本帖最后由 赵志年 于 2022-7-11 21:35 编辑
项目要求:1.在虚拟化平台安装aTrust2.1.12控制中心sdpc1台,以及proxy代理网关2台,升级2.1.12到2.2.4 2.对接客户的LDAP服务器,CAS统一认证。 3.测试全网段隧道应用,部分web应用,发布虚拟ip测试公网ip。 实施流程: 一. 设备安装: 1.安装atrust2.1.12到vm平台
sftp 的默认账号为 quicksftp,默认密码 SangforSDP@1220(若 admin 账号有更改, 该密码也会联动更改为 admin 密码加@sdp) 利用winscp登陆sftp用户上传升级包到/upload/目录下
再用quickstart用户登陆到设备另一个账号,默认密码 SangforSDP@1220,登录后,输入命令atrust_uctl upgrade后再次输入quickstart的密码以查看和选择 升级包,然后输入数字序号1选择好升级包后,按Y回车升级。
升级完成后在后台输入命令aTrust_uctl appversion或在前台Web界面可以查 看当前版本。 附件:1.升级指导,2.软件 [url=]深信服产品线零信任aTrust新版本 ...[/url] [url=]WinSCP.zip[/url] 2.后台升级2.1.2到2.2.4,并打上对应的补丁包(联系400获取,在web界面安装),配置授权 3.配置设备管理ip,业务ip,默认路由以及明细路由 4.将proxy组件集群,对接sdpc。 代理网关Prxoy需要加入到控制中心sdpc才能正常工作,具体联动配置如下: 步骤1.首先在控制中心获取密钥,用于在代理网关中填写。 1. 打开浏览器输入之前填写的接入地址,登录控制中心管理页面。在[系统管理/代理网关管理]中,点击密钥设置
2.点击查看密钥
3.输入当前登录管理员的密码,点击确定即可看到密钥。 4.复制保存当前密钥,准备步骤3使用。注意:该密钥每1个小时会自动更新。 步骤2.登录代理网关,验证代理网关到控制中心的连通性。 在浏览器中输入代理网关IP端口https://proxyIP:4433,输入默认账号密码admin/SangforSDP@1220登录进去,然后在[系统管理/系统运维/webconsole]的控制台中使用telnet命令进行验证。若显示connected to IP则说明已连接。
步骤3.然后在[系统管理/本机管理]页面,点击<加入控制中心>。
步骤4.填写本机名称和控制中心地址。
步骤5.上一步配置后即开始连接控制中心,连接成功后,等待控制中心审批。
步骤6.登录控制中心地址,在[系统管理/代理网关/区域管理]中点击< +>添加区域。 步骤7.在局域网访问地址中填写内网代理网关地址和端口:porxyIP:441。 步骤8.配置后点击立即激活 步骤9.在对话框中,选择所需的分区,点击保存。 步骤10.如下已将代理网关加入控制中心 配置接入地址,若是映射就填写公网地址或域名,未映射就填写私网地址。 需要映射SDPC的443端口,proxy的集群地址的443,441端口。 注:附各端口的作用
至此,服务端网络部分已基本部署好,后续进行策略配置以及认证源配置。
二. LDAP对接 1.用telnet测试sdpc到LDAP地址的389端口是否连接成功。 2.创建LDAP的用户组,添加LDAP服务器,以及关联新建的LADP的用户组。 | 字段信息 | | | | | | | 协议支持ldap、ldaps两种(即不加密和加密两种协议),对接LDAP服务器此处选择ldap。 | | | | | | 选择路径前,点击<联通性测试>检测aTrust与LADP服务器的网络联通性,是否正常。此处需选定搜索LDAP服务器的路径,根据实际情况填写,可直接选择根路径,即/。此处选择路径为contoso.com |
3.完成LDAP用户目录配置,新增LDAP服务器关联刚才的LDAP用户。
4导入LADP用户,测试验证利用LDAP用户登陆
三. CAS对接 CAS原理:第一步】终端第一次访问CAS—Client1,AuthenticationFilter会截获此请求:1、首先,检测本地Session没有缓存有用户信息;2、然后,检测到请求信息中没有ST;3、所以,CAS—Client1将请求重定向到CAS—Server,并传递 Service (也就是要访问的目的资源地址,以便登录成功过后转回该地址),例:【https://cas:8443/cas/login?service=http0%3A8081%2F】 【第二步】终端第一次访问CAS—Server:1、CAS—Server检测到请求信息中没有TGC,所以跳转到自己的登录页;2、终端输入用户名、密码登录CAS—Server,认证成功后,CAS—Server会生成登录票据—TGT(集成了用户信息与ST),并随机生成一个服务票据—ST与CAS会话标识—TGC。TGT实际上就是Session,而TGC就是这标识这个Session存到Cookie中的SessionID;ST即,根据Service生成Ticket。3、然后,CAS—Server会将Ticket加在url 后面,然后将请求redirect 回客户web 应用,例如URL为【http://192.168.1.90:8081/web1/?ticket=ST-5-Sx6eyvj7cPPCfn0pMZ】 【第三步】这时,终端携带ticket再次请求CAS—Client1:1、这时客户端的AuthenticationFilter看到ticket 参数后,会跳过,由其后面的TicketValidationFilter 处理;2、TicketValidationFilter 会利用httpclient工具访问cas 服务的/serviceValidate 接口, 将ticket 、service 都传到此接口,由此接口验证ticket 的有效性,即向CAS—Server验证ST的有效性。3、TicketValidationFilter如果得到验证成功的消息,就会把用户信息写入web 应用的session里。至此为止,SSO 会话就建立起来了。
1.获取CAS登陆地址,注销地址,接口地址文档,并让用户在CAS后台放通sdpc的接口地址白名单 | 信息 | | | 一般CAS登录地址的格式为:https://testids.XXXXX.edu.cn/authserver/login | | 注销地址的格式为:https://testids.XXX.cn/authserver/logout | | 根据章节4.2.1.2接口文档我们可知认证接口地址的格式为:https://testids.XXX.cn/authserver/serviceValidate |
管理员进入[系统管理/特性中心]选择[CAS票据认证]点击<启用>开启CAS认证功能。 2.测试SDPC和CAS的地址端口是否互通。 3.创建添加CAS服务器,并关联LDAP用户,填写正确的字段 4.让CAS工程是将设备的代理网关集群映射公网地址在CAS服务端加白(若是不加白会提示无法访问) 5.用CAS测试是否正常跳转登陆。
四.发布隧道资源 步骤1.管理员进入[业务管理/应用管理/应用列表]点击<新增>配置隧道模式资源,可支持泛域名。
步骤2.应用授权,需要将相关应用授权给对应的用户或组织架构
增加应用防护增强功能,进入应用防护策略配置页面,选择指定生效的用户和应用
注意:全网隧道资源需要排除2.0.0.1,2.0.0.4(虚拟ip地址),SDPC和PROXY的内网地址,公网地址,198.18.0.0/16段。
有问题后续再更改,内容太多没有整理完全 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-7-18 19:21
工程师1级 