AC结合第三方服务器AD域认证
  

大蒜头 4526214人觉得有帮助

{{ttag.title}}
项目背景:
客户为一家合资企业。之前一直在使用我们的上网行为管理设备,由于设备老化,更新新设备。并且客户处需要结合自己的AD域来同步认证。实现最终效果为用户登录系统时使用域账号,进入系统后无需再次认证即可上网。

根据该需求,我们分两个大步骤来完成:
1.AC和域之间同步认证;
2.启用windows集成登录达到用户使用域账户登录操作系统,上网无需再次登录账号操作。

一、第三方域认证设置                                                                                                      
1.设置外部认证服务器
①在菜单中依次选择【用户与策略管理】---【用户认证】---【外部认证服务器】,然后选择新增,选择“LDAP服务器”


②选择LDAP服务器之后出现如下界面,根据要求填写相关信息


注:服务器名称:用来标识新建的LDAP服务器名称。
       服务器类型:LDAP服务器支持Microsoft Active Directory、SUN LDAP、OPEN LDAP等常见服务器,可以根据实际情 况选取相应的服务器。默认是Microsoft Active Directory服务器,即常见的AD域类型。
       IP地址:填写LDAP服务器的地址。
       认证端口:默认配置是389端口,如果与服务器修改过端口,请填写相应的端口。
       超时:默认配置是5秒,如果域用户较多,可以适当改大超时时间。
       域用户:请填写拥有读取域服务器用户权限的账号,一般填写管理员账户,格式为Administrator@domain.com
       用户密码:填写域用户账号对应的密码。 其他配置请保持默认值,点击“提交”保存配置。

2.域用户认证设置
①在控制台选择【用户与策略管理】---【用户管理】---【组/用户】中点击“新增”建立AD域用户组,在这里命名为“LDAP用户组”

②设置LDAP自同步
AD域同步目前只支持Microsoft Active Directory。同步的方式分为两类:“按AD域组织结构同步”和“按AD域安全组同步”,两种工作模式不能同时使用,选择一种工作模式,点击提交即可完成配置。

按组织结构同步
“按AD域组织结构同步”这种工作模式是按照AD域中的组织单元OU及其结构导入的,点击“新增”按钮,选择“LDAP同步”后,将出现以下配置界面:

注:同步工作模式:选择按照“AD域组织结构同步”还是按照“AD域安全组同步”。
       启用自动同步:用于设置是否自动同步,启用后,设备会在选定的时间和域同步用户。如果禁用,设备不会自动同步域用户,只能手动同步。
       LDAP服务器:用于选择需要同步得到域服务器。前面已经介绍过如何设置域认证服务器。
       从以下远程目标同步:选择从AD域上的那个组织结构开始同步域用户。
       导入OU的最大深度:用于设置导入OU的深度,从开始导入的OU算起,最多支持深度为15。
       过滤参数:用于设置同步的过滤条件,根据域参数设置过滤条件。此处不填默认为不限制。
       将远程目标导入到以下位置:用于设置此条域同步策略将域用户和组织结构同步到AC的哪个组,点击右边的下拉列表出现AC的组织结构,选择需要同步的的本地位置。

设置好策略,点击“提交”次策略设置保存成功,策略页面显示如下,点击“立即同步”,根据设置的策略立即同步。

按照AD域安全组同步
“按照AD域安全组同步”这种工作模式是按照AD域中的用户组group导入的,选择同步工作模式“按照安全组同步”后。出现以下配置界面:

设置基本和“按AD域组织结构同步相同”,不同的是“从以下远程目标同步”选择的是LDAP服务器的group用户组,按照组导入。 另外域安全组没有级别和嵌套的概念,所以选择按照域安全组同步后,同步到AC组织结构的用户都会属于同一个组里。

3.现在离成功还剩一步,新建认证策略,选择密码认证,并把认证上来的用户添加到“LDAP用户组”


注意:在这个过程中,出现过一种情况,用户上网时不弹出用户认证界面。经过排查是用户使用的DNS存在问题,其使用的是自己内网的DNS服务器,而且该服务器在禁止上网的列表中,最后将其排除后问题解决。

二、集成windows身份验证                                                                                             
配置集成windows 身份验证,启用成功后,内网用户登录到域并访问web 页面,即可登录到某公司设备。
1.启用集成windows 身份验证功能
登录sangfor 网关设备的控制台页面,点击左侧导航栏【用户与策略管理】---【用户认证】---【认证选项】 点击右侧“单点登录选项”AD 域;勾选“启用域单点登录”和“启用集成windows 身份验证”

2.配置windows身份验证
填写计算机名、域名、域DNS 服务器、域账号以及域账号密码;点击“测试有效性”,检测各个参数是否有效,测试通过之后点击“提交”;10s 之后会在右下方,弹出小喇叭并提示加入域成功。

3.修改认证策略
在控制台页面设置默认认证策略为“必须使用单点登录”,然后点击提交;

整个配置过程完毕。

三、下面来测试下效果                                                                                                      
1.使用域账号登陆pc,打开浏览器,访问外网(如新浪),若访问成功,则执行下一步;

2.打开控制台页面,依次点击【实时状态】---【在线用户管理】,查看是否有刚登陆的域账号上线以及上线时的认证方式是否为单点登陆。若在线用户里存在刚登陆的域用户同时认证方式为单点登陆,则说明集成windows 身份验证启用成功。

打赏鼓励作者,期待更多好文!

打赏
51人已打赏

天悦信息_曾理 发表于 2016-10-28 09:28
  
一般我同步域用户都是同步到根组,测试同步到新建的组里面有时候会出现问题
Sangfor_闪电回_朱丽 发表于 2016-10-28 09:39
  
配置过程清楚、详情,各种注意事项也都提到了,还有实现效果,给楼主来128个赞!

各位小伙伴,觉得分享的文章有用,别忘了给楼主打赏哦!
一颗螺丝钉 发表于 2016-10-28 09:46
  
很不错!回头对照一下我的配置,看看是否有出入!
茶微淡 发表于 2016-10-28 15:33
  
亲,搞定啦
容我再补上一刀 发表于 2016-11-1 16:23
  
Jinni 发表于 2016-11-3 09:06
  
之前有在一家企业做过集成认证,那时是5.7的版本,一直出现AC设备控制台服务被挤掉,导致控制台登陆不上去,研发看了说是一个什么apache 并发线程太高了,导致这个问题。那台AC设备是高端型号的,都出现这个问题,好像也没有解决完全,最后也没有用这个东西了。不知道现在怎么样了。
woshishui 发表于 2016-11-3 09:50
  
赞一个,表示已收藏
sangfor2132 发表于 2016-11-3 11:46
  
好厉害!!!!!厉害了,我的哥!!
sangfor2132 发表于 2016-11-3 11:48
  
我要投票,,
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人