这是一篇略有深度的技术方案,若各位能看懂,那代表你对产品的理解已经很深入了
首先 这是根据真实案例改编
拓扑如上,AC和ATRUST旁路部署,公司内部有业务资产 需求如下: 1、对于AC,首先所有用户需要做portal认证,本地创建的账号密码,然后向零信任开放LDAP接口 2、零信任对接AC的用户接口,做ldap认证,这样组织架构和账号密码都可以同步过来,不需要维护两套账号体系 3、所有的访问权限都通过零信任来把控,用户和公司服务器不能互通,不管是内网还是外网,都需要登录零信任,然后才能访问资源 4、用户是通过集体导入的,初始密码都一样,公司要求需,每个用户都需要改密码
那么问题来了,有一些在外地的员工,他们怎么去修改自己的密码呢?
是不是觉得,这有啥难的,大家不妨想一想怎么解,我先给各位分析一下: 第一、外网用户要改密码,肯定要访问的是AC的用户页面
如果直接把AC的这个页面作为资源发布出去,那就会出现这样一个问题,走AC认证的访问会被零信任代理过去,所有过去认证的地址都会是代理网关的地址,这个不能影响对内网用户的正常审计
第二、内网用户也是需要登录零信任的,一旦AC的认证地址被发布成资源,会影响内网用户认证时候的跳转 第三、AC是旁路部署,不支持通过1.1.1.3这个地址来登录,只能通过http://AC_IP来进行用户认证
再给个明显一点的提示: AC的认证界面是一定要发布的,当用户在外网的时候,要能通过VPN登录到http://AC_IP这个页面 当用户在内网,正常上网被AC portal的时候,重定向到http://AC_IP,这部分流量不能经过VPN
我要公布答案啦 AC开放LDAP接口以及ATRUST对接,这里就不介绍了,参照第一期
主要是改密码的需求这里说一下:
首先AC上要配置用户认证策略 要配置两条,一个是针对内网用户的 第二条配置一个跟内网不冲突的网段,也做认证,这个地址段是分给零信任做虚拟IP池的
零信任上配置虚拟IP池
这里分享一个知识点 有两台代理网关做集群,虚拟IP池的路由不能指向集群地址 要网段分开指向设备真实地址才行
零信任发布AC的认证地址作为资源 这里有个小技巧 首先不能直接发布IP地址作为资源 要发布一个域名形式的资源给用户 然后配置域名劫持,让用户访问这个域名的时候,强制解析到AC的80端口上
这个骚操作是经过验证的,我登录零信任以后,可以通过访问这个域名来达到访问 认证界面的效果
而且,内网用户上网的时候被AC进行PORTAL到认证界面时候,是直接访问ip地址的,这部分流量零信任并不认为是在访问他的资源,所以不会进行干扰
通过这几项配置,就可以达到用户的需求,虽然看似很简单,但是如果能完全理解其中的数据流,那也说明你达到了资深水平了
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员2级