1、SANGFOR AC&SGLDAP單點登錄培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)AD域單點登錄功能應(yīng)用背景1. 了解域單點登錄功能應(yīng)用背景AD域單點登錄應(yīng)用模式及配置思路了解域單點登錄的三種實現(xiàn)方式 掌握域單點登錄三種實現(xiàn)方式的配置思路AD域新組件單點登錄方式的配置舉例1. 掌握域新組件單點登錄方式的配置步驟AD域免插件單點登錄方式的配置舉例1. 掌握域免插件單點登錄方式的配置步驟域單點登錄功能應(yīng)用背景及配置思路域新組件單點登錄配置示例深信服公司簡介域免插件單點登錄配置示例練練手SANGFOR AC/SGLDAP域單點登錄應(yīng)用背景 LDAP單點登錄功能適用于客戶內(nèi)網(wǎng)已有一臺域控制器做桌面管理，部署AC/SG

2、設(shè)備后，希望實現(xiàn)用戶登錄域即可上網(wǎng)，無需通過AC/SG再次認(rèn)證，并且AC/SG設(shè)備上用戶的行為記錄和域用戶名對應(yīng)。LDAP單點登錄有新組件模式，監(jiān)聽模式，免插件，NTLM單點登錄四種方式。只有微軟的 AD域才支持新組件單點登錄模式和免插件單點登錄模式。只有微軟的AD域才支持NTLM單點登錄。AD 域新組件單點登錄模式AD域安裝登錄和注銷腳本PC PC請求登錄域 域認(rèn)證成功后，PC執(zhí)行l(wèi)ogon.exe腳本 PC運行l(wèi)ogon.exe成功后，在PC本地的C盤共享目錄生成logon.txt日志文件，上報成功登錄域的信息給AC/SG新組件模式需要在域服務(wù)器上配置logon.exe 和logoff.e

3、xe腳本，用戶登錄域或從域注銷時會運行相應(yīng)的腳本，并將獲取的信息上報AC/SG。配置思路：1、設(shè)備啟用LDAP單點登錄2、設(shè)備配置組件模式單點登錄信息3、服務(wù)器配置登錄腳本AD 域免插件單點登錄模式 AD域單點登錄免插件模式： 在內(nèi)網(wǎng)的一臺電腦上安裝單點登錄客戶端程序，通過單點登錄客戶端程序定時從域服務(wù)器上獲取PC登錄域成功的狀態(tài)，并將獲取的信息上報AC/SG設(shè)備來實現(xiàn)認(rèn)證。 PCSERVER安裝單點登錄客戶端程序AD域只有微軟AD的域單點登錄支持免插件模式。LDAP域單點登錄監(jiān)聽模式監(jiān)聽模式的單點登錄無需在域服務(wù)器上安裝任何組件，通過監(jiān)聽UDP 88端口用戶登錄域的信息，如果用戶成功登錄域，

4、AC/SG設(shè)備則把該用戶加入到在線用戶列表，通過AC/SG的認(rèn)證。配置思路：1、設(shè)備啟用LDAP單點登錄2、設(shè)備配置單點登錄信息3、設(shè)備設(shè)置監(jiān)聽口域新組件單點登錄配置示例域新組件單點登錄配置示例某公司內(nèi)網(wǎng)有一臺AD域服務(wù)器，域名為Vlab.cti.local ，IP地址為1。 要求內(nèi)網(wǎng)域用戶成功登錄域之后，直接通過AC設(shè)備的認(rèn)證上網(wǎng)。同時要求將AD域中所有的OU和用戶同步到AC設(shè)備的 “MSAD域用戶組”，域單點登錄不成功的用戶能夠直接上網(wǎng)（不彈出用戶名密碼輸入框），與單點登錄成功的用戶上網(wǎng)權(quán)限相同。域新組件單點登錄配置示例配置思路：新增用戶組新增認(rèn)證策略新增外部認(rèn)證服務(wù)器，

5、填寫AD域服務(wù)器信息設(shè)置AD域自動同步策略啟用LDAP單點登錄，并設(shè)置組件模式單點登錄信息AD域服務(wù)器配置登錄和注銷腳本域新組件單點登錄配置示例第一步：新增用戶組，“MSAD域用戶組”域新組件單點登錄配置示例第二步：新建認(rèn)證策略。填寫策略適用的范圍單點登錄不成功的用戶不彈出密碼框，以臨時用戶上網(wǎng)域中所有用戶均通過自動同步到AC的組織結(jié)構(gòu)，單點登錄不成功的用戶以臨時用戶的身份上網(wǎng)域新組件單點登錄配置示例第三步：新增外部認(rèn)證服務(wù)器，配置AD域服務(wù)器。域服務(wù)器IP地址管理員賬號域新組件單點登錄配置示例第四步：設(shè)置AD域自動同步將選擇的組織結(jié)構(gòu)和用戶同步到本地將域中的組織結(jié)構(gòu)和用戶同步到“MSAD域用

