项目背景: 客户侧新建大楼,这边新大楼加入现有网络结构
  

stitch_sxk 2580

{{ttag.title}}
项目背景:
客户侧新建大楼,这边新大楼加入现有网络结构中,计划用新增AC做802.1X认证,同时实现与老AC的联合,实现认证统一与审计一致性。


项目问题:
这边原先计划使用认证托管实现,但这边AC当初设计认证托管主要是针对portal认证方面,这边新增的旁路AC是802.1X认证,这边无法通过认证托管实现认证中心,当前存在具体问题:
1.出口AC做具体审计,旁路AC只是做新大楼的802.1X认证,老大楼和下面分点是通过出口AC的portal认证,这里首先存在认证各管各的情况,这里对客户运维压力增大,客户希望实现统一认证,对用户账号统一管理。
2.实际情况是新大楼在旁路AC上802.1X认证,这里还在出口AC上针对802.1X网段做不需要认证,但这里上线用户名是IP地址,这里会存在审计的不便性,出口AC查看日志只能看到IP地址,还需要在旁路AC上去查该IP地址对应用户名,这里希望做到跟旁路AC一样能直接看到802.1X用户员工的工号和名字信息,简化审计工作。

替换方案:
AC审计一致解决方式:
需解决痛点:
旁挂AC针对新大楼做了802.1X认证,出口AC针对802.1X网段做不需要认证方式,结果以用户ip地址为用户名上线,此时检索审计日志只能定位到用户ip,具体用户名需要再根据ip去旁挂AC去查用户名。
解决方式:
旁挂AC这里做认证转发,将旁挂AC上的802.1X认证用户上线信息转发给出口AC,此时出口AC可知这些用户已通过认证在线用户信息与旁挂AC一致,同时出口AC针对802.1X网段的不需要认证认证策略可取消,也解决这里二次认证问题。
解决步骤:
1. 旁挂AC做认证转发将802.1X与访客网段认证用户认证信息转发给出口AC

2.过段时间后将不需要认证认证策略禁用掉,尽量实现无缝切换

AC统一认证解决方法:
解决痛点:
这里两台AC都是本地用户,这里存在用户统一维护问题和认证
解决方式:
可通过由旁挂那台做两台中的LDAP域控,通过LDAP去做统一认证,或者今年客户侧建设微软AD域,让两台AC都对接AD域去解决
旁路AC充当LDAP域控解决步骤:
(1)旁路AC开启LDAP端口

(2)出口AC新增LDAP服务器
这里AC做LDAP采用OPEN LDAP类型,同时默认389端口最好更改成别的端口,否则若是[backcolor=rgba(255, 255, 255, 0.7)]添加LDAP服务器提示“当前LDAP服务器已存在相同的ip、端口...”,这里大概率是389端口已被占用,可换个端口解决,另外这里[backcolor=rgba(255, 255, 255, 0.7)]【管理员账号】那里需要填“cn=admin,ou=users,dc=sangfor,dc=com”,这里可去选择BaseDN了,若是报错可填写“sangfor.com”看看是否能够检索到组织架构

(3)注意修改LDAP服务器对应参数
[backcolor=rgba(255, 255, 255, 0.7)]在【同步配置】那里需要将[backcolor=rgba(255, 255, 255, 0.7)]用户属性那从“uid”,改选为“cn”,[backcolor=rgba(255, 255, 255, 0.7)]否则无法检索到用户,在用户认证界面报错”AD域用户不存在“


(4)针对用户有自助修改密码需求将出口AC除802.1X网段信息转发给旁路AC
这里实现将整个认证统一做在旁路AC上,这里之后整个用户信息运维都在旁路AC上完成,同时这里还需要考虑老大楼这些用户自助修改密码事项,这里是用户通过访问旁路AC的80端口进入用户个人中心修改密码,同时需要保证老大楼这些用户的上线认证信息在旁路AC上也存在,因为需要确保该在线用户在旁路AC上也是在线状态,此时旁路AC才会允许用户自助修改密码,所以这里还需要将出口AC的除802X认证网段认证信息转发给旁路AC。


最终效果:
1.在出口AC上802X认证网段信息通过深信服认证转发同步认证信息过来,可直接看到员工工号,简化审计,同时解决二次认证问题
2.老大楼及下面分点在出口AC都会认证匹配旁路AC这个LDAP上的用户信息进行验证账号有效性,这里验证旁路AC上修改密码,重新认证匹配的确实旁路AC的更新用户账号,解决需要运维多个AC上用户表问题,实现统一认证,和统一用户信息维护
3.老大楼这些用户能够自助修改密码,从原来访问出口AC80端口变成访问旁路AC80端口个人中心修改密码,验证无问题。

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

飞翔的苹果 发表于 2024-6-30 12:58
  

多谢分享,有助于工作。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
351

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人