#每日一记#AC结合第三方服务器AD域认证
  

এ塔铃独语别黄昏এ 2276214人觉得有帮助

{{ttag.title}}
客户为一家合资企业。之前一直在使用我们的上网行为管理设备,由于设备老化,更新新设备。并且客户处需要结合自己的AD域来同步认证。实现最终效果为用户登录系统时使用域账号,进入系统后无需再次认证即可上网。
根据该需求,我们分两个大步骤来完成:
1.AC和域之间同步认证;
2.启用windows集成登录达到用户使用域账户登录操作系统,上网无需再次登录账号操作。

一、第三方域认证设置                                                                                                      
1.设置外部认证服务器
①在菜单中依次选择【用户与策略管理】---【用户认证】---【外部认证服务器】,然后选择新增,选择“LDAP服务器”


②选择LDAP服务器之后出现如下界面,根据要求填写相关信息





注:服务器名称:用来标识新建的LDAP服务器名称。
       服务器类型:LDAP服务器支持Microsoft Active Directory、SUN LDAP、OPEN LDAP等常见服务器,可以根据实际情 况选取相应的服务器。默认是Microsoft Active Directory服务器,即常见的AD域类型。
       IP地址:填写LDAP服务器的地址。
       认证端口:默认配置是389端口,如果与服务器修改过端口,请填写相应的端口。
       超时:默认配置是5秒,如果域用户较多,可以适当改大超时时间。
       域用户:请填写拥有读取域服务器用户权限的账号,一般填写管理员账户,格式为**istrator@domain.com
       用户密码:填写域用户账号对应的密码。 其他配置请保持默认值,点击“提交”保存配置。

2.域用户认证设置
①在控制台选择【用户与策略管理】---【用户管理】---【组/用户】中点击“新增”建立AD域用户组,在这里命名为“LDAP用户组”

②设置LDAP自同步
AD域同步目前只支持Microsoft Active Directory。同步的方式分为两类:“按AD域组织结构同步”和“按AD域安全组同步”,两种工作模式不能同时使用,选择一种工作模式,点击提交即可完成配置。

按组织结构同步
“按AD域组织结构同步”这种工作模式是按照AD域中的组织单元OU及其结构导入的,点击“新增”按钮,选择“LDAP同步”后,将出现以下配置界面:

注:同步工作模式:选择按照“AD域组织结构同步”还是按照“AD域安全组同步”。
       启用自动同步:用于设置是否自动同步,启用后,设备会在选定的时间和域同步用户。如果禁用,设备不会自动同步域用户,只能手动同步。
       LDAP服务器:用于选择需要同步得到域服务器。前面已经介绍过如何设置域认证服务器。
       从以下远程目标同步:选择从AD域上的那个组织结构开始同步域用户。
       导入OU的最大深度:用于设置导入OU的深度,从开始导入的OU算起,最多支持深度为15。
       过滤参数:用于设置同步的过滤条件,根据域参数设置过滤条件。此处不填默认为不限制。
       将远程目标导入到以下位置:用于设置此条域同步策略将域用户和组织结构同步到AC的哪个组,点击右边的下拉列表出现AC的组织结构,选择需要同步的的本地位置。

设置好策略,点击“提交”次策略设置保存成功,策略页面显示如下,点击“立即同步”,根据设置的策略立即同步。

按照AD域安全组同步
“按照AD域安全组同步”这种工作模式是按照AD域中的用户组group导入的,选择同步工作模式“按照安全组同步”后。出现以下配置界面:

设置基本和“按AD域组织结构同步相同”,不同的是“从以下远程目标同步”选择的是LDAP服务器的group用户组,按照组导入。 另外域安全组没有级别和嵌套的概念,所以选择按照域安全组同步后,同步到AC组织结构的用户都会属于同一个组里。

3.现在离成功还剩一步,新建认证策略,选择密码认证,并把认证上来的用户添加到“LDAP用户组”


注意:在这个过程中,出现过一种情况,用户上网时不弹出用户认证界面。经过排查是用户使用的DNS存在问题,其使用的是自己内网的DNS服务器,而且该服务器在禁止上网的列表中,最后将其排除后问题解决。

二、集成windows身份验证                                                                                             
配置集成windows 身份验证,启用成功后,内网用户登录到域并访问web 页面,即可登录到某公司设备。
1.启用集成windows 身份验证功能
登录sangfor 网关设备的控制台页面,点击左侧导航栏【用户与策略管理】---【用户认证】---【认证选项】 点击右侧“单点登录选项”AD 域;勾选“启用域单点登录”和“启用集成windows 身份验证”

2.配置windows身份验证

填写计算机名、域名、域DNS 服务器、域账号以及域账号密码;点击“测试有效性”,检测各个参数是否有效,测试通过之后点击“提交”;10s 之后会在右下方,弹出小喇叭并提示加入域成功。


3.修改认证策略
在控制台页面设置默认认证策略为“必须使用单点登录”,然后点击提交;


整个配置过程完毕。


三、下面来测试下效果                                                                                                      
1.使用域账号登陆pc,打开浏览器,访问外网(如新浪),若访问成功,则执行下一步;


2.打开控制台页面,依次点击【实时状态】---【在线用户管理】,查看是否有刚登陆的域账号上线以及上线时的认证方式是否为单点登陆。若在线用户里存在刚登陆的域用户同时认证方式为单点登陆,则说明集成windows 身份验证启用成功。

打赏鼓励作者,期待更多好文!

打赏
70人已打赏

西红柿煮番茄的猫 发表于 2024-8-25 10:06
  
感谢分享,学习一下~
新手370587 发表于 2024-6-16 12:41
  
打卡学习,感谢大佬分享!
talent 发表于 2024-2-17 14:55
  

一起学习 一起学习!
奔走的公牛 发表于 2023-4-6 09:32
  
感谢分享,有助于工作和学习!!!
小佳要努力 发表于 2023-2-10 10:03
  
有助于学习,感谢楼主分享
小飞鱼 发表于 2022-12-17 11:01
  
感谢楼主分享,学习学习
小小胖 发表于 2022-12-17 10:57
  
感谢楼主分享,学习学习
日出 发表于 2022-12-17 10:52
  
感谢楼主分享,学习学习
小鱼儿 发表于 2022-12-17 10:47
  
感谢分享,学习一下。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
技术笔记
新版本体验
产品连连看
功能体验
技术咨询
GIF动图学习
2023技术争霸赛专题
每周精选
标准化排查
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人