SANGFOR_SSL_v61_ 2013年度培訓08_第三方服務器結合認證

1、SANGFOR SSL VPN與第三方服務器結合認證SSL與第三方結合認證功能介紹及配置組映射和角色映射功能介紹及配置深信服公司簡介LDAP導入用戶到本地功能介紹及配置練練手SANGFOR SSL證書認證第三方服務器認證介紹 SANGFOR SSL VPN支持結合認證的外部認證服務器有LDAP認證和RADIUS認證。 外部認證也是一種主要認證方式，用戶名密碼認證與外部認證不能同時啟用。第三方服務器認證介紹 LDAP認證： 輕量級目錄訪問協議。 移動用戶接入SSL VPN，需要到LDAP服務器上去認證，認證成功后LDAP服務器會將校驗信息返回給SSL設備，同時用戶登錄SSL VPN成功。SSL

2、VPN支持所有使用標準LDAP協議的認證服務器。 LDAP認證常用端口：TCP 389第三方服務器認證介紹RADIUS認證：遠程用戶撥號認證系統(tǒng)，是目前應用最廣泛的AAA協議。認證交互過程：1.用戶輸入用戶名和口令； 2.radius 客戶端(NAS)根據獲取的用戶名和口令，向radius 服務器發(fā)送認證請求包（access-request）。 3.radius 服務器將該用戶信息與users 數據庫信息進行對比分析，如果認證成功，則將用戶的權限信息以認證響應包（access-accept）發(fā)送給radius 客戶端；如果認證失敗，則返回access-reject 響應包。RADIUS認證常用

3、端口：UDP1812(認證)、UDP1813(計費)。LDAP認證配置介紹新建LDAP認證服務器，設置相關信息。添加域服務器的IP和端口域管理員Administrator在域服務器的Users文件夾下，管理員路徑填寫格式為：cn=Administrator,cn=Users,dc=sangfor,dc=com選擇用于認證的LDAP用戶賬號所在路徑包含該路徑下所有子路徑的用戶賬號，不勾選則僅包含該路徑下的用戶賬號。支持的域服務器類型：MS ActiveDirectory：指微軟域用戶LDAP Server：指除微軟域以外的其他LDAPMS ActiveDirectory VPN：指微軟域內帶有允

4、許接入微軟VPN屬性的用戶當沒有設置組映射關系時，自動匹配為某個組的用戶RADIUS認證配置介紹新建RADIUS認證服務器，設置相關信息。添加RADIUS服務器的IP和認證端口選擇RADIUS服務器對應的認證協議共享密鑰:與RADIUS服務器設置相同當沒有設置組映射關系時，自動匹配為某個組的用戶證書認證證書認證配置介紹1. 證書認證介紹證書認證是一種主要認證方式，只有私有用戶才能采用此認證方式。證書認證主要由根證書和用戶證書構成，其中根證書用于校驗用戶信息，用戶證書就相當于每個用戶的身份證，當二者匹配時，才能認證通過。證書認證配置介紹2. 證書認證分類 證書認證可分為本地證書認證和第三方證書認

5、證。本地認證的CA就在設備上，可以自行更新，用戶登錄使用的證書，也是直接在設備上生成。第三方證書認證的CA需要先導入第三方CA的公鑰，用戶認證時的證書，可以直接安裝在客戶端上，但此時設備必須信任該CA頒發(fā)的所有證書。如果設備只信任導入設備的用戶證書，則必須在用戶管理那里手動新建用戶并導入證書。證書認證配置介紹3.本地證書認證 下載證書后，直接安裝在電腦（其他終端）上即可證書認證配置介紹4.第三方證書認證 點擊瀏覽，選擇需要導入的點擊瀏覽，選擇需要導入的CA公鑰公鑰此處可添加多此處可添加多CA，按順序添加即可，按順序添加即可證書認證典型案例客戶需求：客戶有一臺SSLVPN設備，現在希望各分公司員

