【2022争霸赛*干货满满】【天逸出品】【第廿六期】零信任联动AC，进阶的小技巧

这是一篇略有深度的技术方案，若各位能看懂，那代表你对产品的理解已经很深入了

首先 这是根据真实案例改编

拓扑如上，AC和ATRUST旁路部署，公司内部有业务资产

需求如下：

1、对于AC，首先所有用户需要做portal认证，本地创建的账号密码，然后向零信任开放LDAP接口

2、零信任对接AC的用户接口，做ldap认证，这样组织架构和账号密码都可以同步过来，不需要维护两套账号体系

3、所有的访问权限都通过零信任来把控，用户和公司服务器不能互通，不管是内网还是外网，都需要登录零信任，然后才能访问资源

4、用户是通过集体导入的，初始密码都一样，公司要求需，每个用户都需要改密码

那么问题来了，有一些在外地的员工，他们怎么去修改自己的密码呢？

是不是觉得，这有啥难的，大家不妨想一想怎么解，我先给各位分析一下：

第一、外网用户要改密码，肯定要访问的是AC的用户页面

如果直接把AC的这个页面作为资源发布出去，那就会出现这样一个问题，走AC认证的访问会被零信任代理过去，所有过去认证的地址都会是代理网关的地址，这个不能影响对内网用户的正常审计

第二、内网用户也是需要登录零信任的，一旦AC的认证地址被发布成资源，会影响内网用户认证时候的跳转

第三、AC是旁路部署，不支持通过1.1.1.3这个地址来登录，只能通过http://AC_IP来进行用户认证

再给个明显一点的提示：

AC的认证界面是一定要发布的，当用户在外网的时候，要能通过VPN登录到http://AC_IP这个页面

当用户在内网，正常上网被AC portal的时候，重定向到http://AC_IP，这部分流量不能经过VPN

我要公布答案啦

AC开放LDAP接口以及ATRUST对接，这里就不介绍了，参照第一期

主要是改密码的需求这里说一下：

首先AC上要配置用户认证策略

要配置两条，一个是针对内网用户的

第二条配置一个跟内网不冲突的网段，也做认证，这个地址段是分给零信任做虚拟IP池的

零信任上配置虚拟IP池

这里分享一个知识点

有两台代理网关做集群，虚拟IP池的路由不能指向集群地址

要网段分开指向设备真实地址才行

零信任发布AC的认证地址作为资源

这里有个小技巧

首先不能直接发布IP地址作为资源

要发布一个域名形式的资源给用户

然后配置域名劫持，让用户访问这个域名的时候，强制解析到AC的80端口上

这个骚操作是经过验证的，我登录零信任以后，可以通过访问这个域名来达到访问 认证界面的效果

而且，内网用户上网的时候被AC进行PORTAL到认证界面时候，是直接访问ip地址的，这部分流量零信任并不认为是在访问他的资源，所以不会进行干扰

通过这几项配置，就可以达到用户的需求，虽然看似很简单，但是如果能完全理解其中的数据流，那也说明你达到了资深水平了