用户单点认证完整部署方案.PDF

用户单点认证完整部署方案 5.0R4_FR2344 （基于AD 服务器） Hillstone Networks Inc. 2015 年 10 月 28 日 1 / 14 内容提交人 审核人 更新内容 日期 王辉 陈天骄 V1 2015/11/5 目录 1 需求分析 3 2 解决方案4 2 举例配置 4 2 WebUI 配置 6 2.2.1 WEB 认证配置 6 2.2.2 SSO-AGENT 配置 6 2.2.3 AD 服务器配置 7 2.2.4 Web 认证策略配置 7 2.2.5 在线用户查看8 2.2.6 sso-agent 脚本安装8 2 功能限制 11 3 建设效果 12 3 查看 Hillstone 单点认证配置： 12 3 查看 WEBauth 的认证策略 12 3.2.1 通过 sso-ntlm 认证 12 3.2.2 通过 webauth 认证 13 2 / 14 1 需求分析  在局域网的域环境中，用户网络需要加入WINDOWS AD域的用户才具备Window域控 制器所设定的权限。  在加入安全设备后，客户提出自身需求，只有经过安全设备的认证才能进行Internet的 访问权限。 以上两点综合起来用户需要加入域进行认证，访问Internnet同样要再次认证，对于多重认 证客户方表示比较麻烦，于是提出需求是否可以进行一次认证满足两种需求呢？ Hillstone 单点认证功能即Hillstone的SSO-agent功能，可以解决在Window域控环境下 的单点认证需求。 图 1-1 3 / 14 2 解决方案 目前StoneOS可以提供用户认证的解决方案有 1 webauth认证。2 AD Agent 3 AD 登陆脚本 3 SSO-NTLM 要想完成单点认证功能，必须使用Hillstone的webauth功能和2,3,4其中的功能结合使 用，也就是说Hillstone的Webauth可以和AD服务器进行联动，代理用户的认证请求，记 录并保持用户的认证状态。当用户通过正常手段（非异常关机）logon/logoff时， Hillstone可以识别用户的行为。从而实现登陆域的用户无需防火墙的Webauth进行认 证，没有加入域的用户，在通过Http/https访问Internet时，Hillstone防火墙会推送 Webauth认证请求。 实现StoneOS的用户单点认证流程优化如下： 1. 通过脚本方式触发用户上线； 2. 如果脚本方式失败，则通过基于NTLM的SSO触发用户上线； 3. 如果NTLM的SSO方式失败，则推送webauth页面进行认证。 举例配置 按照用户认证流程配置认证情况： 1. 配置AAA 服务器及角色映射规则 SG-6000(config)# aaa-server ad-taclab type active-directory SG-6000(config-aaa-server)# host SG-6000(config-aaa-server)# base-dn dc=taclab,dc=hillstonenet,dc=com SG