呢？ 如果本地认证和外部认证存在有相同的用户名时，优先匹配本地认证，当本地认证不通过时，返回用户名密码错误的提示。 2. 如下图所示，在同一个LDAP服务器设置中添加两个域服务器的IP和端口，和分别添加两个LDAP服务器，认证过程是否相同？ 图2的设置方法： 如果这两个服务器上都存在相同用户名时，按照外部认证服务器的顺序进行认证匹配，直到找到第一个认证成功的外部认证服务器，如果所有外部认证服务器都认证失败，才返回用户名密码错误的提示。 想一想 图1的设置方法： 用于多个LDAP服务器群做主备的情况。当设备连接不上第一个服务器时，再去连接第二个服务器。如果第一个服务器能连接上，返回认证失败信息，则不会再连接第二个服务器。 练练手 某公司购买了SANGFOR SSL VPN设备给公网移动用户提供安全接入 实现访问公司内网资源，由于客户内网已有LDAP服务器来管理用户， 需要实现的功能如下： 1. 公网移动用户接入SSL VPN时到LDAP服务器上去认证，认证成功后允许接入SSL VPN。 在LDAP服务器上创建一个名为“ALL”的OU，在“ALL”的OU下创建一个子OU“support”和直属用户“test1”，在子OU“support”下创建两个用户：test2和test3。要求将“ALL”的OU结构映射到SSL的根组下，为“ALL”用户组和“support”用户组关联不同的资源，组织结构下的用户接入后可以正常访问对应的资源。 问题思考 1.某客户有一台ORACAL数据库服务器存放了账号密码信息，客户想用SSL VPN跟他结合做认证，请问是否直接与ORACAL数据库结合做认证。 2. 组映射与LDAP用户导入组织结构的实现效果是否有区别？如果有，区别在哪里？ 3.某客户咨询SSL与LDAP结合做认证之后，担心用户权限的划分问题，客户希望实现不同级别的用户登录SSL VPN之后获取到不同资源，请问是否可以实现？ * * 培训内容 培训目标 第三方服务器认证 1. 了解SSL VPN支持的第三方服务器认证 LDAP认证 1. 掌握SSL结合LDAP服务器认证的配置步骤 RADIUS认证 1. 掌握SSL结合RADIUS服务器认证的配置步骤 证书/USB KEY认证 1.了解USB KEY认证的配置步骤 2.了解内置CA认证的步骤 3.了解第三方CA认证的步骤 组映射和角色映射 1、了解组映射和角色映射功能的作用 2、掌握组映射和角色映射功能的配置方法 LDAP导入用户 1、掌握LDAP导入用户到本地功能的配置方法 SSL与第三方结合认证功能介绍及配置 组映射和角色映射功能介绍及配置 深信服公司简介 LDAP导入用户到本地功能介绍及配置 练练手 SANGFOR SSL 证书认证 第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有