深信服AC初级认证培训外部认证培训.pptVIP

SANGFORACSG外部认证培训

培训内容培训目标SANGFORAC/SG外部认证功能介绍1.了解AC/SG设备支持的三种外部认证服务器SANGFORAC/SG外部认证配置举例1.掌握AC/SG设备和LDAP服务器结合的外部认证的配置2.了解AC/SG设备其他外部服务器结合认证的配置

SANGFORAC/SG外部认证功能介绍深信服公司简介LDAP外部认证配置举例练练手SANGFORAC/SG

外部认证功能介绍SANGFORAC/SG的外部认证功能，也称为第三方认证。用户的账号密码信息保存在第三方效劳器上，AC/SG将用户提交的用户名密码信息转给第三方认证效劳器校验，通过第三方效劳器返回的认证成功与否的信息，决定是否通过AC/SG的认证，这个过程称为AC/SG的外部认证。AC/SG支持的第三方认证服务器LDAP认证RADIUS认证POP3认证与微软AD结合使用的第三方认证使用最广泛MicrosoftADOpenLDAPSunLDAPIBMLDAP...

SANGFORAC/SG外部认证过程1.PC向AC/SG提交用户名密码信息2.AC/SG判断为外部认证，并把用户名密码信息发给外部认证效劳器校验3.外部认证效劳器校验后，向AC/SG发送认证与否的消息4.AC/SG根据外部认证效劳器返回的消息，确定是否让该PC通过认证。5.PC通过认证后，就可直接访问公网了

外部认证用户满足如下两个条件的用户才会匹配外部认证流程：2.组织结构中，用户属性未勾选“本地密码”和“启用DKEY”。认证策略中，认证方式选择“本地密码认证/外部认证/单点登录”的用户。与是否绑定IP/MAC地址无关

外部认证效劳器配置界面1、选择需要新增的外部认证效劳器类型【LDAP,RADIUS,POP3效劳器】2、设置外部认证效劳器的通信方式，IP，端口等只支持单点登录，不支持外部认证。

LDAP外部认证配置举例

LDAP外部认证配置举例案例背景：某公司内网有一台AD域效劳器，域名为，效劳器IP地址为。要求该域中“train”下的用户和子OU都按照原来的结构同步到SG设备的“MSAD域用户组”中，内网用户上网时用登录域控的账号和密码来通过SG设备的认证。对于AD域中新增的用户也希望能通过SG的认证并加到组织结构中。

LDAP外部认证配置举例配置思路1、新建用户组。2、新建外部认证效劳器，设置AD域效劳器信息。3、设置LDAP自动同步，同步AD域OU“train”下的用户和子OU到SG的组织结构里。4、新建认证策略，选择“密码认证/外部认证/单点登录”。

LDAP外部认证配置步骤第一步：建立用户组，“MSAD域同步组”

LDAP外部认证配置步骤第二步：新建外部认证效劳器，设置AD域效劳器相关信息。域服务器的IP地址域服务器类型访问域服务器的管理员账号和密码，填写成administrator@Vlab.cti.local或cn=administrator,cn=user,dc=Vlab,dc=cti,dc=local的形式均可说明域效劳器设置正确，设备与效劳器能正常通信

LDAP外部认证配置步骤第三步：设置LDAP自动同步。从外部认证服务器中同步组织结构和用户从OU“train”开始同步域中的组织结构已经同步到设备中

LDAP外部认证配置步骤第四步：新建认证策略，选择“密码认证/外部认证/单点登录”。需要外部认证的用户网段如果域效劳器上添加新的用户来认证，那么自动触发该用户的同步。

LDAP外部认证配置举例用户user1访问网页时正确输入用户名和密码之后通过认证，访问公网。

LDAP外部认证配置举例本卷须知：AC/SG4.0版本开始支持平安组嵌套同步，如：平安组A隶属于平安组B，平安组B又隶属于平安组A，那么AC/SG进行域同步时，从域上遍历各平安组，如果先遍历到A，那么同步至AC/SG上，A属于父组，B属于A的子组。配置LDAP自动同步时，自动添加用户不支持平安组同步，只支持OU同步，配置页面上有相关说明，如以下图：

其他外部认证配置步骤如果客户网络环境中采用RADIUS或POP3效劳器做外部认证，AC/SG结合外部认证效劳器认证的配置步骤为：1、新建用户组，假设用户组名为“外部认证组”2、新建外部认证效劳器，设置效劳器相关信息3、新建认证策略，选择“密码认证/外部认证/单点登录”，并设置新用户认证成功后自动添加到“外部认证组”

想一想如果本地认证存在用户“test”，外部认证效劳器里也有同名的用户“test”，那么用户使用“test”这个账号认证时，会匹配本地认证还是去外部认证效劳器认证呢？如果本地认证和外部认证存在