版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、SANGFOR SSL VPN與第三方服務(wù)器結(jié)合認證培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)第三方服務(wù)器認證1. 了解SSL VPN支持的第三方服務(wù)器認證LDAP認證1. 掌握SSL結(jié)合LDAP服務(wù)器認證的配置步驟RADIUS認證1. 掌握SSL結(jié)合RADIUS服務(wù)器認證的配置步驟組映射和角色映射1、了解組映射和角色映射功能的作用2、掌握組映射和角色映射功能的配置方法LDAP導(dǎo)入用戶1、掌握LDAP導(dǎo)入用戶到本地功能的配置方法SSL與第三方結(jié)合認證功能介紹及配置組映射和角色映射功能介紹及配置深信服公司簡介LDAP導(dǎo)入用戶到本地功能介紹及配置練練手SANGFOR SSL第三方服務(wù)器認證介紹 SANGFOR SSL VP
2、N支持結(jié)合認證的外部認證服務(wù)器有LDAP認證和RADIUS認證。 外部認證也是一種主要認證方式,用戶名密碼認證與外部認證不能同時啟用。第三方服務(wù)器認證介紹 LDAP認證: 輕量級目錄訪問協(xié)議。 移動用戶接入SSL VPN,需要到LDAP服務(wù)器上去認證,認證成功后LDAP服務(wù)器會將校驗信息返回給SSL設(shè)備,同時用戶登錄SSL VPN成功。SSL VPN支持所有使用標(biāo)準(zhǔn)LDAP協(xié)議的認證服務(wù)器。 LDAP認證常用端口:TCP 389第三方服務(wù)器認證介紹RADIUS認證:遠程用戶撥號認證系統(tǒng),是目前應(yīng)用最廣泛的AAA協(xié)議。認證交互過程:1.用戶輸入用戶名和口令; 2.radius 客戶端(NAS)根
3、據(jù)獲取的用戶名和口令,向radius 服務(wù)器發(fā)送認證請求包(access-request)。 3.radius 服務(wù)器將該用戶信息與users 數(shù)據(jù)庫信息進行對比分析,如果認證成功,則將用戶的權(quán)限信息以認證響應(yīng)包(access-accept)發(fā)送給radius 客戶端;如果認證失敗,則返回access-reject 響應(yīng)包。RADIUS認證常用端口:UDP1812(認證)、UDP1813(計費)。LDAP認證配置介紹新建LDAP認證服務(wù)器,設(shè)置相關(guān)信息。添加域服務(wù)器的IP和端口域管理員Administrator在域服務(wù)器的Users文件夾下,管理員路徑填寫格式為:cn=Administrato
4、r,cn=Users,dc=sangfor,dc=com注意管理員的格式,需要添加域名!選擇用于認證的LDAP用戶賬號所在路徑包含該路徑下所有子路徑的用戶賬號,不勾選則僅包含該路徑下的用戶賬號。支持的域服務(wù)器類型:MS ActiveDirectory:指微軟域用戶LDAP Server:指除微軟域以外的其他LDAPMS ActiveDirectory VPN:指微軟域內(nèi)帶有允許接入微軟VPN屬性的用戶當(dāng)沒有設(shè)置組映射關(guān)系時,自動匹配為某個組的用戶RADIUS認證配置介紹新建RADIUS認證服務(wù)器,設(shè)置相關(guān)信息。添加RADIUS服務(wù)器的IP和認證端口選擇RADIUS服務(wù)器對應(yīng)的認證協(xié)議共享密鑰:
