“当前已有100+用户参与分享,共计发放奖励60000+“
背景
域单点登录适用于客户内网已有一台域控制器做管理。部署AC设备后,希望实现用户电脑开机登录域即自动通过AC/SG认证以域用户身份直接上网,并希望终端的上网日志可以追踪到具体域用户。
单点方式
域单点登录有脚本方式,免插件,IWA方式和监听方式,只有微软的 AD域才支持这四种单点登录方式
本次实验——域脚本单点登录,也是成功率最高的域单点方式,缺点是需要域上配置,需要和客户沟通
步骤
1)新增LDAP服务器,此步骤在上个回顾实验已提及,不赘述
2)新增认证策略,选择单点登录
3)在【用户认证与管理】-【单点登录】-【微软AD域】里面启用域单点登录,勾选【通过域自动下发,执行指定的登录脚本,获取登录信息】,然后配置共享密码,此密码和后面脚本配置密钥保持一致
4)AD域运行输入gpmc.msc,打开组策略编辑器
5)右键测试单点登录的OU,并选择在这个域中创建GPO并在此处链接,并右键编辑
6)域服务器上配置登录和注销脚本
将登录脚本放入其中
添加登录脚本,三个数值分别为ACip,端口,密钥,中间空格隔开
7)注销脚本添加方法不再赘述,同登录一致,但只用填写ACIP即可
8)刷新组策略,命令gpupdate.exe /force
9)将测试pc加入域
域用户登录,因为sangfor用户实现环境禁止登录远程桌面,使用administrator@sangfortest登录
回到AC在线用户,单点登录在线,实验完成
|