#原创分享#使用SSL7.6.8完成对接第三方统一身份认证以及WEBVPN
  

汤汤啊 110424人觉得有帮助

{{ttag.title}}

SSLVPN7.6.8对接第三方统一身份认证以及WEBVPN体验

              

项目背景

       山东某大学,采购了金智统一身份认证,为了实现通过单点登录统一身份认证,采购了一台深信服SSLVPN设备,并使用最新版本的WEBVPN实现无客户端无插件的登录,真正做到无感知体验。

实施前准备

1.因为是对接第三方CAS,需要金智提供平台的登录地址、登出地址以及验证接口地址

2.SSLVPN升级到最新版,7.6.8

3.因为要单点登录知网,所以要启用泛域名映射,要学校申请一个泛域名,将A记录指给VPN的地址,泛域名格式基本为*.xx.xx

实施中

      第一步,肯定是配置部署模式,在这里一般来说应该使用单臂模式即可,但是学校环境特殊,使用网关模式部署,如使用单臂模式,则前端设备需要放通443,80,8118端口,80和443端口用于VPN接入,8118端口则为放通泛域名解析使用(如果开启http透明代理,需要放通)泛域名格式为在DNS域名服务商处填写的,如何申请,看这个地址http://bbs.sangfor.com.cn/plugin ... wdatabase&tid=80535

              

         第二步,进行对接金智统一身份认证,点击认证设置-第三方主要认证-CAS票据认证,点击后,CASloginurl即为CAS登录地址,CASlogouturl即为登出地址,CASva开头的即为验证地址,请求方式为get,具体情况具体分析

               

        第三步,做完第三方认证后,还需要设置门户,要把第三方认证进行应用,系统设置-主题管理-登录策略(如果使用WEBVPN接入,一定要使用免客户端模式,否则无法跳转统一身份认证界面)

               

         第四步,现在统一门户基本已经做好了,下面我们要做资源,因为客户要实现无感知,我们全部发布为WEBVPN,之前老版存在兼容性问题,如果是老版升级上来的设备,建议删除重做,新版多了子站点地址,意思为我发布一个主站点,当我访问主站点时,在主站点点击下面子站点所有的地址,全部实现WEB反向代理,跟发布主站点的功能相同,比之前简便了很多,在这里我们发布一个学校内部图书馆网站,通过进入到学校内部图书馆,在图书馆内点击中国知网子网站,中国知网也会进行改写代理,到达访问知网时,也会显示学校IP,可以使用学校的地址进行浏览文献

       SSLVPN设置-资源管理-WEB资源新版,这里我们没有填写子站点地址,是因为子站点很多的情况下,在做授权的时候,可以绑定全网WEB资源,也是可以实现相同效果

               

        第五步,资源建好了,第三方认证建好了,就要把资源和用户通过授权绑定起来,第三方认证上线后,默认在默认用户组中,所以直接授权给默认用户组即可,将图书馆资源以及WEB全网资源进行绑定(这个就比较尴尬,没有截授权用户的图,只截取了授权资源图)

        SSLVPN设置-角色授权-新增,添加授权用户为默认用户组,授权资源为WEB全网资源以及刚刚建好的图书馆资源

                  

        第六步,做到这,基本就结束所有配置了,是不是很简单,全部进行确定,立即生效,接下来就是测试效果

实施后测试

       1.测试第一步,访问之前在域名服务商那进行A记录解析写好的地址,通过点击此地址,会跳转到统一身份登录平台,可以看到,我们登录的地址已经被改写为:8118

                 

        2.跟客户要个统一身份认证的测试账号,输入后,点击登录,没有任何提示界面,会直接在网页跳转到资源界面,点击图书馆资源进行测试
                  


        3.点击完图书馆后,会跳转到被改写的图书馆界面,在图书馆中,找到中国知网进行登陆测试,看是否是以学校IP进行登陆,也可以访问其他图书馆,进行测试,我们可以发现,在发布的资源中点击子站,也会进行改写,

                    

                        点击除知网的其他图书馆测试,也可以正常改写,并使用校内IP访问

                        

         到这,整个实施基本完成,可以看到,整个过程很简单,很容易配置,而且对于客户来说也是实现无感知访问校内系统,在外办公时,使用校内地址随时查阅文献,现在客户处已经让所有老师在外办公都通过VPN接入,也得到了好评!欢迎大家提出宝贵意见~

打赏鼓励作者,期待更多好文!

打赏
12人已打赏

Sangfor_闪电回_朱丽 发表于 2019-12-13 11:27
  

12.12狂欢一周 +48 S豆 详情>

您好,感谢您参与社区原创分享计划5,您的文章已被收录到计划中,交由专家评审小组评审,分享奖励将在活动结束后统一安排发放!分享越多,奖励越多,期待您更多的精彩分享哦!:感恩:
安徒生丢了童话 发表于 2019-12-13 11:59
  

12.12狂欢一周 +48 S豆 详情>

厉害了,又学到了新技能!向楼主学习!
新手515226 发表于 2019-12-13 20:56
  

12.12狂欢一周 +48 S豆 详情>

感谢楼主分享,学习了学习了
新手959695 发表于 2019-12-13 22:42
  

12.12狂欢一周 +48 S豆 详情>

楼楼的建议很实用,顶顶~希望有更多人可以看到。
暗夜星空 发表于 2019-12-14 10:18
  

12.12狂欢一周 +48 S豆 详情>

厉害了,又学到了新技能!向楼主学习!
呆呆蛙 发表于 2019-12-14 11:53
  
和他们说的
新手162860 发表于 2019-12-14 13:08
  
写的很详细,感谢楼主的分享
心灵鸡汤 发表于 2019-12-14 13:14
  
正在学习单点认证知识,谢谢楼主,收藏了!
懵懵懂懂 发表于 2019-12-14 14:35
  
写的真的很不错
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人