#原创分享#通过安全组属性过滤微软AD域用户做认证
  

青岛至佳007 175571人觉得有帮助

{{ttag.title}}
首先我简单粗暴的说一下微软AD域上OU和安全组的区别:
OU类似于一个容器,域控上用户、安全组等等东东都是存放在这个容器里的,而且一个用户只能属于一个OU;
安全组类似于一个标签属性,是粘在用户身上的一个标签,一个用户可以有多个这样的标签,也就是说一个用户可以属于多个安全组。

上图是通过LDAP浏览器查看一个大型企业的组织结构,那么比如这个客户域上面有100个OU,每个OU中有100用户。需要拨入SSL-VPN的用户都分散在这100个OU里面,我们如果只是把所有域上的用户都导入到设备上就无法满足需求,而且很难大批量配置用户vpn接入权限。

这时候我们就可以借助于安全组的概念,让客户在域控上建立“VPN“接入安全组,并让所有需要有VPN权限的用户都加入这个安全组。这个操作对于域控来说很简单,并且也不需要改变组织结构。

然后我们配置LDAP认证服务器,搜索入口可以选到最大,因为我们后续会通过安全组属性过滤用户。
这样我们就只导入了带有指定安全组属性的用户到了SSL设备上。

后续也可以让客户在域控上根据权限创建多个安全组,让相应的用户加入。然后我们通过配置多个LDAP认证服务器根据不同安全组属性来过滤用户到SSL设备上的不同本地组,即可实现用户VPN接入后的权限分配。比如果域控上创建安全组A,我们就可以通过安全组A属性将用户过滤同步到vpn设备本地的组a,同理域控上创建安全组B,我们再通过安全组B将用户同步到vpn设备本地的组b,然后在设备上对a和b组分配不同的资源权限。

配置以后VPN权限问题就可以交给域控方面维护,分配权限只需要在域控上将用户加入到不同的安全组中即可,我们就不需要要去调整VPN设备了,因为设备都是根据不同安全组导入的用户。

打赏鼓励作者,期待更多好文!

打赏
17人已打赏

sangfor_1051 发表于 2020-9-28 19:19
  
感谢楼主的分享,将OU和安全组讲解得通俗易懂,一个用户只能属于一个OU,但是一个用户可以属于多个安全组,另外还提出了如果OU非常多的时候,可以通过安全组过滤的方式巧妙地导入用户到本地,非常值得学习,期待楼主下次分享:感恩:
Sangfor_闪电回_朱丽 发表于 2020-9-25 15:14
  
感谢楼主带来的干货分享,已将文章收录并放到社区技术博客中,以便让更多的用户关注和学习!

社区有奖征文活动【原创分享计划】已开启,赶快投稿,领S豆和现金包!具体内容要求和奖励规则请参考:
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=120679
头像被屏蔽
新手517842 发表于 2020-9-26 09:59
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手078326 发表于 2020-9-26 10:09
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手517842 发表于 2020-9-29 10:46
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手078326 发表于 2020-9-29 11:04
  
提示: 作者被禁止或删除 内容自动屏蔽
胡亚运 发表于 2020-9-30 09:03
  
感谢分享
新手170263 发表于 2020-9-30 09:27
  
感谢楼主的分享,将OU和安全组讲解得通俗易懂,一个用户只能属于一个OU,但是一个用户可以属于多个安全组,另外还提出了如果OU非常多的时候,可以通过安全组过滤的方式巧妙地导入用户到本地,非常值得学习,期待楼主下次分享
新手170263 发表于 2020-9-30 09:28
  
感谢楼主的分享,将OU和安全组讲解得通俗易懂,一个用户只能属于一个OU,但是一个用户可以属于多个安全组,另外还提出了如果OU非常多的时候,可以通过安全组过滤的方式巧妙地导入用户到本地,非常值得学习,期待楼主下次分享
发表新帖
热门标签
全部标签>
每日一问
新版本体验
产品连连看
安全效果
功能体验
标准化排查
GIF动图学习
【 社区to talk】
纪元平台
信服课堂视频
社区新周刊
安装部署配置
流量管理
畅聊IT
技术笔记
上网策略
每周精选
高手请过招
全能先锋系列
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
测试报告
日志审计
问题分析处理
每日一记
运维工具
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
排障笔记本
产品预警公告
玩转零信任
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
2023技术争霸赛专题
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
技术晨报
平台使用
技术盲盒
山东区技术晨报
文档捉虫
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
西北区每日一问
升级&主动服务
高频问题集锦
POC测试案例
云化安全能力
专家说
热门活动
产品动态
行业实践
产品解析
关键解决方案

本版达人