AD域单点登录__脚本方式单点登录..doc

Logon2.0域单点登录脚本使用说明文档 目录 概述 1 新增功能 1 基本配置 2 配置注意事项 9 部署实施注意事项 10 附录a：旧格式配置文件 11 附录b：新格式配置文件 12 附录c：新旧格式混合配置文件 13 概述 本文档说明了如何在AD域上配置深信服单点登录程序logon2.0，实现内网用户登录到域后，即登录到深信服设备。 新增功能 logon2.0在原有的logon基础上修改了不少bug及新增了一些功能，所有的功能都是通过参数来控制。下面介绍logon2.0新增的功能及适用场景。 一、增加常驻内存功能，脚本一直运行，默认启用，可以通过配置参数关闭。 适用场景：客户是dhcp环境，从一个地方转移至另一个地方后，IP发生了变化需要重新认证。logon2.0采用常驻内存运行，当检测到IP变化时，会向AC发认证请求实现平滑认证。 二、增加了检验数字签名功能，鉴别Logon的唯一性，默认关闭，可以通过配置参数开启 适用场景：当客户电脑上有同名的logon程序在运行时，可能会导致我们的logon程序或同名的程序异常，我们启用数字签名功能，可以通过检验签名来鉴别logon的唯一性，匹配同名程序冲突。 三、增加程序运行时，自动拷贝到启动目录的功能，默认启用，可以通过配置参数关闭。 适用场景：由于网络或域的原因导致组策略无法下发，从而脚本无法执行，导致单点不成功，常见的如离线登录域的环境，此时通过执行logon2.0脚本，可以实现自动拷贝到windows启动目录，下次启动，直接随windows启动从本地运行logon.exe脚本，和域无关，这样可以解决离线单点登录问题，提高单点成功率。 注意：此功能默认开启，脚本自动下发执行时也会拷贝到windows启动目录，防止后续无法下发组策略。 四、增加是否启用心跳功能，默认关闭，可以通过配置参数关闭。 适用场景：logon和AC定时发保活包，主要解决已认证的用户，当电脑切换帐号无法注销或注销脚本执行失败无法注销的问题。 五、增加是否启用重复登录功能，默认关闭，可以通过配置参数关闭。 适用场景：当启用心跳后，由于网络故障导致非正常注销，此时logon可以通过重复认证功能实现自动认证。 六、其它更多改进功能，请参考下一章节的第六部分的参数介绍。 基本配置 [备注：本文所有的截图都在Windows Server 2008 R2企业版下截取，其他服务器类似] 适用服务器及AC/SG版本 适用服务器：win2003 win2008 32及64位，中文版，英文版及繁体版。 适用AC版本：2.x及以后版本 登录到您的域服务器，执行gpmc.msc或单击-开始-组策略管理打开组策略管理窗口，如下图。 图1 组策略管理窗口 选中你要监控的域策略，右键-编辑，打开组策略管理编辑器。 图2 组策略管理编辑器窗口 选中用户配置-策略-Windows设置，编辑“脚本（登录/注销）”。 双击“登录”，在弹出的属性窗口中（如下图3所示），单击“显示文件”，将logon.exe放进去。 如果通过sinforIP配置文件控制logon.exe的参数，则需要将编辑好的sinforIP（策略文件）也放进去（如下图4所示），然后关闭窗口。 图3 登录属性窗口示意图 图4 登录文件及配置文件配置示意图 注意：当替换logon.exe时，有时候会出现删除不了之前的logon.exe，这时候可以通过以下操作解决此类问题 先查看当前是否有会话存在 图5 出现无法删除老logon.exe现象 如果存在，则先执行如下操作，再删除之前的logon.exe，最后替换新logon.exe: 图6 解决无法删除老logon.exe的方法 返回“登录”属性窗口，单击“添加”，在弹出的窗口中设置脚名(logon.exe)以及脚本参数，脚本参数有固定格式或者通过sinforIP配置文件控制参数，具体有如下四种格式： 格式1：不带脚本参数，此时需要通过sinforIP配置文件来控制参数，如下图5所示。 图7 格式一不带配置脚本参数示意图 格式2：带唯一参数-a，如下图6所示，此时需要通过sinforIP配置文件来控制参数， -a将等待超时的重发次数设置为缺省次数，同时用户端每次登录时不用等待设备回包，直接发送缺省重发次数，缺省值为3。 图8 格式二配置脚本参数示意图 3、格式3：以“Value1 Value 2 Value 3”的形式带三个参数，参数间以空格隔开，三个参数缺一不可，不需要sinforIP配置文件，如下图所示，其中： Value 1：代表内网用户可访问到的设备网口IP； Value 2：代表设备监听端口（固定为1773，不可改变）； Value 3：代表通信密钥（必须同设备认证选项界面设置的密钥保持一致，见下图8）。 图9 格式三配置脚