XX省電信Check Point防火墻集成域用戶單點登錄測試方案R60_第1頁
XX省電信Check Point防火墻集成域用戶單點登錄測試方案R60_第2頁
XX省電信Check Point防火墻集成域用戶單點登錄測試方案R60_第3頁
XX省電信Check Point防火墻集成域用戶單點登錄測試方案R60_第4頁
XX省電信Check Point防火墻集成域用戶單點登錄測試方案R60_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、XX電信Check Point防火墻集成域用戶單點登錄實施方案目錄1.現(xiàn)狀32.解決方案33.方案原理44.實施測試55.實施計劃71. 現(xiàn)狀上圖是XX省電信OA網用戶訪問DCN網時的安全控制示意圖。OA網用戶訪問DCN網時,要通過Checkpoint(CP)防火墻的用戶身份認證,只有指定的用戶才能訪問DCN網。OA網用戶在打開電腦后會登錄Windows AD域。用戶訪問DCN網時,仍然要登錄到CP的用戶驗證網頁,重新輸入AD域的用戶名密碼進行安全驗證,操作較為繁瑣,因此需要單點登錄(SSO)解決方案,即用戶只需一次登錄到Windows域,然后訪問DCN網時,不需要重新輸入用戶名和密碼,CP自

2、動取得已登錄的用戶身份進行訪問控制。2. 解決方案方案采用Check Point UserAuthority(UA)模塊,實現(xiàn)集成域驗證的單點登錄。下圖是部署圖。在現(xiàn)有的CP上增加UA模塊,在一臺加入域的計算機上安裝Check Point UA模塊,并配置uatcs-acl.txt文件,使該UA模塊與Windows域控制器建立聯(lián)系,當有訪問DCN網權限的OA網用戶登錄Windows域時,將自動在其電腦上安裝客戶端軟件UA SecureClient。用戶登錄Windows域后,當其訪問DCN網服務器,將不需要用戶再次輸入用戶名和密碼。3. 方案原理A)、當不使用UA時,用戶驗證過程如下圖所示:1

3、、 用戶登錄到域。2、 用戶訪問外部資源3、 防火墻攔截訪問,驗證用戶身份4、 用戶輸入用戶名和密碼,將信息發(fā)到防火墻5、 防火墻根據(jù)用戶身份決定是否允許該用戶訪問外部資源B)、當使用UA時1、 用戶登錄到域。2、 用戶訪問外部資源3、 防火墻攔截訪問,驗證用戶身份4、 防火墻要求安裝在自身的UA模塊驗證用戶身份5、 防火墻的UA模塊將驗證請求發(fā)給域控制器的UA模塊6、 域控制器的UA模塊與用戶電腦的SecureAgent取得聯(lián)系7、 用戶身份通過域控制器傳給防火墻8、 防火墻根據(jù)用戶身份決定是否允許訪問4. 實施測試環(huán)境準備:1. 測試PC三臺,分別命名為DCTest01、DCTest02、

4、DCTest03,要求的硬件為PIII 1G以上,內存512M以上,硬盤10G以上空閑。(由省電信準備)2. Windows 2003 Server安裝光盤,測試序列號一個。(由省電信準備)3. FortiGate 100A防火墻一臺(由XX準備)測試步驟:A:安裝測試1. 按照下圖所示將Fortigate防火墻和三臺測試PC與現(xiàn)有的網絡相連,配置合適的IP地址,并做好的相應的路由設置,使DCTest01與OA網能夠互通。2. 在DCTest01上安裝Windows 2003 Server AD域控制器和DNS服務,并加入到省電信現(xiàn)有的AD域環(huán)境中,作為省電信的第28個DC。3. 在DCTes

5、t01上安裝與生產DC上完全一致的補丁。4. 將省電信的現(xiàn)有的AD域數(shù)據(jù)復制到新裝的DCTest01上。5. 在FortiGate防火墻上配置策略,使DCTest01僅保持與NOKIA IP1220、DCTest02和DCTest03的通訊,切斷其他任何網絡通訊。6. 在DCTest02和DCTest03做必要的配置,使其從指定的域控制器DCTest01登錄域。7. 在DCTest02上安裝Checkpoint R60 UA模塊。8. 配置安裝的UserAuthority模塊與Firewall的通訊密鑰。9. 重新啟動安裝UA模塊的DCTest02。10. 編輯DCTest02上的uatcs-

6、acl.txt文件,使該UA模塊與DCTest01建立聯(lián)系。11. 將DCTest02的UA模塊安裝目錄中的Instuatc.exe、uatc.exe、uatcs.bat、uatcs_uninstall.bat、uatcs-acl.txt等文件拷貝至DCTest01的Netlogon目錄。12. 檢查是否有發(fā)生密碼過期的情況,如果沒有發(fā)生密碼過期情況,繼續(xù)以下的步驟,如果發(fā)生過期情況,轉到恢復步驟。13. 在DCTest01上編輯登錄腳本使用的可執(zhí)行批處理文件uatcs.bat。14. 在DCTest01上為能夠訪問DCN網的用戶配置登錄腳本,以幫助這些用戶在登錄時自動安裝SecureClie

7、nt。15. 檢查是否有發(fā)生密碼過期的情況,如果沒有發(fā)生密碼過期情況,繼續(xù)以下的步驟,如果發(fā)生過期情況,轉到恢復步驟。16. 在NOKIA IP1220 SmartCenter上,將UserAuthority組件配置成功,并驗證UserAuthority是否運行正常。17. 配置其他的Checkpoint Firewall規(guī)則,使整個UA認證流程正常運行,并做一條測試的策略,使DCTest03能夠通過這條策略訪問DCN網。18. 檢查Nokia 1220 上的 Checkpoint Firewall是否一切正常。19. 檢查是否有發(fā)生密碼過期的情況,如果沒有發(fā)生密碼過期情況,繼續(xù)以下的步驟,如果發(fā)生過期情況,轉到恢復步驟。20. 檢查Windows AD域及DCTest01的其他情況是否一切正常。如果發(fā)生異常,轉到恢復

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論