SSL VPN对接正方CAS门户部署分享
  

Supine 1707817人觉得有帮助

{{ttag.title}}
vSSL7.6.8R2对接正方CAS门户
背景:
某高职学校部署了正方统一门户网站,采用cas认证方式。现需要部署ssl vpn部署webvpn对接正方门户网站实现学校师生无感知vpn方案。

实施前准备:
1、本次对接采取vmware上vssl部署,具体部署文档参考:《某公司_vSSL_v7.6.1_CONF_vSSL部署实施指导书FORVMware.pdf》https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=69037
2、需要客户准备一个域名类似“webvpn.xxx.edu.cn”用于vpn接入使用,同时需要在域名服务提供商设置“webvpn.xxx.edu.cn”的A记录以及“*.webvpn.xxx.edu.cn”的泛域名A记录,若内网有DNS服务器同样需要设置。
3、出口IP端口映射,注意默认端口443和8118均需要映射。
4、客户准备一个webvpn对应域名的受信泛域名证书,测试可开启【http透明代理】。
5、cas平台的CASLoginURL、CASlogoutURL、CASCalidateURL认证url参数和相关对接文档。

6、与cas服务器网络可达。
实施过程:
#VPN设备基础配置不再累述#
#VPN设备基础配置不再累述#
1、 在VPN控制台【系统设置】-【SSLVPN选项】-【系统选项】-【资源服务项】-【web应用】中填写WEB泛域名,默认端口为8118。若没用受信泛域名证书需要勾选上【启用HTTP透明代理访问】。
2、 在vpn控制台创建【第三方认证】-【cas票据】
根据客户提供的cas对接URL填入。注意:若客户不希望 cas门户直接映射在公网上,需要在【是否代理cas服务器地址】选择【是】。由vpn设备进行反向代理。
3、 在正方CAS平台上将vpn添加至应用列表。
【应用访问IP】填写webvpn所使用的域名;
##注意:应用访问IP可以填写IP或者URL,但千万不要加上HTTP或者HTTPS;
【应用访问端口】填写webvpn映射在公网的接入端口默认为443;
【接入方式】选择【CAS client】;
【接入地址】和【业务系统退出地址】填写webvpn的URL即可;
【返回属性】选择【用户唯一标识(用户名)】即可。
4、 设置门户跳转
在设备控制台【系统设置】-【SSLVPN选项】-【主题管理】-【登录策略】中新建策略
【访问地址】填写webvpn接入地址,若出口设备映射的端口更改了,也需要加上映射的端口号;
【适用对象】选择对应的用户组即可;
【门户类别】选择【第三方门户】;
【认证类型】选择【CAS票据认证】;
【免客户端模式】选择【启用】。
5、 打开浏览器打开webvpn测试,可以正常调整到正方的CAS门户网站。
6、 CAS帐号权限划分
正方门户网站内置了两个角色权限(正方没用用户组的概念),分别对应【教师】和【学生】两个权限。Webvpn同样需要根据正方的角色划分实现教师和学生的不同角色权限。
根据正方提供的对接文档(见附件)中存在一些认证数据字段(见下图),但没有具体的返回值和相关说明,故我们需要在设备上抓包确认数据字段和返回值。
和客户达成一致后,分别开设一个教师和学生权限的cas帐号用于测试。在VPN设备上抓包,并在webvpn跳转的门户网站进行登陆测试。
抓包结果如下:
1) 成功捕获cas认证的数据报文。
2) 右键追踪认证数据包tcp流,发现正方Cas认证报文存在“user”、“DWMC”、“CODE”、“YHLX”、“DWH”、“XM”等字段。以同样的方法抓去“学生”权限帐号的认证数据流,发现“YHLX”字段不同。学生字段标识符为2,教师字段标识符为1。
3) 在VPN设备中的【cas票据认证设置】中尝试将【YHLX】字段加入接受字段配置中,并且在【组映射】中添加对应【返回值】和vpn设备【本地用户组】的映射关系。
7、 权限测试
在【资源】中任意添加一个测试资源,并创建两个角色【学生】和【教师】并关联给对应的【本地用户组】。
最终测试结果:根据【YHLX】划分的组映射关系能够正常区分【学生】和【教师】两个用户组的权限,和正方对应的角色关系一致。
至此,SSL VPN设备和正方的cas对接完成。
附件:
正方cas统一身份认证接入指南.pdf (619.57 KB, 下载次数: 133)

打赏鼓励作者,期待更多好文!

打赏
95人已打赏

西红柿煮番茄的猫 发表于 2024-8-25 10:07
  
非常好的实践教程,谢谢分享
屁屁我很忙 发表于 2024-7-29 10:06
  
感谢分享,学习一下~
talent 发表于 2024-2-9 09:58
  

一起学习 一起学习!
张嘉烽 发表于 2023-4-7 08:29
  
感谢分享知识,有助于学习
策c 发表于 2023-4-6 21:04
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
奔走的公牛 发表于 2023-4-4 09:45
  
感谢楼主无私分享,学习一下
唐三平 发表于 2022-12-19 12:08
  
感谢分享,有助于工作,学习学习
朱墩2 发表于 2022-12-19 12:08
  
感谢分享,有助于工作,学习学习
蔺嘉宾 发表于 2022-12-19 12:08
  
感谢分享,有助于工作,学习学习
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人