同网络下多AC认证托管替换方案
  

一叶三秋 5427

{{ttag.title}}
本帖最后由 一叶三秋 于 2024-3-18 11:17 编辑

项目背景:
客户侧新建大楼,这边新大楼加入现有网络结构中,计划用新增AC做802.1X认证,同时实现与老AC的联合,实现认证统一与审计一致性。

项目问题:
这边原先计划使用认证托管实现,但这边AC当初设计认证托管主要是针对portal认证方面,这边新增的旁路AC是802.1X认证,这边无法通过认证托管实现认证中心,当前存在具体问题:
1.出口AC做具体审计,旁路AC只是做新大楼的802.1X认证,老大楼和下面分点是通过出口AC的portal认证,这里首先存在认证各管各的情况,这里对客户运维压力增大,客户希望实现统一认证,对用户账号统一管理。
2.实际情况是新大楼在旁路AC上802.1X认证,这里还在出口AC上针对802.1X网段做不需要认证,但这里上线用户名是IP地址,这里会存在审计的不便性,出口AC查看日志只能看到IP地址,还需要在旁路AC上去查该IP地址对应用户名,这里希望做到跟旁路AC一样能直接看到802.1X用户员工的工号和名字信息,简化审计工作。

替换方案:
AC审计一致解决方式:
需解决痛点:
旁挂AC针对新大楼做了802.1X认证,出口AC针对802.1X网段做不需要认证方式,结果以用户ip地址为用户名上线,此时检索审计日志只能定位到用户ip,具体用户名需要再根据ip去旁挂AC去查用户名。
解决方式:
旁挂AC这里做认证转发,将旁挂AC上的802.1X认证用户上线信息转发给出口AC,此时出口AC可知这些用户已通过认证在线用户信息与旁挂AC一致,同时出口AC针对802.1X网段的不需要认证认证策略可取消,也解决这里二次认证问题。
解决步骤:
1. 旁挂AC做认证转发将802.1X与访客网段认证用户认证信息转发给出口AC
2.过段时间后将不需要认证认证策略禁用掉,尽量实现无缝切换

AC统一认证解决方法:
解决痛点:
这里两台AC都是本地用户,这里存在用户统一维护问题和认证
解决方式:
可通过由旁挂那台做两台中的LDAP域控,通过LDAP去做统一认证,或者今年客户侧建设微软AD域,让两台AC都对接AD域去解决
旁路AC充当LDAP域控解决步骤:
(1)旁路AC开启LDAP端口
(2)出口AC新增LDAP服务器
这里AC做LDAP采用OPEN LDAP类型,同时默认389端口最好更改成别的端口,否则若是[backcolor=rgba(255, 255, 255, 0.7)]添加LDAP服务器提示“当前LDAP服务器已存在相同的ip、端口...”,这里大概率是389端口已被占用,可换个端口解决,另外这里[backcolor=rgba(255, 255, 255, 0.7)]【管理员账号】那里需要填“cn=admin,ou=users,dc=sangfor,dc=com”,这里可去选择BaseDN了,若是报错可填写“sangfor.com”看看是否能够检索到组织架构
(3)注意修改LDAP服务器对应参数
[backcolor=rgba(255, 255, 255, 0.7)]在【同步配置】那里需要将[backcolor=rgba(255, 255, 255, 0.7)]用户属性那从“uid”,改选为“cn”,[backcolor=rgba(255, 255, 255, 0.7)]否则无法检索到用户,在用户认证界面报错”AD域用户不存在“
(4)针对用户有自助修改密码需求将出口AC除802.1X网段信息转发给旁路AC
这里实现将整个认证统一做在旁路AC上,这里之后整个用户信息运维都在旁路AC上完成,同时这里还需要考虑老大楼这些用户自助修改密码事项,这里是用户通过访问旁路AC的80端口进入用户个人中心修改密码,同时需要保证老大楼这些用户的上线认证信息在旁路AC上也存在,因为需要确保该在线用户在旁路AC上也是在线状态,此时旁路AC才会允许用户自助修改密码,所以这里还需要将出口AC的除802X认证网段认证信息转发给旁路AC。

最终效果:
1.在出口AC上802X认证网段信息通过深信服认证转发同步认证信息过来,可直接看到员工工号,简化审计,同时解决二次认证问题
2.老大楼及下面分点在出口AC都会认证匹配旁路AC这个LDAP上的用户信息进行验证账号有效性,这里验证旁路AC上修改密码,重新认证匹配的确实旁路AC的更新用户账号,解决需要运维多个AC上用户表问题,实现统一认证,和统一用户信息维护
3.老大楼这些用户能够自助修改密码,从原来访问出口AC80端口变成访问旁路AC80端口个人中心修改密码,验证无问题。

打赏鼓励作者,期待更多好文!

打赏
26人已打赏

何茂源 发表于 2024-3-18 21:22
  
感谢分享,有助于工资和学习!
嘀嘀柠柠 发表于 2024-3-18 23:34
  
每天坚持打卡学习签到!!
科思哲 发表于 2024-3-19 08:09
  

每天坚持打卡学习签到!!
Tough_future 发表于 2024-3-19 09:22
  
感谢分享,有助于工资和学习!
何茂源 发表于 2024-3-19 10:47
  
感谢分享,有助于工资和学习!
何东升 发表于 2024-3-19 10:51
  
感谢分享,有助于工资和学习!
一个无趣的人 发表于 2024-3-19 15:06
  
感谢分享,有助于工作, 期待更多的分享。
平凡的小网工 发表于 2024-3-19 15:09
  
图文结合,有助于工作。
嘀嘀柠柠 发表于 2024-3-19 21:56
  
每天坚持打卡学习签到!!
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

147
113
49

发帖

粉丝

关注

121
315
352

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人