SANGFOR_SSL_v58_XXXX年度渠道高级认证培训01_第三方.pptx

SANGFOR SSL VPN与第三方服务器结合认证培训内容培训目标第三方服务器认证1. 了解SSL VPN支持的第三方服务器认证LDAP认证1. 掌握SSL结合LDAP服务器认证的配置步骤RADIUS认证1. 掌握SSL结合RADIUS服务器认证的配置步骤组映射和角色映射1、了解组映射和角色映射功能的作用2、掌握组映射和角色映射功能的配置方法LDAP导入用户1、掌握LDAP导入用户到本地功能的配置方法SSL与第三方结合认证功能介绍及配置组映射和角色映射功能介绍及配置SANGFOR SSLLDAP导入用户到本地功能介绍及配置练练手深信服公司简介第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。第三方服务器认证介绍 LDAP认证： 轻量级目录访问协议。 移动用户接入SSL VPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。SSL VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP 389第三方服务器认证介绍RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。认证交互过程：1.用户输入用户名和口令；2.radius 客户端(NAS)根据获取的用户名和口令，向radius 服务器发送认证请求包（access-request）。3.radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius 客户端；如果认证失败，则返回access-reject 响应包。RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。LDAP认证配置介绍新建LDAP认证服务器，设置相关信息。添加域服务器的IP和端口支持的域服务器类型：MS ActiveDirectory：指微软域用户LDAP Server：指除微软域以外的其他LDAPMS ActiveDirectory VPN：指微软域内带有允许接入微软VPN属性的用户包含该路径下所有子路径的用户账号，不勾选则仅包含该路径下的用户账号。域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理员的格式，需要添加域名！选择用于认证的LDAP用户账号所在路径当没有设置组映射关系时，自动匹配为某个组的用户RADIUS认证配置介绍新建RADIUS认证服务器，设置相关信息。添加RADIUS服务器的IP和认证端口选择RADIUS服务器对应的认证协议当没有设置组映射关系时，自动匹配为某个组的用户共享密钥:与RADIUS服务器设置相同LDAP结合认证典型案例及配置LDAP结合认证典型案例及配置客户网络环境：客户需求：客户内网已部署好LDAP服务器，通过域来管理内网用户。客户使用SANGFOR SSL VPN设备，希望移动用户登录SSL VPN时使用LDAP上的用户名和密码进行认证。解决方案：使用SSL VPN与客户原有LDAP服务器结合认证，无需在设备上创建本地账号。LDAP结合认证典型案例及配置配置思路：1. 配置LDAP服务器，在OU中新建用户。2. SSL VPN新建LDAP服务器，结合LDAP认证。3. 使用域账号登陆SSL VPN。LDAP结合认证典型案例及配置1.在LDAP服务器下创建一个用户名为“test1”的用户LDAP结合认证典型案例及配置2. SSL VPN设备上，新建LDAP认证服务器并填写相应信息LDAP认证配置介绍3. 移动用户通过域账号和密码登录SSL VPN。通过域用户名密码登陆SSL VPN组织结构中无用户“test1”组映射和角色映射功能介绍及配置组映射和角色映射功能介绍 LDAP组映射：将LDAP上的OU以用户组的形式导入到SSL设备上，或者将OU一一映射给设备上的某个组。勾选需要映射的OU映射到本地的位置将LDAP服务器中的OU导入到SSL设备中，只导入用户组，不导入用户。可分别对用户组设置不同的角色和策略，用户通过认证后获得相应组的权限组映射和角色映射功能介绍 LDAP角色映射：将LDAP上的安全组以角色的形式导入到SSL设备上，或者将安全组一一映射给设备上的某个角色。勾选需要映射的安全组安全组的用户通过认证后，自动获得相应的角色资源访问权限。组映射和角色映射功能介绍 RADIUS组映射：RADIUS用户登录SSL时，根据Class属性字段进行分组。填写class属性的值，和对应的本地用户组。移