6、工都能通過證書接入，客戶總部無統(tǒng)一CA中心，各分公司自己有CA。解決方案：各分公司提供CA公鑰并導入設備，做多CA認證，實現各分公司用戶的證書接入。 配置思路 用戶需要使用兩個CA中心的根證來做用戶的證書認證，現在要導入這兩個根證，創(chuàng)建兩個分屬于這兩CA中心的用戶，并成功登陸。 配置步驟： 1、創(chuàng)建2個根CA； 2、創(chuàng)建2個用戶，分別屬于這2個CA。 3、安裝用戶證書，并進行登錄測試。 點擊外置點擊外置CA名名稱進行詳細編輯稱進行詳細編輯點擊有介紹如點擊有介紹如何證書屬性如何證書屬性如何配置何配置根據此字段找到根據此字段找到設備里對應的用設備里對應的用戶、分配權限戶、分配權限根據此字段進行證根

7、據此字段進行證書校驗，需要在用書校驗，需要在用戶編輯界面設置戶編輯界面設置 1、創(chuàng)建、創(chuàng)建CA 2、創(chuàng)建用戶，并啟用證書認證、創(chuàng)建用戶，并啟用證書認證點擊并導入對點擊并導入對應的用戶證書應的用戶證書選擇對應的證選擇對應的證書文件導入，書文件導入，并歸屬到對應并歸屬到對應的的CA中去。中去。此例以導入用戶證書為例。此例以導入用戶證書為例。當然，你也可以不導入證書，當然，你也可以不導入證書，啟用信任該啟用信任該CA簽發(fā)的所有簽發(fā)的所有證書用戶即可。證書用戶即可。 3、安裝證書并登陸、安裝證書并登陸LDAP結合認證典型案例及配置LDAP結合認證典型案例及配置客戶需求：客戶內網已部署好LDAP服務器，

8、通過域來管理內網用戶?？蛻羰褂肧ANGFOR SSL VPN設備，希望移動用戶登錄SSL VPN時使用LDAP上的用戶名和密碼進行認證。解決方案：使用SSL VPN與客戶原有LDAP服務器結合認證，無需在設備上創(chuàng)建本地賬號?？蛻艟W絡環(huán)境：LDAP結合認證典型案例及配置配置思路：1. 配置LDAP服務器，在OU中新建用戶。2. SSL VPN新建LDAP服務器，結合LDAP認證。3. 使用域賬號登陸SSL VPN。LDAP結合認證典型案例及配置1.在LDAP服務器下創(chuàng)建一個用戶名為“test1”的用戶LDAP結合認證典型案例及配置2. SSL VPN設備上，新建LDAP認證服務器并填寫相應信息L

9、DAP認證配置介紹3. 移動用戶通過域賬號和密碼登錄SSL VPN。組織結構中無用戶“test1”通過域用戶名密碼登陸SSL VPN組映射和角色映射功能介紹及配置組映射和角色映射功能介紹 LDAP組映射：將LDAP上的OU以用戶組的形式導入到SSL設備上，或者將OU一一映射給設備上的某個組。勾選需要映射的OU映射到本地的位置將LDAP服務器中的OU導入到SSL設備中，只導入用戶組，不導入用戶?？煞謩e對用戶組設置不同的角色和策略，用戶通過認證后獲得相應組的權限組映射和角色映射功能介紹 LDAP角色映射：將LDAP上的安全組以角色的形式導入到SSL設備上，或者將安全組一一映射給設備上的某個角色。勾

10、選需要映射的安全組安全組的用戶通過認證后，自動獲得相應的角色資源訪問權限。組映射和角色映射功能介紹 RADIUS組映射：RADIUS用戶登錄SSL時，根據Class屬性字段進行分組。填寫class屬性的值，和對應的本地用戶組。移動用戶通過RADIUS賬號登陸SSL后，根據賬號的class屬性值，自動分配對應用戶組的角色和策略。LDAP導入用戶到本地功能介紹及配置LDAP導入用戶到本地功能介紹LDAP導入用戶到本地：實現將LDAP服務器中的用戶以及組織結構導入到SSL VPN組織結構中，可分別為不同的用戶或者用戶組關聯策略組和角色。功能需求： LDAP服務器上不同的用戶需要具有不同的資源訪問權限

