【问题描述】 某客户的需求:结合AD域做外部认证,要求用户输入AD域中的用户名和密码进行认证后才能上网。 客户已做操作:在防火墙配置了认证策略,配置了LDAP外部认证服务器,LDAP同步 故障点:用户还是可以进行上网,无法进行认证页面的跳转(随后排障后跳转到防火墙1.1.1.3地址,页面报错)
【故障现象】 故障点:用户还是可以进行上网,无法进行认证页面的跳转(随后排障后跳转到防火墙1.1.1.3地址,页面报错)
【处理排查过程】 1.检查客户LDAP服务器配置,测试有效性,测试成功,能够Ping通LDAP服务器。核查认证策略,发现未勾选认证区域。 2.用内网pc进行上网触发认证,发现能够正常上网,并无认证界面弹出 此时客户告知自己已经将AD域中的用户全部导入到防火墙的用户组中,而结合AD域做用户认证,只有用户认证通过之后才会将用户加入本地用户组中,提前导入之后导致用户不需要认证,将测试机从本地用户中剔除,再次上网跳转到 http://1.1.1.3地址,但是浏览器提示该地址不存在。
3.检查用户认证的认证选项,发现勾选了web单点登录,web认证服务器的地址为1.1.1.3,启动该功能后,内网用户登录web认证服务器的经过此设备的数据包或者是不经过但做了镜像的数据包会跳转到此设置中web认证服务器的地址,该客户内网并没有web认证服务器,故浏览器会显示该地址不存在。取消web单点登录后,用户认证界面跳转正常。
【故障分析结论】 用户认证策略未勾选认证区域导致用户认证不生效,内网未有web认证服务器但勾选了web单点登录,用户认证会跳转到web认证服务器的页面,导致页面跳转地址不正确
【解决方案】 核查内网环境,梳理用户认证的过程以及实现方法,核查配置是否有误,即可解决大部分的认证故障。
【建议与总结】 1、结合外部认证服务器做认证时要求防火墙能够与外部认证服务器能够正常通信,需要配置相应的认证策略,认证策略只有勾选相应的认证区域,否则认证策略不生效。 2、内网环境没有web认证服务器时不需要勾选web单点登录,直接通过防火墙做认证即可。 AD域也可以和防火墙进行LDAP自动同步。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-10-22 04:05
工程师2级 
