一、项目背景: 客户为一家合资企业。之前一直在使用我们的上网行为管理设备,由于设备老化,更新新设备。并且客户处需要结合自己的AD域来同步认证。实现最终效果为用户登录系统时使用域账号,进入系统后通过密码认证即可上网。 二、使用场景: AD域密码认证的应用场景: 企业结合外部服务器AD域对内网用户进行密码验证 三、配置步骤:
1. 首先需呀搭建一个AD域服务器,参考链接: https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=109011&highlight= 2. 在AD域服务器中点击用户和计算机,在cti.sangfor.com中创建AC目录,新增actestl.actest2,的用户取消用户下次登陆时需更改密码,创建登录密码
3. 然后进入AC上网行为管理中,配置外部认证服务器,在菜单中选择用户认证与管理,然后选择认证服务, 添加一个LDAP服务器,然后根据要求填写相关信息。 服务器名称:用来标识新建的LDAP服务器名称。 服务器类型:LDAP服务器支持Microsoft Active Directory、SUN LDAP、OPEN LDAP等常见服务器,可以根据实际情况选取相应的服务器。默认是Microsoft Active Directory服务器,即常见的AD域类型。 IP地址:填写LDAP服务器的地址。 认证端口:默认配置是389端口,如果与服务器修改过端口,请填写相应的端口。 超时:默认配置是5秒,如果域用户较多,可以适当改大超时时间。 用户密码:填写域用户账号对应的密码。 其他配置请保持默认值,点击“提交”保存配置。 4. 然后在AC上进行域用户设置,在用户管理里建立AD域用户组 5. 然后进行用户认证策略配置,使用AD域认证的方式,选择AD与服务器认证
四、验证结果:
1.使用登陆pc,打开浏览器,访问外网(如新浪),若访问成功,则执行下一步;
2.打开控制台页面,依次点击【实时状态】---【在线用户管理】,查看是否有刚登陆的域账号上线以及上线的认证方式是否为单点登陆。若在线用户里存在刚登陆的域用户同时认证方式为单点登陆,则说明集成windows 身份验证启用成功。 四、注意事项: 1.在配置外部认证服务器管理员账户和密码时建议点击-【测试有效性】,确保可用的。 2.客户端打开网页弹出认证页面,如果是打开域名的链接,则需要能解析域名,且打开的是http 的URL;
3. 如果需要打开https的URL也要跳转到认证页面,需要在认证选项处勾选下图上的选项:
|