5、與RADIUS服務(wù)器設(shè)置相同當(dāng)沒有設(shè)置組映射關(guān)系時,自動匹配為某個組的用戶LDAP結(jié)合認證典型案例及配置LDAP結(jié)合認證典型案例及配置客戶需求:客戶內(nèi)網(wǎng)已部署好LDAP服務(wù)器,通過域來管理內(nèi)網(wǎng)用戶??蛻羰褂肧ANGFOR SSL VPN設(shè)備,希望移動用戶登錄SSL VPN時使用LDAP上的用戶名和密碼進行認證。解決方案:使用SSL VPN與客戶原有LDAP服務(wù)器結(jié)合認證,無需在設(shè)備上創(chuàng)建本地賬號。客戶網(wǎng)絡(luò)環(huán)境:LDAP結(jié)合認證典型案例及配置配置思路:1. 配置LDAP服務(wù)器,在OU中新建用戶。2. SSL VPN新建LDAP服務(wù)器,結(jié)合LDAP認證。3. 使用域賬號登陸SSL VPN。LDAP
6、結(jié)合認證典型案例及配置1.在LDAP服務(wù)器下創(chuàng)建一個用戶名為“test1”的用戶LDAP結(jié)合認證典型案例及配置2. SSL VPN設(shè)備上,新建LDAP認證服務(wù)器并填寫相應(yīng)信息LDAP認證配置介紹3. 移動用戶通過域賬號和密碼登錄SSL VPN。組織結(jié)構(gòu)中無用戶“test1”通過域用戶名密碼登陸SSL VPN組映射和角色映射功能介紹及配置組映射和角色映射功能介紹 LDAP組映射:將LDAP上的OU以用戶組的形式導(dǎo)入到SSL設(shè)備上,或者將OU一一映射給設(shè)備上的某個組。勾選需要映射的OU映射到本地的位置將LDAP服務(wù)器中的OU導(dǎo)入到SSL設(shè)備中,只導(dǎo)入用戶組,不導(dǎo)入用戶??煞謩e對用戶組設(shè)置不同的角色
7、和策略,用戶通過認證后獲得相應(yīng)組的權(quán)限組映射和角色映射功能介紹 LDAP角色映射:將LDAP上的安全組以角色的形式導(dǎo)入到SSL設(shè)備上,或者將安全組一一映射給設(shè)備上的某個角色。勾選需要映射的安全組安全組的用戶通過認證后,自動獲得相應(yīng)的角色資源訪問權(quán)限。組映射和角色映射功能介紹 RADIUS組映射:RADIUS用戶登錄SSL時,根據(jù)Class屬性字段進行分組。填寫class屬性的值,和對應(yīng)的本地用戶組。移動用戶通過RADIUS賬號登陸SSL后,根據(jù)賬號的class屬性值,自動分配對應(yīng)用戶組的角色和策略。LDAP導(dǎo)入用戶到本地功能介紹及配置LDAP導(dǎo)入用戶到本地功能介紹LDAP導(dǎo)入用戶到本地:實現(xiàn)將
8、LDAP服務(wù)器中的用戶以及組織結(jié)構(gòu)導(dǎo)入到SSL VPN組織結(jié)構(gòu)中,可分別為不同的用戶或者用戶組關(guān)聯(lián)策略組和角色。功能需求: LDAP服務(wù)器上不同的用戶需要具有不同的資源訪問權(quán)限和策略組。LDAP導(dǎo)入用戶到本地功能配置1. 【認證設(shè)置】,新建LDAP認證服務(wù)器并填寫相應(yīng)信息。(省略配置)2. 【認證設(shè)置】,選擇需要導(dǎo)入用戶的LDAP服務(wù)器,點擊“導(dǎo)入用戶到本地”單獨導(dǎo)入: 僅導(dǎo)入選中的用戶組用戶。遞歸導(dǎo)入:導(dǎo)入選中的用戶組和這個組下所有的子組用戶。選擇需要導(dǎo)入的用戶組將選中的LDAP服務(wù)器中的用戶和用戶組,導(dǎo)入到SSL設(shè)備本地的哪個目標(biāo)組下。將域服務(wù)器中的組織結(jié)構(gòu)導(dǎo)入到SSL設(shè)備中。只導(dǎo)入用戶,
