#每日一记#AC结合第三方服务器AD域认证
  

এ塔铃独语别黄昏এ 918514人觉得有帮助

{{ttag.title}}
客户为一家合资企业。之前一直在使用我们的上网行为管理设备,由于设备老化,更新新设备。并且客户处需要结合自己的AD域来同步认证。实现最终效果为用户登录系统时使用域账号,进入系统后无需再次认证即可上网。
根据该需求,我们分两个大步骤来完成:
1.AC和域之间同步认证;
2.启用windows集成登录达到用户使用域账户登录操作系统,上网无需再次登录账号操作。

一、第三方域认证设置                                                                                                      
1.设置外部认证服务器
①在菜单中依次选择【用户与策略管理】---【用户认证】---【外部认证服务器】,然后选择新增,选择“LDAP服务器”


②选择LDAP服务器之后出现如下界面,根据要求填写相关信息





注:服务器名称:用来标识新建的LDAP服务器名称。
       服务器类型:LDAP服务器支持Microsoft Active Directory、SUN LDAP、OPEN LDAP等常见服务器,可以根据实际情 况选取相应的服务器。默认是Microsoft Active Directory服务器,即常见的AD域类型。
       IP地址:填写LDAP服务器的地址。
       认证端口:默认配置是389端口,如果与服务器修改过端口,请填写相应的端口。
       超时:默认配置是5秒,如果域用户较多,可以适当改大超时时间。
       域用户:请填写拥有读取域服务器用户权限的账号,一般填写管理员账户,格式为**istrator@domain.com
       用户密码:填写域用户账号对应的密码。 其他配置请保持默认值,点击“提交”保存配置。

2.域用户认证设置
①在控制台选择【用户与策略管理】---【用户管理】---【组/用户】中点击“新增”建立AD域用户组,在这里命名为“LDAP用户组”

②设置LDAP自同步
AD域同步目前只支持Microsoft Active Directory。同步的方式分为两类:“按AD域组织结构同步”和“按AD域安全组同步”,两种工作模式不能同时使用,选择一种工作模式,点击提交即可完成配置。

按组织结构同步
“按AD域组织结构同步”这种工作模式是按照AD域中的组织单元OU及其结构导入的,点击“新增”按钮,选择“LDAP同步”后,将出现以下配置界面:

注:同步工作模式:选择按照“AD域组织结构同步”还是按照“AD域安全组同步”。
       启用自动同步:用于设置是否自动同步,启用后,设备会在选定的时间和域同步用户。如果禁用,设备不会自动同步域用户,只能手动同步。
       LDAP服务器:用于选择需要同步得到域服务器。前面已经介绍过如何设置域认证服务器。
       从以下远程目标同步:选择从AD域上的那个组织结构开始同步域用户。
       导入OU的最大深度:用于设置导入OU的深度,从开始导入的OU算起,最多支持深度为15。
       过滤参数:用于设置同步的过滤条件,根据域参数设置过滤条件。此处不填默认为不限制。
       将远程目标导入到以下位置:用于设置此条域同步策略将域用户和组织结构同步到AC的哪个组,点击右边的下拉列表出现AC的组织结构,选择需要同步的的本地位置。

设置好策略,点击“提交”次策略设置保存成功,策略页面显示如下,点击“立即同步”,根据设置的策略立即同步。

按照AD域安全组同步
“按照AD域安全组同步”这种工作模式是按照AD域中的用户组group导入的,选择同步工作模式“按照安全组同步”后。出现以下配置界面:

设置基本和“按AD域组织结构同步相同”,不同的是“从以下远程目标同步”选择的是LDAP服务器的group用户组,按照组导入。 另外域安全组没有级别和嵌套的概念,所以选择按照域安全组同步后,同步到AC组织结构的用户都会属于同一个组里。

3.现在离成功还剩一步,新建认证策略,选择密码认证,并把认证上来的用户添加到“LDAP用户组”


注意:在这个过程中,出现过一种情况,用户上网时不弹出用户认证界面。经过排查是用户使用的DNS存在问题,其使用的是自己内网的DNS服务器,而且该服务器在禁止上网的列表中,最后将其排除后问题解决。

二、集成windows身份验证                                                                                             
配置集成windows 身份验证,启用成功后,内网用户登录到域并访问web 页面,即可登录到某公司设备。
1.启用集成windows 身份验证功能
登录sangfor 网关设备的控制台页面,点击左侧导航栏【用户与策略管理】---【用户认证】---【认证选项】 点击右侧“单点登录选项”AD 域;勾选“启用域单点登录”和“启用集成windows 身份验证”

2.配置windows身份验证

填写计算机名、域名、域DNS 服务器、域账号以及域账号密码;点击“测试有效性”,检测各个参数是否有效,测试通过之后点击“提交”;10s 之后会在右下方,弹出小喇叭并提示加入域成功。


3.修改认证策略
在控制台页面设置默认认证策略为“必须使用单点登录”,然后点击提交;


整个配置过程完毕。


三、下面来测试下效果                                                                                                      
1.使用域账号登陆pc,打开浏览器,访问外网(如新浪),若访问成功,则执行下一步;


2.打开控制台页面,依次点击【实时状态】---【在线用户管理】,查看是否有刚登陆的域账号上线以及上线时的认证方式是否为单点登陆。若在线用户里存在刚登陆的域用户同时认证方式为单点登陆,则说明集成windows 身份验证启用成功。

打赏鼓励作者,期待更多好文!

打赏
70人已打赏

平凡的小网工 发表于 2021-4-27 11:35
  
我在社区摸爬滚打这么多年,所谓阅人无数,就算没有见过猪走路,也总明白猪肉是啥味道的。一看到楼主的气势,我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别,你一定就是传说中的最强技术牛。
一个无趣的人 发表于 2021-4-30 18:59
  
多谢分析AC配置ladp的配置方法,学习了。
dhf 发表于 2021-6-23 07:52
  
感谢楼主的精彩分享,有助工作!!!
向上吧,少年 发表于 2021-6-23 20:02
  
每日一学,坚持打卡。
向上吧,少年 发表于 2021-6-23 20:05
  
每日一学,坚持打卡。
zjwshenxian 发表于 2021-6-25 22:51
  

感谢楼主的精彩分享,有助工作!!!
angelccn 发表于 2021-6-26 08:56
  
感谢分享,有助于工作,学习学习!!!
新手859359 发表于 2021-6-28 09:43
  
能给我发一下所有虚拟化设备的镜像地址吗
这娘们不是好人 发表于 2021-6-29 09:43
  
干了这么久了,一次AD域的场景没有遇到过
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
秒懂零信任
自助服务平台操作指引
新版本体验
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

147
108
49

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

七嘴八舌bar

本周分享达人

新手76619...

本周提问达人