11、和策略組。LDAP導入用戶到本地功能配置1. 【認證設置】，新建LDAP認證服務器并填寫相應信息。（省略配置）2. 【認證設置】，選擇需要導入用戶的LDAP服務器，點擊“導入用戶到本地”單獨導入： 僅導入選中的用戶組用戶。遞歸導入：導入選中的用戶組和這個組下所有的子組用戶。選擇需要導入的用戶組將選中的LDAP服務器中的用戶和用戶組，導入到SSL設備本地的哪個目標組下。將域服務器中的組織結構導入到SSL設備中。只導入用戶，不導入用戶組開啟自動同步，每隔一段時間自動將LDAP服務器中的用戶導入到SSL設備中，用于LDAP服務器中用戶變更頻繁的場景。LDAP導入用戶到本地功能配置3. 【用戶管理】，

12、查看是否有LDAP服務器中同步過來的用戶和用戶組。LDAP服務器中的組織結構和用戶與LDAP服務器中的組織結構和用戶一致。LDAP導入用戶到本地功能補充說明1. 如果某用戶“user3”在LDAP服務器中被禁用，通過LDAP導入功能，能將此用戶成功導入到SSL設備。但是移動用戶使用域用戶“user3”登錄SSL VPN進行認證時，會認證失敗。2. SSL設備的組織結構中，不能存在同名的用戶。如果設備組織結構中已經存在用戶“user4”（本地認證或者通過RADIUS認證），LDAP服務器中也存在同名用戶“user4”，則從LDAP服務器中導入用戶“user4”不成功。LDAP導入用戶到本地功能補

13、充說明3. 從LDAP服務器導入用戶到本地設置中， 對已經導入用戶的覆蓋，只能覆蓋通過LDAP服務器導入的同名用戶。域單點登錄認證功能適用場景：客戶內網有域控環(huán)境，SSL設備與用戶加入到相同的域，用戶登陸域后，可通過SSL客戶端直接登陸訪問資源頁面。域單點登錄認證功能SSL VPN域單點登錄只支持CS客戶端方式登錄：只支持只支持CSCS客戶方式客戶方式登錄登錄想一想 1. 如果本地認證存在用戶“test”，外部認證服務器里也有同名的用戶“test”，那么移動用戶使用“test”這個賬號登錄SSL VPN時，會匹配本地認證還是去外部認證服務器認證呢？ 如果本地認證和外部認證存在有相同的用戶名時，

14、優(yōu)先匹配本地認證，當本地認證不通過時，返回用戶名密碼錯誤的提示。2. 如下圖所示，在同一個LDAP服務器設置中添加兩個域服務器的IP和端口，和分別添加兩個LDAP服務器，認證過程是否相同？ 圖2的設置方法： 如果這兩個服務器上都存在相同用戶名時，按照外部認證服務器的順序進行認證匹配，直到找到第一個認證成功的外部認證服務器，如果所有外部認證服務器都認證失敗，才返回用戶名密碼錯誤的提示。想一想圖1的設置方法：用于多個LDAP服務器群做主備的情況。當設備連接不上第一個服務器時，再去連接第二個服務器。如果第一個服務器能連接上，返回認證失敗信息，則不會再連接第二個服務器。練練手某公司購買了SANGFOR SSL VPN設備給公網移動用戶提供安全接入實現訪問公司內網資源，由于客戶內網已有LDAP服務器來管理用戶，需要實現的功能如下：1. 公網移動用戶接入SSL VPN時到LDAP服務器上去認證，認證成功后允許接入SSL VPN。在LDAP服務器上創(chuàng)建一個名為“ALL”的OU，在“ALL”的OU下創(chuàng)建一個子OU“support”和直屬用戶“test1”，在子OU“support”下創(chuàng)建兩個用戶：test2和test3。要求將“ALL”的OU結構映射到SSL的根組下，為“ALL”用戶組和“