深信服AC与DKEYAM数据库认证说明及配置.doc

AC3.3数据库认证说明及配置示例 一、数据库认证简介： AC3.3数据库认证，是指在客户已有一套数据库系统存储用户、认证信息的前提下，AC3.3在界面上配置SQL查询语句，去主动查询数据库系统中的用户列表和已认证用户，并同步到AC的组织结构和在线用户列表中，从而实现用户通过数据库认证时，即通过AC的用户认证，同样的，用户从数据库认证系统中注销，也自动完成了在AC上的注销。（即单点登录/注销） 目前支持的数据库类型有oracle，ms sql server，db2和mysql几种。 【注】DKEY默认使用mysql数据库 二、配置示例： 为深信服AC开放DKEY数据库访问权限 ${tmshome}为认证服务器安装目录，windows默认为c:\program files (x86)\ningdun\dkey tms Windows下打开命令行窗口，cd至${tmshome}\mysql\bin，执行mysql -h127.0.0.1 -P33306 -uroot -p 深澜数据库在线表授权配置 mysql -uroot –p CREATE USER sxf@10.255.0.211 IDENTIFIED BY sxf123456; GRANT select ON srun4k.online_radius TO sxf@10.255.0.211 WITH GRANT OPTION; flush privileges; 其中xxx.xxx.xxx.xxx为深信服AC的IP地址。 配置数据库认证单点登录（同步在线用户）： 定义一个外部认证服务器，“用户与策略管理”—“用户认证”—“外部认证服务器”，新增一个数据库类型的外部认证服务器并配置，特别注意“数据库编码”的配置要和客户数据库使用的编码一致，“超时时间”可能需要根据用户数大小酌情调整，默认是60s，如下： 二、启用数据库认证单点登录，菜单在“认证选项”---“数据库服务器”---勾选“启用数据库认证单点登录”，选择刚才定义的外部认证服务器dkeyuser ，定义查询语句如下： select user_name,ip from online_radius; 点击测试有效性可以看到sql语句执行结果,点击提交完成配置，此时AC会立即自动同步一次在线用户列表，数据库单点登录配置到此步已经完成，此时查看到在线用户列表，用户lmj已经在AC在线用户列表中，认证方式为单点登录： 注意： AC只支持同步在线用户的用户名和ip地址两列，并且在提取后的结果集中，第一列是用户名，第二列是ip，如上图sql语句若为select ip，username form onlieuser，这样测试有效性是成功的，但是同步在线用户列表不成功。 AC从数据库中获取的在线用户列表上限是20w，若用户数超过20w，即使在sql语句后未加上limit 200000，则AC也只同步前 20w个结果到在线用户列表中。 “获取已认证用户列表的时间间隔”建议值是30s，如果间隔时间太小则影响AC性能，间隔时间太大了影响用户体验。（如用户已经通过客户数据库系统的认证了，但是AC尚未同步过来，则根据用户认证策略的不同设置，可能会弹认证框或者成为临时用户。） 三、其他注意事项： 此文档只列举了数据库单点登录部分的配置，其他的配置同其他认证方式，如认证策略还是需要按客户需求配置的。 可以只同步在线用户，不同步组织结构，若用户没在组织结构则走新用户认证流程，但是只能加到指定组，不能体现组织结构。若后续再配置了同步，只要用户属性没有变更为自建用户，则还是可以同步到对应结构的。 在线用户列表只支持同步“用户名”和“ip”地址两列，若用户有更多的属性，如标识用户是否禁用等，目前是不支持同步的。默认同步过来的用户是启用和用不过期的。 用户从AC上注销的过程和登录的过程类似，当select语句返回的结果中，没有该用户时，则AC将该用户从在线用户列表中移除，这个过程对用户来说是透明的，就不详述。 数据库认证相关其他配置按字面意思可以理解的，不一一说明，后续可以参考用户手册。 此种实现方式是AC定时从数据库服务器获取在线用户，而并非数据库服务器每认证一个用户AC能实时感知，所以AC认证会存在一点延迟。也可以采用在数据库服务器上安装触发器脚本方式实现，可参考文档AC锐捷sam系统认证说明及配置示例 by lmj.doc。