在ldap环境下实现VPN的短信认证
  

山东_曹永闯 2475

{{ttag.title}}



1.背景:客户使用VPN(7.6.8R2)访问内部业务系统,配置ldap服务器认证,现在想增加辅助认证(短信认证)。客户ldap服务器没有mobile字段。所以需要进行一定配置
2.短信平台为客户自建仅提供相关参数
短信参数如下:

短信平台地址为:http://X.X.X.X:8686/Home/msgSendPhone?pswd=短信平台秘钥&account=系统标识&tsCode=MD5(系统标识+短信平台秘钥+手机号)&phone=1xxxxxxxxxx&content=【签名】内容。17202499 这是秘钥,VPN(大写)是系统标识

注:短信平台秘钥请提供调用系统ip地址,MD5加密为32位小写,请求为get,认证成功回复 result “0”

3.配置短信平台,在认证设置--辅助认证--第三方辅助认证(这里不选默认的短信配置,不够灵活),新增http(s)验证码认证填写对应参数,请注意,里面的md5加密的时候要调整好顺序。

平台说明:sms_content {{config.sms_content}} 短信内容

md5 {{md5:data}} 对模板变量(参考表 1)计算 md5 值。如:{{md5:user.user_pwd}}计算用户密码的 md5 值。

env env.data 高级模式中脚本定义或响应解析配置中自定义的说明:a data  支持的参数为 自 定义的变量

更多说明参考相关手册,

配置完成后,测试短信,发送成功,进入下一步,如果不成功和短信平台沟通,对比参数填写,此处有两个地方需要注意,1.md5加密顺序,2.短信平台需要将VPN的接口IP加入到信任或者对应位置,如果是集群则都加。

3.响应配置也要配置,本次未截图,认证成功回复 result “0”


4.新建本地用户组,用于后续同步


5.新建ldap服务器,找客户获取ldap服务器地址,管理员账号(至少拥有读权限的账号),此处配置了角色映射,后面同步到设备的用户组无需关联对应角色


因为客户的ldap服务器没有填写手机号,此处需要将ldap用户同步到VPN设备,在VPN设备上面绑定手机号,在


6.调整用户组,同时开启用户组的短信认证



7.因为用户ldap没有手机信息,同时设备也没有手机记录,所以需要开启允许手机自定绑定


8.用户登录后,会在完成用户名密码认证后,弹出绑定手机号界面,绑定效果如下



9.验证正常,仅供大家参考思路。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
技术盲盒
每日一问
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
产品连连看
2023技术争霸赛专题
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人