9、不導(dǎo)入用戶組開啟自動同步,每隔一段時間自動將LDAP服務(wù)器中的用戶導(dǎo)入到SSL設(shè)備中,用于LDAP服務(wù)器中用戶變更頻繁的場景。LDAP導(dǎo)入用戶到本地功能配置3. 【用戶管理】,查看是否有LDAP服務(wù)器中同步過來的用戶和用戶組。LDAP服務(wù)器中的組織結(jié)構(gòu)和用戶與LDAP服務(wù)器中的組織結(jié)構(gòu)和用戶一致。LDAP導(dǎo)入用戶到本地功能補充說明1. 如果某用戶“user3”在LDAP服務(wù)器中被禁用,通過LDAP導(dǎo)入功能,能將此用戶成功導(dǎo)入到SSL設(shè)備。但是移動用戶使用域用戶“user3”登錄SSL VPN進行認證時,會認證失敗。2. SSL設(shè)備的組織結(jié)構(gòu)中,不能存在同名的用戶。如果設(shè)備組織結(jié)構(gòu)中已經(jīng)存在用戶
10、“user4”(本地認證或者通過RADIUS認證),LDAP服務(wù)器中也存在同名用戶“user4”,則從LDAP服務(wù)器中導(dǎo)入用戶“user4”不成功。LDAP導(dǎo)入用戶到本地功能補充說明3. 從LDAP服務(wù)器導(dǎo)入用戶到本地設(shè)置中, 對已經(jīng)導(dǎo)入用戶的覆蓋,只能覆蓋通過LDAP服務(wù)器導(dǎo)入的同名用戶。特殊案例:SSL結(jié)合飛天誠信動態(tài)令牌進行認證 動態(tài)令牌是根據(jù)專門的算法生成一個不可預(yù)測的隨機數(shù)字組合,一個密碼使用一次有效,目前被廣泛運用在網(wǎng)銀、網(wǎng)游、電信運營商、電子政務(wù)、企業(yè)等應(yīng)用領(lǐng)域。常見的我們SSL設(shè)備跟OTP飛天誠信動態(tài)令牌結(jié)合做認證。 接下來介紹OTP Server認證服務(wù)器的安裝配置、OTP管
11、理平臺的安裝配置和深信服SSL設(shè)備的配置方法。SSL結(jié)合飛天誠信動態(tài)令牌進行認證SSL結(jié)合飛天誠信動態(tài)令牌進行認證,對于SSL設(shè)備來說就是radius認證,在搭建好OTP服務(wù)器之后,SSL設(shè)備僅僅需要配置radius認證部分即可。具體步驟如下:(1)安裝和配置數(shù)據(jù)庫系統(tǒng),創(chuàng)建OTP Server數(shù)據(jù)庫和數(shù)據(jù)庫表(2)安裝、配置并運行OTP Server認證服務(wù)器,安裝過程中需要授權(quán)文件(3)安裝、配置并運行OTP管理中心,安裝或配置過程中需要授權(quán)文件(4)令牌的導(dǎo)入和與用戶帳號的綁定,在OTP管理中心中導(dǎo)入令牌種子(5)SSL上配置Radius認證方式注:前4個步驟配置,請參考文檔OTP Se
12、rver Radius應(yīng)用安裝配置手冊,本PPT重點講SSL設(shè)備上的配置以及測試效果。附OTP Server Radius應(yīng)用安裝配置手冊下載鏈接:http:/ VPN設(shè)置-認證設(shè)置 -Radius認證-設(shè)置 ”新建一個radius認證服務(wù)器 SSL結(jié)合飛天誠信動態(tài)令牌進行認證2、將用戶映射到之前新建的“radius測試組”支持根據(jù)Class屬性字段進行分組SSL結(jié)合飛天誠信動態(tài)令牌進行認證3、編輯radius用戶組,認證選項“外部認證”選擇otp,給該用戶組關(guān)聯(lián)資源完成配置。SSL結(jié)合飛天誠信動態(tài)令牌進行認證效果展示:1、登錄用戶登錄頁面2、輸入此時手上令牌的密碼進行登錄附認證成功的系統(tǒng)日志
