AC结合第三方服务器AD域认证
  

大蒜头 发表于 2016-10-28 09:01

项目背景:
客户为一家合资企业。之前一直在使用我们的上网行为管理设备,由于设备老化,更新新设备。并且客户处需要结合自己的AD域来同步认证。实现最终效果为用户登录系统时使用域账号,进入系统后无需再次认证即可上网。

根据该需求,我们分两个大步骤来完成:
1.AC和域之间同步认证;
2.启用windows集成登录达到用户使用域账户登录操作系统,上网无需再次登录账号操作。

一、第三方域认证设置                                                                                                      
1.设置外部认证服务器
①在菜单中依次选择【用户与策略管理】---【用户认证】---【外部认证服务器】,然后选择新增,选择“LDAP服务器”

1.jpg

②选择LDAP服务器之后出现如下界面,根据要求填写相关信息

2.jpg

注:服务器名称:用来标识新建的LDAP服务器名称。
       服务器类型:LDAP服务器支持Microsoft Active Directory、SUN LDAP、OPEN LDAP等常见服务器,可以根据实际情 况选取相应的服务器。默认是Microsoft Active Directory服务器,即常见的AD域类型。
       IP地址:填写LDAP服务器的地址。
       认证端口:默认配置是389端口,如果与服务器修改过端口,请填写相应的端口。
       超时:默认配置是5秒,如果域用户较多,可以适当改大超时时间。
       域用户:请填写拥有读取域服务器用户权限的账号,一般填写管理员账户,格式为Administrator@domain.com
       用户密码:填写域用户账号对应的密码。 其他配置请保持默认值,点击“提交”保存配置。

2.域用户认证设置
①在控制台选择【用户与策略管理】---【用户管理】---【组/用户】中点击“新增”建立AD域用户组,在这里命名为“LDAP用户组”
3.jpg

②设置LDAP自同步
AD域同步目前只支持Microsoft Active Directory。同步的方式分为两类:“按AD域组织结构同步”和“按AD域安全组同步”,两种工作模式不能同时使用,选择一种工作模式,点击提交即可完成配置。
4.jpg

按组织结构同步
“按AD域组织结构同步”这种工作模式是按照AD域中的组织单元OU及其结构导入的,点击“新增”按钮,选择“LDAP同步”后,将出现以下配置界面:
5.jpg 6.jpg

注:同步工作模式:选择按照“AD域组织结构同步”还是按照“AD域安全组同步”。
       启用自动同步:用于设置是否自动同步,启用后,设备会在选定的时间和域同步用户。如果禁用,设备不会自动同步域用户,只能手动同步。
       LDAP服务器:用于选择需要同步得到域服务器。前面已经介绍过如何设置域认证服务器。
       从以下远程目标同步:选择从AD域上的那个组织结构开始同步域用户。
       导入OU的最大深度:用于设置导入OU的深度,从开始导入的OU算起,最多支持深度为15。
       过滤参数:用于设置同步的过滤条件,根据域参数设置过滤条件。此处不填默认为不限制。
       将远程目标导入到以下位置:用于设置此条域同步策略将域用户和组织结构同步到AC的哪个组,点击右边的下拉列表出现AC的组织结构,选择需要同步的的本地位置。

设置好策略,点击“提交”次策略设置保存成功,策略页面显示如下,点击“立即同步”,根据设置的策略立即同步。
7.jpg

按照AD域安全组同步
“按照AD域安全组同步”这种工作模式是按照AD域中的用户组group导入的,选择同步工作模式“按照安全组同步”后。出现以下配置界面:
8.jpg

设置基本和“按AD域组织结构同步相同”,不同的是“从以下远程目标同步”选择的是LDAP服务器的group用户组,按照组导入。 另外域安全组没有级别和嵌套的概念,所以选择按照域安全组同步后,同步到AC组织结构的用户都会属于同一个组里。

3.现在离成功还剩一步,新建认证策略,选择密码认证,并把认证上来的用户添加到“LDAP用户组”
10.jpg


注意:在这个过程中,出现过一种情况,用户上网时不弹出用户认证界面。经过排查是用户使用的DNS存在问题,其使用的是自己内网的DNS服务器,而且该服务器在禁止上网的列表中,最后将其排除后问题解决。

二、集成windows身份验证                                                                                             
配置集成windows 身份验证,启用成功后,内网用户登录到域并访问web 页面,即可登录到深信服设备。
1.启用集成windows 身份验证功能
登录sangfor 网关设备的控制台页面,点击左侧导航栏【用户与策略管理】---【用户认证】---【认证选项】 点击右侧“单点登录选项”AD 域;勾选“启用域单点登录”和“启用集成windows 身份验证”
1.png

2.配置windows身份验证
填写计算机名、域名、域DNS 服务器、域账号以及域账号密码;点击“测试有效性”,检测各个参数是否有效,测试通过之后点击“提交”;10s 之后会在右下方,弹出小喇叭并提示加入域成功。
22.jpg

3.修改认证策略
在控制台页面设置默认认证策略为“必须使用单点登录”,然后点击提交;
33.jpg

整个配置过程完毕。

三、下面来测试下效果                                                                                                      
1.使用域账号登陆pc,打开浏览器,访问外网(如新浪),若访问成功,则执行下一步;
44.jpg

2.打开控制台页面,依次点击【实时状态】---【在线用户管理】,查看是否有刚登陆的域账号上线以及上线时的认证方式是否为单点登陆。若在线用户里存在刚登陆的域用户同时认证方式为单点登陆,则说明集成windows 身份验证启用成功。
55.jpg

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人

新手84471...

本周建议达人

新手41456...

本周分享达人

新手26810...

本周提问达人