SANGFOR SSL v7度渠道高级认证培训02 用户认证进阶培训.pptx

SANGFOR SSL VPN用户认证进阶培训培训内容培训目标第三方服务器认证了解SSL VPN支持的第三方服务器认证LDAP认证掌握SSL结合LDAP服务器认证的配置步骤RADIUS认证掌握SSL结合RADIUS服务器认证的配置步骤组映射和角色映射了解组映射和角色映射功能的作用掌握组映射和角色映射功能的配置方法LDAP导入用户掌握LDAP导入用户到本地功能的配置方法第三方CA认证掌握SSL结合第三方CA认证的配置步骤WebService短信认证掌握SSL结合WebService做短信认证的配置步骤Contents12345SSL与第三方结合认证功能介绍及配置组映射和角色映射功能介绍及配置LDAP导入用户到本地功能介绍及配置第三方CA证书认证配置指导WebService短信认证配置指导第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。第三方服务器认证介绍 LDAP认证： 轻量级目录访问协议。 移动用户接入SSL VPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。SSL VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP 389第三方服务器认证介绍RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。认证交互过程：1.用户输入用户名和口令；2.radius 客户端(NAS)根据获取的用户名和口令，向radius 服务器发送认证请求包（access-request）。3.radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius 客户端；如果认证失败，则返回access-reject 响应包。RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。添加域服务器的IP和端口包含该路径下所有子路径的用户账号，不勾选则仅包含该路径下的用户账号。当没有设置组映射关系时，自动匹配为某个组的用户LDAP认证配置介绍选择用于认证的LDAP用户账号所在路径新建LDAP认证服务器，设置相关信息。支持的域服务器类型：MS ActiveDirectory：指微软域用户LDAP Server：指除微软域以外的其他LDAPMS ActiveDirectory VPN：指微软域内带有允许接入微软VPN属性的用户域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理员的格式，需要添加域名！添加RADIUS服务器的IP和认证端口选择RADIUS服务器对应的认证协议当没有设置组映射关系时，自动匹配为某个组的用户RADIUS认证配置介绍新建RADIUS认证服务器，设置相关信息。共享密钥:与RADIUS服务器设置相同Contents12345交换网口、端口聚合、VLAN组映射和角色映射功能介绍及配置LDAP导入用户到本地功能介绍及配置第三方CA证书认证配置指导WebService短信认证配置指导映射到本地的位置勾选需要映射的OU组映射和角色映射功能介绍 LDAP组映射：将LDAP上的OU以用户组的形式导入到SSL设备上，或者将OU一一映射给设备上的某个组。将LDAP服务器中的OU导入到SSL设备中，只导入用户组，不导入用户。可分别对用户组设置不同的角色和策略，用户通过认证后获得相应组的权限组映射和角色映射功能介绍勾选需要映射的安全组 LDAP角色映射：将LDAP上的安全组以角色的形式导入到SSL设备上，或者将安全组一一映射给设备上的某个角色。安全组的用户通过认证后，自动获得相应的角色资源访问权限。填写class属性的值，和对应的本地用户组。组映射和角色映射功能介绍移动用户通过RADIUS账号登陆SSL后，根据账号的class属性值，自动分配对应用户组的角色和策略。 RADIUS组映射：RADIUS用户登录SSL时，根据Class属性字段进行分组。Contents12345交换网口、端口聚合、VLAN组映射和角色映射功能介绍及配置LDAP导入用户到本地功能介绍及配置第三方CA证书认证配置指导WebService短信认证配置指导LDAP导入用户到本地功能介绍LDAP导入用户到本地：实现将LDAP服务器中的用户以及组织结构导入到SSL VPN组织结构中，可分别为不同的用户或者用户组关联策略组和角色。功能需求： LDAP服务器上不同的用户需要具有不同的资源访问权限和策略组。选择需要导