13、如圖所示注意事項:1、登錄VPN后彈出挑戰(zhàn)認證框,可能是Radius server啟用了challenge認證方式。2、Radius里的chap支持支持v1、v2。3、PPTP不支持外部認證,PPTP登錄的用戶不支持Radius認證。想一想 1. 如果本地認證存在用戶“test”,外部認證服務(wù)器里也有同名的用戶“test”,那么移動用戶使用“test”這個賬號登錄SSL VPN時,會匹配本地認證還是去外部認證服務(wù)器認證呢? 如果本地認證和外部認證存在有相同的用戶名時,優(yōu)先匹配本地認證,當(dāng)本地認證不通過時,返回用戶名密碼錯誤的提示。2. 如下圖所示,在同一個LDAP服務(wù)器設(shè)置中添加兩個域服務(wù)器的
14、IP和端口,和分別添加兩個LDAP服務(wù)器,認證過程是否相同? 圖2的設(shè)置方法: 如果這兩個服務(wù)器上都存在相同用戶名時,按照外部認證服務(wù)器的順序進行認證匹配,直到找到第一個認證成功的外部認證服務(wù)器,如果所有外部認證服務(wù)器都認證失敗,才返回用戶名密碼錯誤的提示。想一想圖1的設(shè)置方法:用于多個LDAP服務(wù)器群做主備的情況。當(dāng)設(shè)備連接不上第一個服務(wù)器時,再去連接第二個服務(wù)器。如果第一個服務(wù)器能連接上,返回認證失敗信息,則不會再連接第二個服務(wù)器。練練手某公司購買了SANGFOR SSL VPN設(shè)備給公網(wǎng)移動用戶提供安全接入實現(xiàn)訪問公司內(nèi)網(wǎng)資源,由于客戶內(nèi)網(wǎng)已有LDAP服務(wù)器來管理用戶,需要實現(xiàn)的功能如下:1. 公網(wǎng)移動用戶接入SSL VPN時到LDAP服務(wù)器上去認證,認證成功后允許接入SSL VPN。2.在LDAP服務(wù)器上創(chuàng)建一個名為“ALL”的OU,在“ALL”的OU下創(chuàng)建一個子OU“support”和直屬用戶“test1”,在子OU“support”下創(chuàng)建兩個用戶:test2和test3。要求將“ALL”的OU結(jié)構(gòu)映射到SSL的根組下,為“ALL”用戶組和“sup
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 《板帶材生產(chǎn)概述》課件
- 《電子交易》課件
- DBJT 13-302-2018 現(xiàn)澆混凝土空心樓蓋應(yīng)用技術(shù)規(guī)程
- 第18課 從九一八事變到西安事變(解析版)
- 名著之魅 解析與啟示
- 體育場館衛(wèi)生消毒流程
- 腫瘤科護士年終總結(jié)
- 2023-2024年項目部安全管理人員安全培訓(xùn)考試題答案典型題匯編
- 2023年-2024年生產(chǎn)經(jīng)營單位安全教育培訓(xùn)試題答案往年題考
- 外貿(mào)公司實習(xí)報告合集九篇
- 65mn彈簧鋼熱處理工藝
- 水電風(fēng)電項目審批核準(zhǔn)流程課件
- 足球教練員素質(zhì)和角色
- 初中八年級語文課件 桃花源記【省一等獎】
- 名校長工作總結(jié)匯報
- 商務(wù)接待禮儀流程
- 護理不良事件用藥錯誤講課
- 新教材人教版高中英語選擇性必修第一冊全冊教學(xué)設(shè)計
- 2024北京大興區(qū)初三(上)期末化學(xué)試卷及答案
- 媒體與新聞法律法規(guī)法律意識與職業(yè)素養(yǎng)
- 推土機-推土機構(gòu)造與原理
評論
0/150
提交評論