#原创分享# SG双机环境实现脚本单点登录

【背景】

客户有两台SG做了双机（主主）部署，现在需要把认证方式改成脚本方式单点登录认证

【操作步骤】

1. 首先在 用户认证与管理-用户认证-外部认证服务器-新增-LDAP服务器 中把域服务器对接上

2. 在 用户认证与管理-用户认证-单点登录-微软AD域中，勾选单点登录，并勾选第一个 通过域自动下发执行登录脚本 ，并填上共享密钥

3. 点击 下载域单点登录程序，下载一个压缩文件，待使用

4. 新增一条认证策略，由于是测试用，建议只添加一个主机IP地址

5. 认证方式选单点登录，登陆失败后选密码认证，也填上域服务器，意思是如果单点登录不成功，就需要自己手动输入域帐号密码

6. 认证后把用户放进可上网组里面，用户组权限可在上网策略里配置，本例不作详细介绍

7. 登陆到域服务器，开始-运行-输入gpmc.msc 打开组策略管理，右击域默认策略，选择编辑（由于是实验环境可直接编辑域全局GPO，在实际环境中按需要在OU里新建GPO）

8. 在用户配置-windows设置-脚本-登录 中点击 显示文件，会弹出一个文件夹

9. 打开步骤三的文件，在图中目录下可以看到三个文件，把 logon.exe  sinforIP 复制进文件夹里

10. 用记事本打开里面的sinfor文件，按下图编辑里面的内容，保存关闭

11. 回到登录属性窗口，点击浏览，选择logon.exe，参数为空（当参数为空自动读写sinfor文件配置）

12. 按上述方法把logff.exe脚本也添加上

14. 一切完成之后，在域服务器里 开始-运行-cmd ，输入 gpupdate /force  强制更新策略

15. 然后在客户终端也执行同样的操作后， 再输入 rsop.msc 查看策略是否有同步上，如图显示则已经同步

14. 把终端电脑注销，重新用域帐号登录，在在线用户里已经可以看到登陆成功了，完成

您好，感谢您参与社区原创分享计划5，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

感谢楼主分享，这个场景的重点就是sinforIP要配置多台ACIP，重点抓住了，很棒

重点突出，有条理

看完之后，学到东西很开心

写的很好，楼主真棒

感谢楼主分享

学习到了

向楼主学习，以后写分享也要写的详细

写的详细，易读懂