XX学院多校区统一认证方案

只看该作者 · 发表于 2020-10-21 21:48

第1章需求背景
XX职业学院，选择我司的AC做认证，主要是因为信锐和某公司设备能够搭配联调，前期方案沟通提到无线和有线用户认证统一，用户账号数据统一审计等。

项目实施阶段我们提供各种统一认证的方案，一开始无线控制器提供radius服务，上网行为管理（AC）radius服务做账号认证，不过客户不认可，因为客户是使用手机号码或者学号做账号，真实名字是备注，所以效果就是某公司的在线用户中只有手机号码或者学号，不显示真实姓名，用外置radius无法满足这一需求；第二次方案是AC提供radius服务，无线控制器对接radius服务做账号认证，虽然满足了AC的在线用户能显示出真实姓名，不过却不能满足客户对无线用户对用户组做角色授权策略。就是无法知道用户的组织架构。

为了解决组织架构的问题，AD域应该是一个比较好的解决办法，一开始的想法是让客户自己做一个LDAP服务器， AC和WAC都进行对接；但是客户自己不会搭建LDAP服务器，后来想到AC的认证中心，认证中心3.0版本能提供LDAP服务，恰好客户有台AC空闲就转换成了认证模式。

XX学院包含西校区和东校区，拓扑结构相同，都是防火墙（AF）———上网行为管理（AC）———核心交换机的结构。在核心旁挂了无线控制器（WAC）和AC认证中心。

之前的认证方式，是在主校区的AC上建立有线认证，WAC做无线认证，用户名单包含在AC上，东校区同样的使用方式。

现更换认证需求：用户有线认证通过AC设备，无线认证通过WAC设备，客户最终想实现两个校区四台认证设备独立，并且共同维护同一份用户名单信息。简化后期名单的运维难度。

第2章适用场景
2.1硬件设备需求
存在多台某公司设备（或不同厂商设备）需要同时做认证策略，并且需要独立分配一台AC（版本在12.0.18及以上）当做统一认证中心。

2.2部署方式
独立AC采用认证中心模式部署，认证中心版本为V3.0，对应AC版本为12.0.18及以上，同时更新了LDAP服务的功能，可以充当LDAP服务器使用。

西校区和东校区的AC都是透明模式串在网络中，版本要求在12.0.18及以上，方便和认证中心对接。
西校区和东校区的AF是网关模式部署，同时在设备间建立sangfor vpn隧道，实现东西校区设备之间的互访。

方案优势：
1.有线和无线实现统一认证，方便日常运维，学生上网体验好
2.用户名保留学号/手机号，方便学生登陆，同时通过LDAP可以获取用户备注，管理员可以定位到具体使用人员，方便溯源
3.避免了学校运维不会搭建LDAP服务器的问题，方案容易推行
部署指导
2.3部署场景
2.3.1网络拓扑

以上为XX学院环境拓扑结构，每个校区都有自己独立的地址规划，互不冲突。包含无线网段、机房网段、设备网段和办公网段。东校区设备通过VPN隧道和主校区建立连接。两个校区都部署了无线控制器，采取了旁挂的方式，无线流量转发为本地转发，上网行为管理串联在主干道，对所有的数据进行审计。
有线和无线用户都需要进行上网认证-账号认证。通过统一认证中心提供LDAP服务器，AC和无线控制器对接后读取用户架构，让在线用户能实现用户名和组织有线和无线平台同步。

2.3.2部署要求
AC认证中心版本在12.0.18及以上。
对接的AC版本在12.0.18及以上。
2.4防火墙配置
2.4.1西校区AF
网络配置：

Sangfor VPN总部配置：

【基本配置】——【主webagent】填写eth5的公网地址

在【用户管理】里面新增，对端是sangfor硬件设备

配置【VPN接口设置】，添加内网接口

添加【本地子网列表】

（因为是设备之间对接，所以不需要配置虚拟ip池）
2.4.2东校区AF
网络配置：

Sangfor VPN分支配置：
配置【连接管理】，填写总部的webagent地址和总部新增的账号

配置【VPN接口接口设置】，添加内网接口

2.5AC网桥模式配置
2.5.1网络配置
网桥模式：

路由信息：

2.5.2LDAP认证设置
完成上述配置后，需要配置认证服务器，有认证中心充当LDAP服务器。
【用户认证与管理】——【用户认证】——【认证服务器】——【新增】——【LDAP服务器】

【服务器类型】——【Open LDAP】

填写服务器的ip地址，管理员格式要cn=admin,ou=users,dc=sangfor,dc=com；密码为admin密码，可以在BaseDN上看到组结构。用户属性注意要选择cn
PS:这里的管理员格式一定要使用上述格式，用户属性要改为cn,默认为uid，如果使用其他格式，会有对接不成功的问题（现场实测）

2.5.3东校区配置
东校区AC网络环境试情况进行配置；LDAP配置和西校区保持一致即可。

2.6WAC配置
2.6.1 网络配置
因为对信锐设备配置不熟悉，所以基本网络配置略。
2.6.2 LDAP配置
在【认证授权】——【外部服务器】——【新增】——【LDAP服务器】

服务器类型选择Open Ldap、ip地址是提供ldap服务的设备地址、管理员DN：cn=admin,ou=users,
dc=sangfor,dc=com、密码为admin密码、注意用户属性为cn、过滤条件要和AC默认填写的一致，这里强调下，WAC默认的过滤条件无法查询不到组用户，需要用AC的过滤条件，复制即可。
(|(objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domainDNS)(objectClass=container))

在【接入点配置】——【无线网络】中，新增无线网络，【账号认证】——【主认证服务器】选择刚才配置的ldap服务器，这样就可以实现通过ldap服务器进行用户认证上线。

东校区和西校区认证方式相同，所以在ldap服务器配置上完全一致即可。
2.7认证中心配置
2.7.1网络配置
需要先将AC更改为认证模式，单臂部署即可，并配置相应的网络地址和默认路由。

在【用户认证与管理】——【认证高级选项】——【开通LDAP服务端口】——【启用】该服务即可将本地的组织结构以域用户的形式进行认证。端口和根域名使用默认即可。

2.8效果验证

西校区AC可以正常查询到用户信息

东校区AC可以正常查询到用户信息，并且用户信息一致。

WAC可以获取服务器的组织结构，以域用户的身份上线，并匹配组结构。

2.9认证过程抓包分析
2.9.1有线认证成功失败分析
前面说到，WAC默认的过滤条件无法获取组用户，可以通过抓包验证。
让成功认证的有线LDAP报文和认证失败的无线LDAP报文经过对比发现，用户属性和过滤条件有很大的不同，经过查证某公司AC上对接使用的默认过滤条件是(|(objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domainDNS)(objectClass=container))

2.9.2无线认证成功失败分析
经过修改用户属性和过滤条件后，无线用户认证成功，给出失败和成功的报文对比

第3章注意事项

a)AC认证中心是独立的模式，只有在12.0.18及以上版本的认证中心（v3.0）才支持充当LDAP服务器。
b)Sangfor vpn建立不需要授权，可以实现两个校区的网络互访，但是要求网段不能冲突。
c)WAC不能获取到域用户，但是可以以域用的身份进行上线认证。
d)如果无线服务器对接成功，但是用户并没有匹配到域结构的时候，检查认证服务器的配置，用户属性和过滤条件是否更改。
e)AC如果同时包含本地用户和域用户，那会优先显示已本地用户上线，如果本地不存在才会匹配域用户。