用户认证进阶培训.pptxVIP

SANGFOR SSL VPN与第三方服务器结合认证培训内容培训目标第三方服务器认证1. 了解SSL VPN支持的第三方服务器认证LDAP认证1. 掌握SSL结合LDAP服务器认证的配置步骤RADIUS认证1. 掌握SSL结合RADIUS服务器认证的配置步骤组映射和角色映射1、了解组映射和角色映射功能的作用2、掌握组映射和角色映射功能的配置方法LDAP导入用户1、掌握LDAP导入用户到本地功能的配置方法第三方CA认证1. 掌握SSL结合第三方CA认证的配置步骤WebService短信认证1. 掌握SSL结合WebService做短信认证的配置步骤SSL与第三方结合认证功能介绍及配置组映射和角色映射功能介绍及配置SANGFOR SSLLDAP导入用户到本地功能介绍及配置第三方CA证书认证配置指导WebService短信认证配置指导第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。第三方服务器认证介绍 LDAP认证： 轻量级目录访问协议。 移动用户接入SSL VPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。SSL VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP 389第三方服务器认证介绍RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。认证交互过程：1.用户输入用户名和口令；2.radius 客户端(NAS)根据获取的用户名和口令，向radius 服务器发送认证请求包（access-request）。3.radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius 客户端；如果认证失败，则返回access-reject 响应包。RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。LDAP认证配置介绍新建LDAP认证服务器，设置相关信息。添加域服务器的IP和端口支持的域服务器类型：MS ActiveDirectory：指微软域用户LDAP Server：指除微软域以外的其他LDAPMS ActiveDirectory VPN：指微软域内带有允许接入微软VPN属性的用户包含该路径下所有子路径的用户账号，不勾选则仅包含该路径下的用户账号。域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理员的格式，需要添加域名！选择用于认证的LDAP用户账号所在路径当没有设置组映射关系时，自动匹配为某个组的用户RADIUS认证配置介绍新建RADIUS认证服务器，设置相关信息。添加RADIUS服务器的IP和认证端口选择RADIUS服务器对应的认证协议当没有设置组映射关系时，自动匹配为某个组的用户共享密钥:与RADIUS服务器设置相同组映射和角色映射功能介绍及配置组映射和角色映射功能介绍 LDAP组映射：将LDAP上的OU以用户组的形式导入到SSL设备上，或者将OU一一映射给设备上的某个组。勾选需要映射的OU映射到本地的位置将LDAP服务器中的OU导入到SSL设备中，只导入用户组，不导入用户。可分别对用户组设置不同的角色和策略，用户通过认证后获得相应组的权限组映射和角色映射功能介绍 LDAP角色映射：将LDAP上的安全组以角色的形式导入到SSL设备上，或者将安全组一一映射给设备上的某个角色。勾选需要映射的安全组安全组的用户通过认证后，自动获得相应的角色资源访问权限。组映射和角色映射功能介绍 RADIUS组映射：RADIUS用户登录SSL时，根据Class属性字段进行分组。填写class属性的值，和对应的本地用户组。移动用户通过RADIUS账号登陆SSL后，根据账号的class属性值，自动分配对应用户组的角色和策略。特殊案例：SSL结合飞天诚信动态令牌进行认证 动态令牌是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效，目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。常见的我们SSL设备跟OTP飞天诚信动态令牌结合做认证。 接下来介绍OTP Server认证服务器的安装配置、OTP管理平台的安装配置和深信服SSL设备的配置方法。SSL结合飞天诚信动态令牌进行认证SSL结合飞天诚信动态令牌进行认证，对于SSL设备来说就是radius认证，在搭建好OTP服务器之后，SSL设备仅仅需要配置radius认证部分即可。具体步