#原创分享#使用SSL7.6.8完成对接第三方统一身份认证以及WEBVPN
  

汤汤啊 74674人觉得有帮助

{{ttag.title}}

SSLVPN7.6.8对接第三方统一身份认证以及WEBVPN体验

              

项目背景

       山东某大学,采购了金智统一身份认证,为了实现通过单点登录统一身份认证,采购了一台深信服SSLVPN设备,并使用最新版本的WEBVPN实现无客户端无插件的登录,真正做到无感知体验。

实施前准备

1.因为是对接第三方CAS,需要金智提供平台的登录地址、登出地址以及验证接口地址

2.SSLVPN升级到最新版,7.6.8

3.因为要单点登录知网,所以要启用泛域名映射,要学校申请一个泛域名,将A记录指给VPN的地址,泛域名格式基本为*.xx.xx

实施中

      第一步,肯定是配置部署模式,在这里一般来说应该使用单臂模式即可,但是学校环境特殊,使用网关模式部署,如使用单臂模式,则前端设备需要放通443,80,8118端口,80和443端口用于VPN接入,8118端口则为放通泛域名解析使用(如果开启http透明代理,需要放通)泛域名格式为在DNS域名服务商处填写的,如何申请,看这个地址http://bbs.sangfor.com.cn/plugin ... wdatabase&tid=80535

               64455df212f53cdd8.png 988195df214069d361.png

         第二步,进行对接金智统一身份认证,点击认证设置-第三方主要认证-CAS票据认证,点击后,CASloginurl即为CAS登录地址,CASlogouturl即为登出地址,CASva开头的即为验证地址,请求方式为get,具体情况具体分析

                123855df21577e3992.png 62265df2159005a38.png

        第三步,做完第三方认证后,还需要设置门户,要把第三方认证进行应用,系统设置-主题管理-登录策略(如果使用WEBVPN接入,一定要使用免客户端模式,否则无法跳转统一身份认证界面)

                767215df2162da01a9.png

         第四步,现在统一门户基本已经做好了,下面我们要做资源,因为客户要实现无感知,我们全部发布为WEBVPN,之前老版存在兼容性问题,如果是老版升级上来的设备,建议删除重做,新版多了子站点地址,意思为我发布一个主站点,当我访问主站点时,在主站点点击下面子站点所有的地址,全部实现WEB反向代理,跟发布主站点的功能相同,比之前简便了很多,在这里我们发布一个学校内部图书馆网站,通过进入到学校内部图书馆,在图书馆内点击中国知网子网站,中国知网也会进行改写代理,到达访问知网时,也会显示学校IP,可以使用学校的地址进行浏览文献

       SSLVPN设置-资源管理-WEB资源新版,这里我们没有填写子站点地址,是因为子站点很多的情况下,在做授权的时候,可以绑定全网WEB资源,也是可以实现相同效果

                648475df218251fff4.png

        第五步,资源建好了,第三方认证建好了,就要把资源和用户通过授权绑定起来,第三方认证上线后,默认在默认用户组中,所以直接授权给默认用户组即可,将图书馆资源以及WEB全网资源进行绑定(这个就比较尴尬,没有截授权用户的图,只截取了授权资源图)

        SSLVPN设置-角色授权-新增,添加授权用户为默认用户组,授权资源为WEB全网资源以及刚刚建好的图书馆资源

                   986015df219a9e2b0e.png

        第六步,做到这,基本就结束所有配置了,是不是很简单,全部进行确定,立即生效,接下来就是测试效果

实施后测试

       1.测试第一步,访问之前在域名服务商那进行A记录解析写好的地址,通过点击此地址,会跳转到统一身份登录平台,可以看到,我们登录的地址已经被改写为:8118

                  422285df21a9d0f512.png

        2.跟客户要个统一身份认证的测试账号,输入后,点击登录,没有任何提示界面,会直接在网页跳转到资源界面,点击图书馆资源进行测试
                  

557585df21baf969f9.png

        3.点击完图书馆后,会跳转到被改写的图书馆界面,在图书馆中,找到中国知网进行登陆测试,看是否是以学校IP进行登陆,也可以访问其他图书馆,进行测试,我们可以发现,在发布的资源中点击子站,也会进行改写,

                     436095df21c1dc4a1d.png 993845df21cd908c79.png

                        点击除知网的其他图书馆测试,也可以正常改写,并使用校内IP访问

                         512775df21d2e257cc.png 578785df21d5ba0d2a.png

         到这,整个实施基本完成,可以看到,整个过程很简单,很容易配置,而且对于客户来说也是实现无感知访问校内系统,在外办公时,使用校内地址随时查阅文献,现在客户处已经让所有老师在外办公都通过VPN接入,也得到了好评!欢迎大家提出宝贵意见~

打赏鼓励作者,期待更多好文!

打赏
12人已打赏

Sangfor_闪电回_朱丽 发表于 2019-12-13 11:27
  

12.12狂欢一周 +48 S豆 详情>

您好,感谢您参与社区原创分享计划5,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
安徒生丢了童话 发表于 2019-12-13 11:59
  

12.12狂欢一周 +48 S豆 详情>

厉害了,又学到了新技能!向楼主学习!
新手515226 发表于 2019-12-13 20:56
  

12.12狂欢一周 +48 S豆 详情>

感谢楼主分享,学习了学习了
新手959695 发表于 2019-12-13 22:42
  

12.12狂欢一周 +48 S豆 详情>

楼楼的建议很实用,顶顶~希望有更多人可以看到。
暗夜星空 发表于 2019-12-14 10:18
  

12.12狂欢一周 +48 S豆 详情>

厉害了,又学到了新技能!向楼主学习!
呆呆蛙 发表于 2019-12-14 11:53
  
和他们说的
新手162860 发表于 2019-12-14 13:08
  
写的很详细,感谢楼主的分享
心灵鸡汤 发表于 2019-12-14 13:14
  
正在学习单点认证知识,谢谢楼主,收藏了!
懵懵懂懂 发表于 2019-12-14 14:35
  
写的真的很不错
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

26
76
83

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人