talent 发表于 2024-9-5 10:03
  
一起来学习,一起来学习
新手780102 发表于 2024-9-5 10:13
  
一起来学习,一起来学习
玫瑰花留香 发表于 2024-9-6 10:45
  

一起来学习 一起来学习
dhf 发表于 2024-9-8 12:46
  
感谢楼主的精彩分享,有助工作!!!
同网络下多AC认证托管替换方案
  

一叶三秋 5267

{{ttag.title}}
本帖最后由 一叶三秋 于 2024-3-18 11:17 编辑

项目背景:
客户侧新建大楼,这边新大楼加入现有网络结构中,计划用新增AC做802.1X认证,同时实现与老AC的联合,实现认证统一与审计一致性。

项目问题:
这边原先计划使用认证托管实现,但这边AC当初设计认证托管主要是针对portal认证方面,这边新增的旁路AC是802.1X认证,这边无法通过认证托管实现认证中心,当前存在具体问题:
1.出口AC做具体审计,旁路AC只是做新大楼的802.1X认证,老大楼和下面分点是通过出口AC的portal认证,这里首先存在认证各管各的情况,这里对客户运维压力增大,客户希望实现统一认证,对用户账号统一管理。
2.实际情况是新大楼在旁路AC上802.1X认证,这里还在出口AC上针对802.1X网段做不需要认证,但这里上线用户名是IP地址,这里会存在审计的不便性,出口AC查看日志只能看到IP地址,还需要在旁路AC上去查该IP地址对应用户名,这里希望做到跟旁路AC一样能直接看到802.1X用户员工的工号和名字信息,简化审计工作。

替换方案:
AC审计一致解决方式:
需解决痛点:
旁挂AC针对新大楼做了802.1X认证,出口AC针对802.1X网段做不需要认证方式,结果以用户ip地址为用户名上线,此时检索审计日志只能定位到用户ip,具体用户名需要再根据ip去旁挂AC去查用户名。
解决方式:
旁挂AC这里做认证转发,将旁挂AC上的802.1X认证用户上线信息转发给出口AC,此时出口AC可知这些用户已通过认证在线用户信息与旁挂AC一致,同时出口AC针对802.1X网段的不需要认证认证策略可取消,也解决这里二次认证问题。
解决步骤:
1. 旁挂AC做认证转发将802.1X与访客网段认证用户认证信息转发给出口AC
2.过段时间后将不需要认证认证策略禁用掉,尽量实现无缝切换

AC统一认证解决方法:
解决痛点:
这里两台AC都是本地用户,这里存在用户统一维护问题和认证
解决方式:
可通过由旁挂那台做两台中的LDAP域控,通过LDAP去做统一认证,或者今年客户侧建设微软AD域,让两台AC都对接AD域去解决
旁路AC充当LDAP域控解决步骤:
(1)旁路AC开启LDAP端口
(2)出口AC新增LDAP服务器
这里AC做LDAP采用OPEN LDAP类型,同时默认389端口最好更改成别的端口,否则若是[backcolor=rgba(255, 255, 255, 0.7)]添加LDAP服务器提示“当前LDAP服务器已存在相同的ip、端口...”,这里大概率是389端口已被占用,可换个端口解决,另外这里[backcolor=rgba(255, 255, 255, 0.7)]【管理员账号】那里需要填“cn=admin,ou=users,dc=sangfor,dc=com”,这里可去选择BaseDN了,若是报错可填写“sangfor.com”看看是否能够检索到组织架构
(3)注意修改LDAP服务器对应参数
[backcolor=rgba(255, 255, 255, 0.7)]在【同步配置】那里需要将[backcolor=rgba(255, 255, 255, 0.7)]用户属性那从“uid”,改选为“cn”,[backcolor=rgba(255, 255, 255, 0.7)]否则无法检索到用户,在用户认证界面报错”AD域用户不存在“
(4)针对用户有自助修改密码需求将出口AC除802.1X网段信息转发给旁路AC
这里实现将整个认证统一做在旁路AC上,这里之后整个用户信息运维都在旁路AC上完成,同时这里还需要考虑老大楼这些用户自助修改密码事项,这里是用户通过访问旁路AC的80端口进入用户个人中心修改密码,同时需要保证老大楼这些用户的上线认证信息在旁路AC上也存在,因为需要确保该在线用户在旁路AC上也是在线状态,此时旁路AC才会允许用户自助修改密码,所以这里还需要将出口AC的除802X认证网段认证信息转发给旁路AC。

最终效果:
1.在出口AC上802X认证网段信息通过深信服认证转发同步认证信息过来,可直接看到员工工号,简化审计,同时解决二次认证问题
2.老大楼及下面分点在出口AC都会认证匹配旁路AC这个LDAP上的用户信息进行验证账号有效性,这里验证旁路AC上修改密码,重新认证匹配的确实旁路AC的更新用户账号,解决需要运维多个AC上用户表问题,实现统一认证,和统一用户信息维护
3.老大楼这些用户能够自助修改密码,从原来访问出口AC80端口变成访问旁路AC80端口个人中心修改密码,验证无问题。

打赏鼓励作者,期待更多好文!

打赏
26人已打赏

发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
【 社区to talk】
干货满满
技术盲盒
技术笔记
产品连连看
新版本体验
技术咨询
标准化排查
信服课堂视频
每周精选
2023技术争霸赛专题
GIF动图学习
功能体验
技术晨报
云计算知识
自助服务平台操作指引
社区新周刊
技术圆桌
运维工具
用户认证
资源访问
玩转零信任
社区帮助指南
通用技术
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列

本版版主

147
113
49

发帖

粉丝

关注

121
313
351

发帖

粉丝

关注

7
19
6

发帖

粉丝

关注

5
6
7

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人