SANGFOR-SSL-v58-年度渠道高級認(rèn)證培訓(xùn)01-第三方

1、SANGFOR SSL VPN與第三方效力器結(jié)合認(rèn)證培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)第三方服務(wù)器認(rèn)證1. 了解SSL VPN支持的第三方服務(wù)器認(rèn)證LDAP認(rèn)證1. 掌握SSL結(jié)合LDAP服務(wù)器認(rèn)證的配置步驟RADIUS認(rèn)證1. 掌握SSL結(jié)合RADIUS服務(wù)器認(rèn)證的配置步驟組映射和角色映射1、了解組映射和角色映射功能的作用2、掌握組映射和角色映射功能的配置方法LDAP導(dǎo)入用戶1、掌握LDAP導(dǎo)入用戶到本地功能的配置方法SSL與第三方結(jié)合認(rèn)證功能引見及配置組映射和角色映射功能引見及配置深服氣公司簡介LDAP導(dǎo)入用戶到本地功能引見及配置練練手SANGFOR SSL第三方效力器認(rèn)證引見 SANGFOR SSL VP

2、N支持結(jié)合認(rèn)證的外部認(rèn)證效力器有LDAP認(rèn)證和RADIUS認(rèn)證。 外部認(rèn)證也是一種主要認(rèn)證方式，用戶名密碼認(rèn)證與外部認(rèn)證不能同時啟用。第三方效力器認(rèn)證引見 LDAP認(rèn)證： 輕量級目錄訪問協(xié)議。 挪動用戶接入SSL VPN，需求到LDAP效力器上去認(rèn)證，認(rèn)證勝利后LDAP效力器會將校驗信息前往給SSL設(shè)備，同時用戶登錄SSL VPN勝利。SSL VPN支持一切運用規(guī)范LDAP協(xié)議的認(rèn)證效力器。 LDAP認(rèn)證常用端口：TCP 389第三方效力器認(rèn)證引見RADIUS認(rèn)證：遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)，是目前運用最廣泛的AAA協(xié)議。認(rèn)證交互過程：1.用戶輸入用戶名和口令； 2.radius 客戶端(NAS)根

3、據(jù)獲取的用戶名和口令，向radius 效力器發(fā)送認(rèn)證懇求包access-request。 3.radius 效力器將該用戶信息與users 數(shù)據(jù)庫信息進(jìn)展對比分析，假設(shè)認(rèn)證勝利，那么將用戶的權(quán)限信息以認(rèn)證呼應(yīng)包access-accept發(fā)送給radius 客戶端；假設(shè)認(rèn)證失敗，那么前往access-reject 呼應(yīng)包。RADIUS認(rèn)證常用端口：UDP1812(認(rèn)證)、UDP1813(計費)。LDAP認(rèn)證配置引見新建LDAP認(rèn)證效力器，設(shè)置相關(guān)信息。添加域效力器的IP和端口域管理員Administrator在域效力器sangfor的Users文件夾下，管理員途徑填寫格式為：cn=Adminis

4、trator,cn=Users,dc=sangfor,dc=com留意管理員的格式，需求添加域名！選擇用于認(rèn)證的LDAP用戶賬號所在途徑包含該途徑下一切子途徑的用戶賬號，不勾選那么僅包含該途徑下的用戶賬號。支持的域效力器類型：MS ActiveDirectory：指微軟域用戶LDAP Server：指除微軟域以外的其他LDAPMS ActiveDirectory VPN：指微軟域內(nèi)帶有允許接入微軟VPN屬性的用戶當(dāng)沒有設(shè)置組映射關(guān)系時，自動匹配為某個組的用戶RADIUS認(rèn)證配置引見新建RADIUS認(rèn)證效力器，設(shè)置相關(guān)信息。添加RADIUS效力器的IP和認(rèn)證端口選擇RADIUS效力器對應(yīng)的認(rèn)證協(xié)

5、議共享密鑰:與RADIUS效力器設(shè)置一樣當(dāng)沒有設(shè)置組映射關(guān)系時，自動匹配為某個組的用戶LDAP結(jié)合認(rèn)證典型案例及配置LDAP結(jié)合認(rèn)證典型案例及配置客戶需求：客戶內(nèi)網(wǎng)已部署好LDAP效力器，經(jīng)過域來管理內(nèi)網(wǎng)用戶?？蛻暨\用SANGFOR SSL VPN設(shè)備，希望挪動用戶登錄SSL VPN時運用LDAP上的用戶名和密碼進(jìn)展認(rèn)證。處理方案：運用SSL VPN與客戶原有LDAP效力器結(jié)合認(rèn)證，無需在設(shè)備上創(chuàng)建本地賬號?？蛻艟W(wǎng)絡(luò)環(huán)境：LDAP結(jié)合認(rèn)證典型案例及配置配置思緒：1. 配置LDAP效力器，在OU中新建用戶。2. SSL VPN新建LDAP效力器，結(jié)合LDAP認(rèn)證。3. 運用域賬號登陸SSL VP

