记一次SSL对接LDAP服务器外部认证并实现单点登录及注意事项
  

qinpeng 122383人觉得有帮助

{{ttag.title}}
本帖最后由 qinpeng 于 2017-4-10 15:07 编辑

PS:衷心感谢400的2112 2062  2199三位大神的远程处理!

一、环境准备:

VPN设备:

1.    必须是超级管理员在操作

2.    与LDAP服务器网络和端口能通信

LDAP服务器 :

1.    组织结构要清晰有条序,便于维护

2.    保证链接地址,管理员密码,搜索根路径等参数正确无误

二、对接LDAP外部认证服务器

1.“SSLVPN设置”—“认证设置”—“主要认证”中的LDAP认证点击设置


11.jpg


2.添加LDAP服务器,填写相对应的参数


12.jpg


注释:

a.     LDAP服务器的IP地址和端口,端口默认389,根据实际情况调整

b.     LDAP服务器的管理员账号,不一定是超级管理员,拥有足够的读权限即可。一般有两种格式administrator@sfxu.com或者cn=Manager,dc=ca,dc=gxtc,dc=edu,dc=cn

c.      确保需要进行认证的用户在组织结构里,如OU,不然会认证失败,直接填写路径或者可以在搜索入口点击选择


13.jpg


3.    因为客户是OPENLDAP类型的第三方服务器,所以服务器类型选择LDAP Server


14.jpg


4.其他属性无特殊需求则保持默认,不用设置组映射和角色映射,但要注意一点,LDAP服务器上的用户都是自动映射到默认用户组,享有默认用户组所拥有的资源和角色权限


15.jpg


16.jpg


       5. 【注意】以上所有配置配置完成后,注意保存,并点击右上角的立即生效。

三.经验排错

1.过程描述:

之前我填写参数的时候,按照客户给的参数原原本本地填了上去发现用户登录VPN时提示用户名密码错误,但用同样账号密码登录内网资源是正常的,联系400抓包发现两端的MD5加密方式不一样,最后确定需要打定制包才能满足此需求。后面技术专家来帮我处理发现应该不用定制即可满足,是搜索入口的格式写得不对,把范围限制的太小了,所以无法搜索到用户,也无法完成认证。把搜索范围定义为全部根组即可!

2.测试验证

a.登录VPN失败


18.jpg


b.在内网登录资源用相同账户能正常登录


19.jpg


c. 抓包数据流对比


20.png

21.png


      d. 调整配置


22.png

23.png


      e.  LDAP服务器里面的组织结构


24.jpg


      f. 调整后的效果

25.jpg


26.jpg


27.jpg


四.单点登录

SSL VPN的单点登录主要分为两类:            

i.   自动填表:用户在登录SSL控制台以后,需要借助单点登录助手在WEB页面或应用程序登录页面录制单点登录;自动填表的单点登录功能支持所有WEB应用,TCP应用 ,L3VPN和远程应用的所有B/S和C/S应用。            

ii.   自动构建参数:用户在录制SSL单点登录的时候,不使用单点登录助手,而是手动填写相应单点登录各个参数信息;自动构建参数的单点登录方式只支持WEB应用,TCP应用,和L3VPN的HTTP,HTTPS应用。

1.     配置思路

     A.SSL VPN设备开启单点登录功能序列号

     B.添加相应的资源,启用“单点登录”,勾选“自动填表”方式

     C.下载单点登录工具和单点登录脚本

     D.使用单点登录工具进行录制

     E.单点登录工具录制完成后,上传单点登录脚本到设备里

     F.设置“角色授权”,将资源和用户关联起来

     G.用户登录SSL VPN,直接点击资源链接登录到内部资源

2.     配置截图

a.  查看是否有单点登录序列号授权


28.jpg


b.  新建TCP应用资源,勾选单点登录,登录方法为“自动填表”


2999.jpg


c.  下载单点登录录制助手和配置文件安装


30.jpg


31.jpg


32.jpg


33.jpg


d.  上传录制好的文件到设备,记住先“保存”再点击右上方的“立即生效”


34.jpg


e.  编辑角色,用户和资源三者相关联起来


35.jpg


f.  测试用户登录vpn,直接点击内网资源即可完成自动登录


36.jpg


3.注意事项

1.在录制的过程中,放大镜一定要对准用户名和密码框,如果录制完成后发现无法提交用户名密码,尝试多录制几次,可能是没有对准

2.在录制完成后,点击资源发现用户名密码已经填上了,但是没有自动登录,此时需要检查两点

A :登录按钮是否录制错误,尝试重新录制登录按钮

B :检查一下是否勾选了自动提交,没有勾选则勾选上保持单点登录配置文件重新上传

3.录制完成,打开资源发现显示的用户名密码不是想要的但却又不能修改,检查以下两点

A :设备控制台单点登录处是否勾选了允许修改用户名密码

B :在录制单点登录时用户名密码是否选择的指定值,如果是指定值则无法修改

4.需要录制的界面有验证码,无论如何录制都不行由于验证码是随机变化的,所以无法做到自动提交,有验证码的页面最多可以做到提交用户名密码,无法自动提交

记一次SSL对接LDAP服务器外部认证并实现单点登录及注意事项.pdf (1.34 MB, 下载次数: 113)

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

carl 发表于 2017-4-10 15:12
  
不错的分享,66666,已收藏
北回归线 发表于 2017-4-10 15:26
  
666,收藏了
PC9527 发表于 2017-4-10 15:27
  
1024
新手学习中 发表于 2017-4-10 15:36
  
厉害了大哥
螺丝钉 发表于 2017-4-10 16:56
  
这个很棒!回头参考一下。
努力 发表于 2017-4-10 18:11
  
本帖最后由 努力 于 2017-4-10 18:12 编辑

已收藏很棒的分享,没做过LDAP,只做过Cisco SA6000 radius认证坑一大堆
哥丶珍藏版 发表于 2017-4-10 19:31
  
给力
7情6欲 发表于 2017-4-10 19:53
  
学习
一帆凤顺 发表于 2017-4-10 21:34
  
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

26
76
83

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人