6、戶組”下點擊“立即同步”，發(fā)送同步命令，刷新查看最后同步狀態(tài)為“同步成功”后，即可在設(shè)備的組織結(jié)構(gòu)中查看到域服務(wù)器中的組和用戶域新組件單點登錄配置示例第五步：設(shè)備啟用LDAP單點登錄，并設(shè)置組件模式單點登錄信息。開啟域單點登錄設(shè)置共享密鑰，域服務(wù)器上配置單點登錄腳本時也需要設(shè)置相同的共享密鑰域新組件單點登錄配置示例第六步：域服務(wù)器上配置登錄和注銷腳本從設(shè)備控制臺下載登錄腳本到本地，然后把存放在域服務(wù)器本地的登錄腳本logon.exe拖到這里。腳本參數(shù)格式：AC的IP，端口號(固定是1773)，密鑰(必須與AC控制臺設(shè)置的密鑰一致)這里只例舉了添加登錄腳本的方法，AD域服務(wù)器詳細(xì)配置見“AD域單

7、點登錄操作文檔”域新組件單點登錄配置示例域組織結(jié)構(gòu)OU“train”下的用戶user3登錄域之后，成功通過AC的認(rèn)證，可以直接上網(wǎng)。域免插件單點登錄配置示例域免插件單點登錄配置示例某公司內(nèi)網(wǎng)有一臺AD域服務(wù)器，域名為Vlab.cti.local ，IP地址為1。 要求內(nèi)網(wǎng)域用戶成功登錄域之后，直接通過AC設(shè)備的認(rèn)證上網(wǎng)，且不希望更改域服務(wù)器的任何設(shè)置。客戶要求將AD域中所有的OU和用戶同步到AC設(shè)備的 “MSAD域用戶組”，域單點登錄不成功的用戶能夠直接上網(wǎng)（不彈出用戶名密碼輸入框），與單點的登錄成功的用戶上網(wǎng)權(quán)限相同。域免插件單點登錄配置示例配置思路：新增用戶組新增認(rèn)證策略

8、新增外部認(rèn)證服務(wù)器，填寫AD域服務(wù)器信息設(shè)置AD域自動同步策略啟用LDAP單點登錄，并設(shè)置組件模式單點登錄信息安裝和配置免插件單點登錄客戶端 域免插件單點登錄配置的第1-5步與域新組件單點登錄配置相同，配置步驟不再贅述。域免插件單點登錄配置示例第六步、安裝和配置免插件單點登錄客戶端 6.1 免插件單點登錄客戶端安裝環(huán)境要求： 1) 操作系統(tǒng): WINDOWS XP，VISTA，WIN7，WIN2003，WIN2008都可以。對于VISTA，WIN 7，WIN2008系統(tǒng)，運行免插件軟件必須右鍵以管理員權(quán)限運行。 2) 用戶權(quán)限：是域控上具有管理員權(quán)限的賬號，并且是administrators組

9、中的帳號 3) AC/SG設(shè)備版本：支持AC，SG，IAM三個產(chǎn)品線，支持2.x及以后版本域免插件單點登錄配置示例6.2 安裝免插件單點登錄安裝工具軟件下載地址：http:/ 配置免插件單點登錄客戶端配置域控制器具有管理員權(quán)限的賬號具有管理員權(quán)限的賬號，并，并且在域控的且在域控的administrators安全安全組中組中域免插件單點登錄配置示例6.3 配置免插件單點登錄客戶端配置設(shè)備信息與與AC設(shè)備上設(shè)置的設(shè)備上設(shè)置的共享密鑰保持一致共享密鑰保持一致域控制器和設(shè)備的域控制器和設(shè)備的狀態(tài)都處于狀態(tài)都處于“OK”說明連通性正常說明連通性正常域免插件單點登錄配置示例域組織結(jié)構(gòu)OU“train”下的用戶user3登錄域之后，成功通過AC的認(rèn)證，可以直接上網(wǎng)。域免插件單點登錄注意事項支持多臺AC/SG設(shè)備，多臺域控同時實現(xiàn)單點登錄。免插件安裝不支持安裝在域控服務(wù)器上。免插件單點登錄，不支持注銷功能，用戶注銷通過超時注銷機制解決。 LDAP單點登錄不成功，高級培訓(xùn)PPTLDAP單點登錄排錯指導(dǎo)將詳細(xì)介紹相關(guān)排錯 練練手某公司內(nèi)網(wǎng)有一臺AD域服務(wù)器，域名為，IP地址為4。要求內(nèi)網(wǎng)域用戶成功登錄域之后，不需要再通過AC設(shè)備的認(rèn)證。單點登錄成功的用戶自動添加到AC設(shè)備的“MSAD域新用戶組”中。請試著用LDAP域新組件單點登錄和