6、N。LDAP結(jié)合認(rèn)證典型案例及配置1.在LDAP效力器下創(chuàng)建一個用戶名為“test1的用戶LDAP結(jié)合認(rèn)證典型案例及配置2. SSL VPN設(shè)備上，新建LDAP認(rèn)證效力器并填寫相應(yīng)信息LDAP認(rèn)證配置引見3. 挪動用戶經(jīng)過域賬號和密碼登錄SSL VPN。組織構(gòu)造中無用戶“test1經(jīng)過域用戶名密碼登陸SSL VPN組映射和角色映射功能引見及配置組映射和角色映射功能引見 LDAP組映射：將LDAP上的OU以用戶組的方式導(dǎo)入到SSL設(shè)備上，或者將OU一一映射給設(shè)備上的某個組。勾選需求映射的OU映射到本地的位置將LDAP效力器中的OU導(dǎo)入到SSL設(shè)備中，只導(dǎo)入用戶組，不導(dǎo)入用戶。可分別對用戶組設(shè)置不

7、同的角色和戰(zhàn)略，用戶經(jīng)過認(rèn)證后獲得相應(yīng)組的權(quán)限組映射和角色映射功能引見 LDAP角色映射：將LDAP上的平安組以角色的方式導(dǎo)入到SSL設(shè)備上，或者將平安組一一映射給設(shè)備上的某個角色。勾選需求映射的平安組平安組的用戶經(jīng)過認(rèn)證后，自動獲得相應(yīng)的角色資源訪問權(quán)限。組映射和角色映射功能引見 RADIUS組映射：RADIUS用戶登錄SSL時，根據(jù)Class屬性字段進(jìn)展分組。填寫class屬性的值，和對應(yīng)的本地用戶組。挪動用戶經(jīng)過RADIUS賬號登陸SSL后，根據(jù)賬號的class屬性值，自動分配對運用戶組的角色和戰(zhàn)略。LDAP導(dǎo)入用戶到本地功能引見及配置LDAP導(dǎo)入用戶到本地功能引見LDAP導(dǎo)入用戶到本地

8、：實現(xiàn)將LDAP效力器中的用戶以及組織構(gòu)造導(dǎo)入到SSL VPN組織構(gòu)造中，可分別為不同的用戶或者用戶組關(guān)聯(lián)戰(zhàn)略組和角色。功能需求： LDAP效力器上不同的用戶需求具有不同的資源訪問權(quán)限和戰(zhàn)略組。LDAP導(dǎo)入用戶到本地功能配置1. 【認(rèn)證設(shè)置】，新建LDAP認(rèn)證效力器并填寫相應(yīng)信息。省略配置2. 【認(rèn)證設(shè)置】，選擇需求導(dǎo)入用戶的LDAP效力器，點擊“導(dǎo)入用戶到本地單獨導(dǎo)入： 僅導(dǎo)入選中的用戶組用戶。遞歸導(dǎo)入：導(dǎo)入選中的用戶組和這個組下一切的子組用戶。選擇需求導(dǎo)入的用戶組將選中的LDAP效力器中的用戶和用戶組，導(dǎo)入到SSL設(shè)備本地的哪個目的組下。將域效力器中的組織構(gòu)造導(dǎo)入到SSL設(shè)備中。只導(dǎo)入用戶

9、，不導(dǎo)入用戶組開啟自動同步，每隔一段時間自動將LDAP效力器中的用戶導(dǎo)入到SSL設(shè)備中，用于LDAP效力器中用戶變卦頻繁的場景。LDAP導(dǎo)入用戶到本地功能配置3. 【用戶管理】，查看能否有LDAP效力器中同步過來的用戶和用戶組。LDAP效力器中的組織構(gòu)造和用戶與LDAP效力器中的組織構(gòu)造和用戶一致。LDAP導(dǎo)入用戶到本地功能補充闡明1. 假設(shè)某用戶“user3在LDAP效力器中被禁用，經(jīng)過LDAP導(dǎo)入功能，能將此用戶勝利導(dǎo)入到SSL設(shè)備。但是挪動用戶運用域用戶“user3登錄SSL VPN進(jìn)展認(rèn)證時，會認(rèn)證失敗。2. SSL設(shè)備的組織構(gòu)造中，不能存在同名的用戶。假設(shè)設(shè)備組織構(gòu)造中曾經(jīng)存在用戶“

10、user4本地認(rèn)證或者經(jīng)過RADIUS認(rèn)證，LDAP效力器中也存在同名用戶“user4，那么從LDAP效力器中導(dǎo)入用戶“user4不勝利。LDAP導(dǎo)入用戶到本地功能補充闡明3. 從LDAP效力器導(dǎo)入用戶到本地設(shè)置中， 對曾經(jīng)導(dǎo)入用戶的覆蓋，只能覆蓋經(jīng)過LDAP效力器導(dǎo)入的同名用戶。特殊案例：SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)展認(rèn)證 動態(tài)令牌是根據(jù)專門的算法生成一個不可預(yù)測的隨機(jī)數(shù)字組合，一個密碼運用一次有效，目前被廣泛運用在網(wǎng)銀、網(wǎng)游、電信運營商、電子政務(wù)、企業(yè)等運用領(lǐng)域。常見的我們SSL設(shè)備跟OTP飛天誠信動態(tài)令牌結(jié)合做認(rèn)證。 接下來引見OTP Server認(rèn)證效力器的安裝配置、OTP管理平臺的安

