根据该需求,我们分两个大步骤来完成:
1.AC和域之间同步认证;
2.启用windows集成登录达到用户使用域账户登录操作系统,上网无需再次登录账号操作。
一、第三方域认证设置
1.设置外部认证服务器
①在菜单中依次选择【用户与策略管理】---【用户认证】---【外部认证服务器】,然后选择新增,选择“LDAP服务器”
②选择LDAP服务器之后出现如下界面,根据要求填写相关信息注:服务器名称:用来标识新建的LDAP服务器名称。
服务器类型:LDAP服务器支持Microsoft Active Directory、SUN LDAP、OPEN LDAP等常见服务器,可以根据实际情 况选取相应的服务器。默认是Microsoft Active Directory服务器,即常见的AD域类型。
IP地址:填写LDAP服务器的地址。
认证端口:默认配置是389端口,如果与服务器修改过端口,请填写相应的端口。
超时:默认配置是5秒,如果域用户较多,可以适当改大超时时间。
用户密码:填写域用户账号对应的密码。 其他配置请保持默认值,点击“提交”保存配置。
2.域用户认证设置
①在控制台选择【用户与策略管理】---【用户管理】---【组/用户】中点击“新增”建立AD域用户组,在这里命名为“LDAP用户组”
②设置LDAP自同步
AD域同步目前只支持Microsoft Active Directory。同步的方式分为两类:“按AD域组织结构同步”和“按AD域安全组同步”,两种工作模式不能同时使用,选择一种工作模式,点击提交即可完成配置。
按组织结构同步
“按AD域组织结构同步”这种工作模式是按照AD域中的组织单元OU及其结构导入的,点击“新增”按钮,选择“LDAP同步”后,将出现以下配置界面:
注:同步工作模式:选择按照“AD域组织结构同步”还是按照“AD域安全组同步”。
启用自动同步:用于设置是否自动同步,启用后,设备会在选定的时间和域同步用户。如果禁用,设备不会自动同步域用户,只能手动同步。
LDAP服务器:用于选择需要同步得到域服务器。前面已经介绍过如何设置域认证服务器。
从以下远程目标同步:选择从AD域上的那个组织结构开始同步域用户。
导入OU的最大深度:用于设置导入OU的深度,从开始导入的OU算起,最多支持深度为15。
过滤参数:用于设置同步的过滤条件,根据域参数设置过滤条件。此处不填默认为不限制。
将远程目标导入到以下位置:用于设置此条域同步策略将域用户和组织结构同步到AC的哪个组,点击右边的下拉列表出现AC的组织结构,选择需要同步的的本地位置。
设置好策略,点击“提交”次策略设置保存成功,策略页面显示如下,点击“立即同步”,根据设置的策略立即同步。
按照AD域安全组同步
“按照AD域安全组同步”这种工作模式是按照AD域中的用户组group导入的,选择同步工作模式“按照安全组同步”后。出现以下配置界面:
设置基本和“按AD域组织结构同步相同”,不同的是“从以下远程目标同步”选择的是LDAP服务器的group用户组,按照组导入。 另外域安全组没有级别和嵌套的概念,所以选择按照域安全组同步后,同步到AC组织结构的用户都会属于同一个组里。
3.现在离成功还剩一步,新建认证策略,选择密码认证,并把认证上来的用户添加到“LDAP用户组”
注意:在这个过程中,出现过一种情况,用户上网时不弹出用户认证界面。经过排查是用户使用的DNS存在问题,其使用的是自己内网的DNS服务器,而且该服务器在禁止上网的列表中,最后将其排除后问题解决。
二、集成windows身份验证
配置集成windows 身份验证,启用成功后,内网用户登录到域并访问web 页面,即可登录到某公司设备。
1.启用集成windows 身份验证功能
登录sangfor 网关设备的控制台页面,点击左侧导航栏【用户与策略管理】---【用户认证】---【认证选项】 点击右侧“单点登录选项”AD 域;勾选“启用域单点登录”和“启用集成windows 身份验证”
2.配置windows身份验证
发表于 2016-10-28 09:01
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
