SANGFORSSLv58度渠道高级认证培训第三方.pptVIP

第一页，共三十六页。 培训内容 培训目标 第三方服务器认证 1. 了解SSL VPN支持的第三方服务器认证 LDAP认证 1. 掌握SSL结合LDAP服务器认证的配置步骤 RADIUS认证 1. 掌握SSL结合RADIUS服务器认证的配置步骤 组映射和角色映射 1、了解组映射和角色映射功能的作用 2、掌握组映射和角色映射功能的配置方法 LDAP导入用户 1、掌握LDAP导入用户到本地功能的配置方法 第二页，共三十六页。 SSL与第三方结合认证功能介绍及配置 组映射和角色映射功能介绍及配置 深信服公司简介 LDAP导入用户到本地功能介绍及配置 练练手 SANGFOR SSL 第三页，共三十六页。 第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。 第四页，共三十六页。 第三方服务器认证介绍 LDAP认证： 轻量级目录访问协议。 移动用户接入SSL VPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。SSL VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP 389 第五页，共三十六页。 第三方服务器认证介绍 RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。 认证交互过程： 1.用户输入用户名和口令； 　　 2.radius 客户端(NAS)根据获取的用户名和口令，向radius 服务器发送认 证请求包（access-request）。 　　 3.radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认 证成功，则将用户的权限信息以认证响应包（access-accept）发送给 radius 客户端；如果认证失败，则返回access-reject 响应包。 RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。 第六页，共三十六页。 LDAP认证配置介绍 新建LDAP认证服务器，设置相关信息。 添加域服务器的IP和端口 域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为： cn=Administrator,cn=Users,dc=sangfor,dc=com 注意管理员的格式，需要添加域名！ 选择用于认证的LDAP用户账号所在路径 包含该路径下所有子路径的用户账号，不勾选则仅包含该路径下的用户账号。 支持的域服务器类型： MS ActiveDirectory：指微软域用户 LDAP Server：指除微软域以外的其他LDAP MS ActiveDirectory VPN：指微软域内带有允许接入微软VPN属性的用户 当没有设置组映射关系时，自动匹配为某个组的用户 第七页，共三十六页。 RADIUS认证配置介绍 新建RADIUS认证服务器，设置相关信息。 添加RADIUS服务器的IP和认证端口 选择RADIUS服务器对应的认证协议 共享密钥: 与RADIUS服务器设置相同 当没有设置组映射关系时，自动匹配为某个组的用户 第八页，共三十六页。 LDAP结合认证典型案例及配置 第九页，共三十六页。 LDAP结合认证典型案例及配置 客户需求： 客户内网已部署好LDAP服务器，通过域来管理内网用户。客户使用SANGFOR SSL VPN设备，希望移动用户登录SSL VPN时使用LDAP上的用户名和密码进行认证。 解决方案： 使用SSL VPN与客户原有LDAP服务器结合认证，无需在设备上创建本地账号。 客户网络环境： 第十页，共三十六页。 LDAP结合认证典型案例及配置 配置思路： 1. 配置LDAP服务器，在OU中新建用户。 2. SSL VPN新建LDAP服务器，结合LDAP认证。 3. 使用域账号登陆SSL VPN。 第十一页，共三十六页。 LDAP结合认证典型案例及配置 1.在LDAP服务器下创建一个用户名为“test1”的用户 第十二页，共三十六页。 LDAP结合认证典型案例及配置 2. SSL VPN设备上，新建LDAP认证服务器并填写相应信息 第十三页，共三十六页。 LDAP认证配置介绍 3. 移动用户通过域账号和密码登录SSL VPN。 组织结构中无用户“test1” 通过域用户名密码登陆SSL VPN 第十四页，共三十六页。 组映射和角色映射功能介绍及配置 第十五页，共三十六页。 组映射和角色映射功能介绍 LDAP组映射： 将LDAP上的OU以用户组的形式导入到SSL设备上，或者将OU一一映射给设备上的某个