11、裝配置和深服氣SSL設(shè)備的配置方法。SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)展認(rèn)證SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)展認(rèn)證，對于SSL設(shè)備來說就是radius認(rèn)證，在搭建好OTP效力器之后，SSL設(shè)備僅僅需求配置radius認(rèn)證部分即可。詳細(xì)步驟如下：(1)安裝和配置數(shù)據(jù)庫系統(tǒng)，創(chuàng)建OTP Server數(shù)據(jù)庫和數(shù)據(jù)庫表(2)安裝、配置并運轉(zhuǎn)OTP Server認(rèn)證效力器，安裝過程中需求授權(quán)文件(3)安裝、配置并運轉(zhuǎn)OTP管理中心，安裝或配置過程中需求授權(quán)文件(4)令牌的導(dǎo)入和與用戶帳號的綁定，在OTP管理中心中導(dǎo)入令牌種子(5)SSL上配置Radius認(rèn)證方式注：前4個步驟配置，請參考文檔，本PPT重點講SSL

12、設(shè)備上的配置以及測試效果。附下載鏈接：sangfor.360help/read.php?tid-7400-ds-1.htmlSSL結(jié)合飛天誠信動態(tài)令牌進(jìn)展認(rèn)證1、點擊“SSL VPN設(shè)置-認(rèn)證設(shè)置 -Radius認(rèn)證-設(shè)置 新建一個radius認(rèn)證效力器 SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)展認(rèn)證2、將用戶映射到之前新建的“radius測試組支持根據(jù)Class屬性字段進(jìn)展分組SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)展認(rèn)證3、編輯radius用戶組，認(rèn)證選項“外部認(rèn)證選擇otp,給該用戶組關(guān)聯(lián)資源完成配置。SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)展認(rèn)證效果展現(xiàn)：1、登錄用戶登錄頁面2、輸入此時手上令牌的密碼進(jìn)展登錄附認(rèn)證勝利的

13、系統(tǒng)日志如下圖本卷須知：1、登錄VPN后彈出挑戰(zhàn)認(rèn)證框，能夠是Radius server啟用了challenge認(rèn)證方式。2、Radius里的chap支持支持v1、v2。3、PPTP不支持外部認(rèn)證，PPTP登錄的用戶不支持Radius認(rèn)證。想一想 1. 假設(shè)本地認(rèn)證存在用戶“test，外部認(rèn)證效力器里也有同名的用戶“test，那么挪動用戶運用“test這個賬號登錄SSL VPN時，會匹配本地認(rèn)證還是去外部認(rèn)證效力器認(rèn)證呢？ 假設(shè)本地認(rèn)證和外部認(rèn)證存在有一樣的用戶名時，優(yōu)先匹配本地認(rèn)證，當(dāng)本地認(rèn)證不經(jīng)過時，前往用戶名密碼錯誤的提示。2. 如以下圖所示，在同一個LDAP效力器設(shè)置中添加兩個域效力器

14、的IP和端口，和分別添加兩個LDAP效力器，認(rèn)證過程能否一樣？ 圖2的設(shè)置方法： 假設(shè)這兩個效力器上都存在一樣用戶名時，按照外部認(rèn)證效力器的順序進(jìn)展認(rèn)證匹配，直到找到第一個認(rèn)證勝利的外部認(rèn)證效力器，假設(shè)一切外部認(rèn)證效力器都認(rèn)證失敗，才前往用戶名密碼錯誤的提示。想一想圖1的設(shè)置方法：用于多個LDAP效力器群做主備的情況。當(dāng)設(shè)備銜接不上第一個效力器時，再去銜接第二個效力器。假設(shè)第一個效力器能銜接上，前往認(rèn)證失敗信息，那么不會再銜接第二個效力器。練練手某公司購買了SANGFOR SSL VPN設(shè)備給公網(wǎng)挪動用戶提供平安接入實現(xiàn)訪問公司內(nèi)網(wǎng)資源，由于客戶內(nèi)網(wǎng)已有LDAP效力器來管理用戶，需求實現(xiàn)的功能如下：1. 公網(wǎng)挪動用戶接入SSL VPN時到LDAP效力器上去認(rèn)證，認(rèn)證勝利后允許接入SSL VPN。在LDAP效力器上創(chuàng)建一個名為“ALL的OU，在“ALL的OU下創(chuàng)建一個子OU“support和直屬用戶“test1，在子OU“support下創(chuàng)建兩個用戶：test2和test3。要求將“ALL的OU構(gòu)造映射到SSL的根組下，為“ALL用戶組和“support用戶