1、SANGFOR AC&SG外部認證培訓培訓內容培訓目標SANGFOR AC/SG 外部認證功能介紹1. 了解AC/SG設備支持的三種外部認證服務器SANGFOR AC/SG外部認證配置舉例1.掌握AC/SG設備和LDAP服務器結合的外部認證的配置2.了解AC/SG設備其他外部服務器結合認證的配置 SANGFOR AC/SG 外部認證功能介紹深信服公司簡介 LDAP 外部認證配置舉例 練練手SANGFOR AC/SG 外部認證功能介紹SANGFOR AC/SG的外部認證功能，也稱為第三方認證。用戶的賬號密碼信息保存在第三方服務器上，AC/SG將用戶提交的用戶名密碼信息轉給第三方認證服務器

2、校驗，通過第三方服務器返回的認證成功與否的信息，決定是否通過AC/SG的認證，這個過程稱為AC/SG的外部認證。AC/SG支持的第三方認證服務器LDAP 認證RADIUS 認證POP3 認證與微軟與微軟AD結合使用的第三結合使用的第三方認證使用最廣泛方認證使用最廣泛Microsoft ADOpen LDAPSun LDAPIBM LDAP.SANGFOR AC/SG外部認證過程1. PC向AC/SG提交用戶名密碼信息2. AC/SG判斷為外部認證，并把用戶名密碼信息發給外部認證服務器校驗3. 外部認證服務器校驗后，向AC/SG發送認證與否的消息4. AC/SG根據外部認證服務器返回的消息，確定

3、是否讓該PC通過認證。5. PC通過認證后，就可直接訪問公網了外部認證用戶滿足如下兩個條件的用戶才會匹配外部認證流程：2. 組織結構中，用戶屬性未勾選“本地密碼”和“啟用DKEY”。1.認證策略中，認證方式選擇“本地密碼認證/外部認證/單點登錄”的用戶。與是否綁定IP/MAC地址無關 外部認證服務器配置界面1、選擇需要新增的外部認證服務器類型【LDAP, RADIUS, POP3服務器】2、設置外部認證服務器的通信方式，IP，端口等只支持單點登錄，不支持外部認證。LDAP 外部認證配置舉例LDAP 外部認證配置舉例案例背景：某公司內網有一臺AD域服務器，域名為Vlab.cti.local，服務

4、器IP地址為10.10.2.21。要求該域中“train”下的用戶和子OU都按照原來的結構同步到SG設備的“MSAD域用戶組”中，內網用戶上網時用登錄域控的賬號和密碼來通過SG設備的認證。對于AD域中新增的用戶也希望能通過SG的認證并加到組織結構中。LDAP 外部認證配置舉例配置思路1、新建用戶組 。2、新建外部認證服務器，設置AD域服務器信息。3、設置LDAP自動同步，同步AD域OU “train”下的用戶和子OU到SG的組織結構 里。4、新建認證策略，選擇“密碼認證/外部認證/單點登錄”。LDAP 外部認證配置步驟第一步：建立用戶組，“MSAD域同步組”LDAP 外部認證配置步驟第二步：新

5、建外部認證服務器，設置AD域服務器相關信息。域服務器的IP地址域服務器類型訪問域服務器的管理員賬號和密碼，填寫成administratorVlab.cti.local 或cn=administrator,cn=user,dc=Vlab,dc=cti,dc=local的形式均可表明域服務器設置正確，設備與服務器能正常通信LDAP 外部認證配置步驟第三步：設置LDAP自動同步。從外部認證服務器中同步組織結構和用戶從OU“train”開始同步域中的組織結構已經同步到設備中LDAP 外部認證配置步驟第四步：新建認證策略，選擇“密碼認證/外部認證/單點登錄”。需要外部認證的用戶網段如果域服務器上添加新的

6、用戶來認證，則自動觸發該用戶的同步。LDAP 外部認證配置舉例 用戶user1訪問網頁時正確輸入用戶名和密碼之后通過認證，訪問公網。LDAP 外部認證配置舉例注意事項：1.AC/SG4.0版本開始支持安全組嵌套同步，如：安全組A隸屬于安全組B，安全組B又隸屬于安全組A，則AC/SG進行域同步時，從域上遍歷各安全組，如果先遍歷到A，則同步至AC/SG上，A屬于父組，B屬于A的子組。2.配置LDAP自動同步時，自動添加用戶不支持安全組同步，只支持OU同步，配置頁面上有相關說明，如下圖：其他外部認證配置步驟 如果客戶網絡環境中采用RADIUS或POP3服務器做外部認證，AC/SG結合外部認證服務器認

7、證的配置步驟為：1、新建用戶組 ，假設用戶組名為“外部認證組”2、新建外部認證服務器，設置服務器相關信息3、新建認證策略，選擇“密碼認證/外部認證/單點登錄”，并設置新用戶認證成功后自動添加到“外部認證組”想一想 如果本地認證存在用戶“test”，外部認證服務器里也有同名的用戶“test”，那么用戶使用“test”這個賬號認證時，會匹配本地認證還是去外部認證服務器認證呢？ 如果本地認證和外部認證存在有相同的用戶名時，優先匹配本地認證，當本地認證不通過時，直接返回用戶名密碼錯誤的提示。 如果是多個外部認證服務器上都存在相同的用戶“test”，那么用戶使用“test”這個賬號認證時，又會如何出現什

8、么樣的結果呢？ 如果多個外部認證服務器都存在相同用戶名時，AC/SG設備會同時把認證消息發給多個外部認證服務器，從哪個認證服務器先返回認證成功的消息，就從哪個認證服務器通過認證。想一想 外部認證和單點登錄功能都需要AC/SG設備與第三方的認證服務器結合，這兩種認證方式有什么區別呢？ 1. 外部認證時，用戶打開瀏覽器上網需要輸入用戶名密碼進行認證；單點登錄的情況下無需輸入用戶名與密碼可直接上網。 2. 外部認證的實現過程，由AC/SG設備轉發用戶名密碼到第三方服務器去認證；單點登錄過程中，由PC直接與第三方服務器認證，AC/SG設備通過監聽認證數據或獲取第三方服務器上的認證成功數據等方式來實現的。練練手某公司部署了SANGFOR AC做上網行為的控制和審計，內網有一臺AD域服務器，要求用戶上網輸入正確的域用戶名和密碼，實現上網記錄以域用戶名的方式來記錄。并要求AC設備中沿用域的組織結構，域控制器中刪除或者新增用戶，同時AC設備里也能相應的刪除和新增用戶。請問如何配置實現？1.AC可以與哪些第三方服務器結合做外部認證？問題思考3.某客戶有LDAP服務器，客