1 业务场景
1.1 业务需求
如下图所示,内网PC需要通过AD域单点登录认证后上网。
具体要求如下:
PC的账号信息存储在AD域服务器上;
PC加入到对应的AD域服务器;
AD域单点登录脚本部署在AD域认证服务器上,上线流程如下:
1.2 配置限制与说明
需要配置对应的认证域与LDAP服务器,其中,配置完LDAP服务器后,系统会根据LDAP信息中的Base DN信息自动生成认证域;
在单点登录配置中,需要指定设备与运行登录注销脚本的终端通讯使用的接口IP,否则可能导致用户上线失败。
若只想做实名同步,将用户登录信息同步到设备上,可以不配置认证策略,或者在认证策略中将认证动作配置为“免认证”。
1.3 前置条件
已完成网关的基础网络配置,如接口IP、路由等。配置时注意以下几点:
l 明确用户信息已存在于AD服务器上。
l 明确用户源区域与源地址,在认证策略中进行配置。
l 明确设备与终端通讯的接口IP并做记录,后续配置在[单点登录]的[接口IP]中。
2 配置步骤
2.1 添加LDAP服务器
(1)点击[策略]>>[用户认证]>>[认证服务器]>>[LDAP],进入LDAP服务器配置页面。、
(2)点击<新增>按钮,配置LDAP服务器,如下图所示。
配置认证服务器对应的IP/端口,Base DN以及管理员账号等信息。
配置项 |
说明 |
基础信息 |
|
服务器名称 |
LDAP服务器名称。 |
认证主服务器 |
承担认证工作的服务器: ● IP:认证服务器的IP地址。 ● 认证端口:认证服务器上提供认证服务的端口号。 ● 发送接口:设备发送认证报文的接口。 |
认证从服务器 |
主认证服务器故障或无用户信息时,由从服务器进行认证: ● IP:认证服务器的IP地址。 ● 认证端口:认证服务器上提供认证服务的端口号。 ● 发送接口:设备发送认证报文的接口。 |
服务器类型 |
LDAP服务器类型,目前仅支持对接AD(Active Directory)类型的LDAP服务器。 |
Base DN |
LDAP服务器的根节点(基准目录),即开始搜索条目的位置。LDAP服务器将从该节点向下进行数据检索。 |
服务器通信方式 |
设备与LDAP服务器通信过程中,是否对LDAP报文携带的数据进行加密。 ● 明文:不对数据进行加密,使用明文传输数据。 ● 密文:对数据进行加密,使用密文传输数据。 |
管理员配置 |
|
管理员账号 |
拥有管理权限的LDAP服务器管理员账号。 |
管理员密码 |
LDAP服务器的管理员密码 |
确认管理员密码 |
再次输入管理员密码进行确认。 完成以上配置后,可点击<手动检测>,检测设备是否能与LDAP服务器通信以及使用管理员账号访问对应目录资源。 |
导入配置 |
|
自动同步 |
是否定时从LDAP服务器上自动同步用户信息到设备本地。 |
同步周期 |
相邻两次LDAP用户信息同步之间的时间间隔。 |
导入方式 |
选择需要将LDAP服务器上的哪些信息导入设备: ● 同步LDAP的组织结构和用户到本地:将LDAP服务器上的组织结构(用户组)和用户都导入设备。 ● 同步LDAP的用户到本地,忽略组织结构:只将LDAP服务器上的用户导入设备,忽略组织结构。导入的所有用户在设备上都属于同一用户组。 ● 同步LDAP的组织结构到本地,不导入用户:只将LDAP服务器上的用户组织结构导入设备。 |
同步起始节点 |
LDAP服务器上开始同步用户信息的节点,即从该级目录开始同步数据。 |
导入组织结构的最大深度 |
允许导入的组织结构(用户组)的层级;超出该深度的组织结构将不会被同步至设备上。 |
用户冲突时动作 |
待导入的服务器用户与设备本地已有的用户信息存在冲突时的处理方式: ● 覆盖:使用服务器用户信息覆盖原有用户信息。 ● 忽略:忽略该服务器用户,不导入。 |
导入到用户组 |
创建LDAP服务器时,设备将自动创建同名认证域。执行导入时,用户信息将自动导入到该同名认证域下。 |
(3)点击<保存>。
2.2 配置认证域
(1)点击[策略]>>[用户认证]>>[认证域管理] ,进入认证域管理页面。
(2) 点击由LDAP自动生成的“ruijie.test.com”域,进入编辑。
○ 启用“AD域单点登录”
○ 选择“认证服务器”
○ (可选)建议同时开启WEBAUTH场景,结合Web认证,可以让用户下线后(如无流量下线、系统管理踢线或者其他原因),后续通过Web认证上线。
(3)点击<保存>。
2.3 AD域单点登录配置
(1)点击[策略]>>[用户认证]>>[认证选项]>>[单点登录] ,进入单点登录配置页面。
(2)点击
启用AD域单点登录,并配置相关参数。
○ UDP端口:使用默认11773端口即可
○ 接口IP:用于接收脚本同步过来的用户上线/注销信息的设备接口IP,一般是本机IP
○ 共享密钥:用于脚本与设备交互信息的密钥
(3)点击<保存并下载配置>,即可下载配置脚本部署到认证服务器上。
注意:若组网如下所示,认证服务器不在内网中,则需要将对应认证服务器的IP配置在目的IP认证白名单中。
点击[策略]>>[用户认证] >>[认证选项]>>[白名单],点击新增,白名单类型选择“目的IP”,IP地址范围输入认证服务器IP。
(4)点击<应用>,保存配置。
2.4 配置认证策略
注意:如果仅做用户信息实名同步,可以不配置认证策略。
(1)点击[策略]>>[用户认证]>>[认证策略],进入认证策略列表页面。
(2)点击<新增>,按照下图配置认证策略:
策略名称:test
源区域:LAN
源地址:any,表示LAN区域中的所有用户上网都需要先通过认证。
动作:认证
认证模板名称:本地Portal
(3)点击<保存>。
2.5 部署AD域服务脚本
将网关设备上下载的配置脚本部署到AD域服务器上。
(1) 解压配置脚本文件,脚本解压后可以获得:sso_win_logon.exe, sso_win_logout,IPconf.txt文档。
(2) 在PC终端上新建组策略并配置sso_win_logon登录脚本,在“运行”输入gpmc.msc,打开组策略编辑器,如下图:
(3) 右键点击需要测试单点登录的OU(Organizational Unit)组织单位,选择“在这个域中创建GPO并在此处链接(C)…”,新建名称为“脚本单点登陆”的组策略,如下图所示。
(4) 右键选中新建的单点登录组策略“脚本单点登陆”,点击<编辑>,如下图。
(5) 点击<添加>导入sso_win_logon及配置文件IPconf.txt。
(6) 点击添加,添加脚本,如下图所示。至此,脚本配置完毕,后期注销脚本部署与上述步骤类似。
(7) 为了使用更改的组策略立即生效,需要刷新组策略,刷新组策略命令为gpupdate.exe /force,如下图
3 验证配置结果
使用对应域下的Windows设备进行登录,设备Web的[策略]>>[用户认证]>>[在线用户]页面,可以看到对应的在线信息。
