单点登录之权限变动

        近期，有客户反馈一个现象 许多用户的权限反复变动 导致上网异常 。AC上发现异常时，用户都是使用公共域账户登录的，这个账户是匹配的默认策略，禁止上网。

首先，咱们梳理下环境

【客户环境】

网络：AC路由模式主备部署出口，下联防火墙及交换机

认证：采用与联动AD域的单点登录方式（域脚本及域监控）

公共账户使用场景：域控管理、邮箱登录

【排查步骤】

根据这些信息，我们可以判断应该是公共账户使用场景使用时，某个机制导致用户以该用户上线。这个时候需要结合日志中心查看，发现异常用户上线时，都是单点登录上线的。

跟用户确认，反馈基本上这些用户，都会使用公共账号去登录邮箱。然后查看AD域的登录日志，并通过测试，发现用户登录公共邮箱时，会产生域用户登录日志，AC的域监控检测到该日志，便会将该IP以该用户上线，导致权限更

替。

【解决办法】

找到问题后，通过配置用户绑定，将公共账户绑定在不存在的IP上。这个时候，即使域监控检测到登录日志，但是因为跟绑定关系不匹配，终端不会使用公共账户进行上线。

学习学习

楼主的文章图文并茂，清晰易懂，看完这波操作可以轻松上手了，如遇到问题再向楼主请教~