|
vSSL7.6.8R2对接正方CAS门户 背景: 某高职学校部署了正方统一门户网站,采用cas认证方式。现需要部署ssl vpn部署webvpn对接正方门户网站实现学校师生无感知vpn方案。
实施前准备: 2、需要客户准备一个域名类似“webvpn.xxx.edu.cn”用于vpn接入使用,同时需要在域名服务提供商设置“webvpn.xxx.edu.cn”的A记录以及“*.webvpn.xxx.edu.cn”的泛域名A记录,若内网有DNS服务器同样需要设置。 3、出口IP端口映射,注意默认端口443和8118均需要映射。 4、客户准备一个webvpn对应域名的受信泛域名证书,测试可开启【http透明代理】。 5、cas平台的CASLoginURL、CASlogoutURL、CASCalidateURL认证url参数和相关对接文档。
6、与cas服务器网络可达。 实施过程: #VPN设备基础配置不再累述# #VPN设备基础配置不再累述# 1、 在VPN控制台【系统设置】-【SSLVPN选项】-【系统选项】-【资源服务项】-【web应用】中填写WEB泛域名,默认端口为8118。若没用受信泛域名证书需要勾选上【启用HTTP透明代理访问】。 2、 在vpn控制台创建【第三方认证】-【cas票据】 根据客户提供的cas对接URL填入。注意:若客户不希望 cas门户直接映射在公网上,需要在【是否代理cas服务器地址】选择【是】。由vpn设备进行反向代理。 3、 在正方CAS平台上将vpn添加至应用列表。 【应用访问IP】填写webvpn所使用的域名; ##注意:应用访问IP可以填写IP或者URL,但千万不要加上HTTP或者HTTPS; 【应用访问端口】填写webvpn映射在公网的接入端口默认为443; 【接入方式】选择【CAS client】; 【接入地址】和【业务系统退出地址】填写webvpn的URL即可; 【返回属性】选择【用户唯一标识(用户名)】即可。 4、 设置门户跳转 在设备控制台【系统设置】-【SSLVPN选项】-【主题管理】-【登录策略】中新建策略 【访问地址】填写webvpn接入地址,若出口设备映射的端口更改了,也需要加上映射的端口号; 【适用对象】选择对应的用户组即可; 【门户类别】选择【第三方门户】; 【认证类型】选择【CAS票据认证】; 【免客户端模式】选择【启用】。 5、 打开浏览器打开webvpn测试,可以正常调整到正方的CAS门户网站。 6、 CAS帐号权限划分 正方门户网站内置了两个角色权限(正方没用用户组的概念),分别对应【教师】和【学生】两个权限。Webvpn同样需要根据正方的角色划分实现教师和学生的不同角色权限。 根据正方提供的对接文档(见附件)中存在一些认证数据字段(见下图),但没有具体的返回值和相关说明,故我们需要在设备上抓包确认数据字段和返回值。 和客户达成一致后,分别开设一个教师和学生权限的cas帐号用于测试。在VPN设备上抓包,并在webvpn跳转的门户网站进行登陆测试。 抓包结果如下: 1) 成功捕获cas认证的数据报文。 2) 右键追踪认证数据包tcp流,发现正方Cas认证报文存在“user”、“DWMC”、“CODE”、“YHLX”、“DWH”、“XM”等字段。以同样的方法抓去“学生”权限帐号的认证数据流,发现“YHLX”字段不同。学生字段标识符为2,教师字段标识符为1。 3) 在VPN设备中的【cas票据认证设置】中尝试将【YHLX】字段加入接受字段配置中,并且在【组映射】中添加对应【返回值】和vpn设备【本地用户组】的映射关系。 7、 权限测试 在【资源】中任意添加一个测试资源,并创建两个角色【学生】和【教师】并关联给对应的【本地用户组】。 最终测试结果:根据【YHLX】划分的组映射关系能够正常区分【学生】和【教师】两个用户组的权限,和正方对应的角色关系一致。 至此,SSL VPN设备和正方的cas对接完成。 附件: | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-5-6 08:59
技术员2级 
