SANGFOR_SSL_v6.1_2013年度培训06_第三方服务器结合认证_20130725全解.ppt

域单点登录认证功能 域单点登录认证功能 LDAP导入用户到本地功能配置 1. 【认证设置】，新建LDAP认证服务器并填写相应信息。（省略配置） 2. 【认证设置】，选择需要导入用户的LDAP服务器，点击“导入用户到本地” 单独导入： 仅导入选中的用户组用户。 递归导入：导入选中的用户组和这个组下所有的子组用户。 选择需要导入的用户组 将选中的LDAP服务器中的用户和用户组，导入到SSL设备本地的哪个目标组下。 将域服务器中的组织结构导入到SSL设备中。 只导入用户，不导入用户组 开启自动同步，每隔一段时间自动将LDAP服务器中的用户导入到SSL设备中，用于LDAP服务器中用户变更频繁的场景。 LDAP导入用户到本地功能配置 3. 【用户管理】，查看是否有LDAP服务器中同步过来的用户和用户组。 LDAP服务器中的组织结构和用户 与LDAP服务器中的组织结构和用户一致。 LDAP导入用户到本地功能补充说明 1. 如果某用户“user3”在LDAP服务器中被禁用，通过LDAP导入功能，能将此用户成功导入到SSL设备。但是移动用户使用域用户“user3”登录SSL VPN进行认证时，会认证失败。 2. SSL设备的组织结构中，不能存在同名的用户。如果设备组织结构中已经存在用户“user4”（本地认证或者通过RADIUS认证），LDAP服务器中也存在同名用户“user4”，则从LDAP服务器中导入用户“user4”不成功。 LDAP导入用户到本地功能补充说明 3. 从LDAP服务器导入用户到本地设置中， 对已经导入用户的覆盖，只能覆盖通过LDAP服务器导入的同名用户。 适用场景：客户内网有域控环境，SSL设备与用户加入到相同的域，用户登陆域后，可通过SSL客户端直接登陆访问资源页面。 培训内容 培训目标 第三方服务器认证 1. 了解SSL VPN支持的第三方服务器认证 LDAP认证 1. 掌握SSL结合LDAP服务器认证的配置步骤 RADIUS认证 1. 掌握SSL结合RADIUS服务器认证的配置步骤 证书/USB KEY认证 1.了解USB KEY认证的配置步骤 2.了解内置CA认证的步骤 3.了解第三方CA认证的步骤 组映射和角色映射 1、了解组映射和角色映射功能的作用 2、掌握组映射和角色映射功能的配置方法 LDAP导入用户 1、掌握LDAP导入用户到本地功能的配置方法 SSL与第三方结合认证功能介绍及配置 组映射和角色映射功能介绍及配置 深信服公司简介 LDAP导入用户到本地功能介绍及配置 练练手 SANGFOR SSL 证书认证 第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。 第三方服务器认证介绍 LDAP认证： 轻量级目录访问协议。 移动用户接入SSL VPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。SSL VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP 389 第三方服务器认证介绍 RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。 认证交互过程： 1.用户输入用户名和口令； 　　 2.radius 客户端(NAS)根据获取的用户名和口令，向radius 服务器发送认 证请求包（access-request）。 　　 3.radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认 证成功，则将用户的权限信息以认证响应包（access-accept）发送给 radius 客户端；如果认证失败，则返回access-reject 响应包。 RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。 LDAP认证配置介绍 新建LDAP认证服务器，设置相关信息。 添加域服务器的IP和端口 域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为： cn=Administrator,cn=Users,dc=sangfor,dc=com 选择用于认证的LDAP用户账号所在路径 包含该路径下所有子路径的用户账号，不勾选则仅包含该路径下的用户账号。 支持的域服务器类型： MS ActiveDirectory：指微软域用户 LDAP Server：指除微软域以外的其他LDAP MS ActiveDirectory VPN：指微软域内带有允许接入微软VPN属性的用户 当没有设置组映射关系时，自动匹配为某个组的用户 RADIUS认证配置介绍 新建