深信服AC初級(jí)認(rèn)證培訓(xùn),LDAP單點(diǎn)登錄培訓(xùn)_第1頁
深信服AC初級(jí)認(rèn)證培訓(xùn),LDAP單點(diǎn)登錄培訓(xùn)_第2頁
深信服AC初級(jí)認(rèn)證培訓(xùn),LDAP單點(diǎn)登錄培訓(xùn)_第3頁
深信服AC初級(jí)認(rèn)證培訓(xùn),LDAP單點(diǎn)登錄培訓(xùn)_第4頁
深信服AC初級(jí)認(rèn)證培訓(xùn),LDAP單點(diǎn)登錄培訓(xùn)_第5頁
已閱讀5頁,還剩24頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、SANGFOR AC&SGLDAP單點(diǎn)登錄培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)AD域單點(diǎn)登錄功能應(yīng)用背景1. 了解域單點(diǎn)登錄功能應(yīng)用背景AD域單點(diǎn)登錄應(yīng)用模式及配置思路了解域單點(diǎn)登錄的三種實(shí)現(xiàn)方式 掌握域單點(diǎn)登錄三種實(shí)現(xiàn)方式的配置思路AD域新組件單點(diǎn)登錄方式的配置舉例1. 掌握域新組件單點(diǎn)登錄方式的配置步驟AD域免插件單點(diǎn)登錄方式的配置舉例1. 掌握域免插件單點(diǎn)登錄方式的配置步驟域單點(diǎn)登錄功能應(yīng)用背景及配置思路域新組件單點(diǎn)登錄配置示例深信服公司簡介域免插件單點(diǎn)登錄配置示例練練手SANGFOR AC/SGLDAP域單點(diǎn)登錄應(yīng)用背景 LDAP單點(diǎn)登錄功能適用于客戶內(nèi)網(wǎng)已有一臺(tái)域控制器做桌面管理,部署AC/SG

2、設(shè)備后,希望實(shí)現(xiàn)用戶登錄域即可上網(wǎng),無需通過AC/SG再次認(rèn)證,并且AC/SG設(shè)備上用戶的行為記錄和域用戶名對(duì)應(yīng)。LDAP單點(diǎn)登錄有新組件模式,監(jiān)聽模式,免插件,NTLM單點(diǎn)登錄四種方式。只有微軟的 AD域才支持新組件單點(diǎn)登錄模式和免插件單點(diǎn)登錄模式。只有微軟的AD域才支持NTLM單點(diǎn)登錄。AD 域新組件單點(diǎn)登錄模式AD域安裝登錄和注銷腳本PC PC請(qǐng)求登錄域 域認(rèn)證成功后,PC執(zhí)行l(wèi)ogon.exe腳本 PC運(yùn)行l(wèi)ogon.exe成功后,在PC本地的C盤共享目錄生成logon.txt日志文件,上報(bào)成功登錄域的信息給AC/SG新組件模式需要在域服務(wù)器上配置logon.exe 和logoff.e

3、xe腳本,用戶登錄域或從域注銷時(shí)會(huì)運(yùn)行相應(yīng)的腳本,并將獲取的信息上報(bào)AC/SG。配置思路:1、設(shè)備啟用LDAP單點(diǎn)登錄2、設(shè)備配置組件模式單點(diǎn)登錄信息3、服務(wù)器配置登錄腳本AD 域免插件單點(diǎn)登錄模式 AD域單點(diǎn)登錄免插件模式: 在內(nèi)網(wǎng)的一臺(tái)電腦上安裝單點(diǎn)登錄客戶端程序,通過單點(diǎn)登錄客戶端程序定時(shí)從域服務(wù)器上獲取PC登錄域成功的狀態(tài),并將獲取的信息上報(bào)AC/SG設(shè)備來實(shí)現(xiàn)認(rèn)證。 PCSERVER安裝單點(diǎn)登錄客戶端程序AD域只有微軟AD的域單點(diǎn)登錄支持免插件模式。LDAP域單點(diǎn)登錄監(jiān)聽模式監(jiān)聽模式的單點(diǎn)登錄無需在域服務(wù)器上安裝任何組件,通過監(jiān)聽UDP 88端口用戶登錄域的信息,如果用戶成功登錄域,

4、AC/SG設(shè)備則把該用戶加入到在線用戶列表,通過AC/SG的認(rèn)證。配置思路:1、設(shè)備啟用LDAP單點(diǎn)登錄2、設(shè)備配置單點(diǎn)登錄信息3、設(shè)備設(shè)置監(jiān)聽口域新組件單點(diǎn)登錄配置示例域新組件單點(diǎn)登錄配置示例某公司內(nèi)網(wǎng)有一臺(tái)AD域服務(wù)器,域名為Vlab.cti.local ,IP地址為1。 要求內(nèi)網(wǎng)域用戶成功登錄域之后,直接通過AC設(shè)備的認(rèn)證上網(wǎng)。同時(shí)要求將AD域中所有的OU和用戶同步到AC設(shè)備的 “MSAD域用戶組”,域單點(diǎn)登錄不成功的用戶能夠直接上網(wǎng)(不彈出用戶名密碼輸入框),與單點(diǎn)登錄成功的用戶上網(wǎng)權(quán)限相同。域新組件單點(diǎn)登錄配置示例配置思路:新增用戶組新增認(rèn)證策略新增外部認(rèn)證服務(wù)器,

5、填寫AD域服務(wù)器信息設(shè)置AD域自動(dòng)同步策略啟用LDAP單點(diǎn)登錄,并設(shè)置組件模式單點(diǎn)登錄信息AD域服務(wù)器配置登錄和注銷腳本域新組件單點(diǎn)登錄配置示例第一步:新增用戶組,“MSAD域用戶組”域新組件單點(diǎn)登錄配置示例第二步:新建認(rèn)證策略。填寫策略適用的范圍單點(diǎn)登錄不成功的用戶不彈出密碼框,以臨時(shí)用戶上網(wǎng)域中所有用戶均通過自動(dòng)同步到AC的組織結(jié)構(gòu),單點(diǎn)登錄不成功的用戶以臨時(shí)用戶的身份上網(wǎng)域新組件單點(diǎn)登錄配置示例第三步:新增外部認(rèn)證服務(wù)器,配置AD域服務(wù)器。域服務(wù)器IP地址管理員賬號(hào)域新組件單點(diǎn)登錄配置示例第四步:設(shè)置AD域自動(dòng)同步將選擇的組織結(jié)構(gòu)和用戶同步到本地將域中的組織結(jié)構(gòu)和用戶同步到“MSAD域用

6、戶組”下點(diǎn)擊“立即同步”,發(fā)送同步命令,刷新查看最后同步狀態(tài)為“同步成功”后,即可在設(shè)備的組織結(jié)構(gòu)中查看到域服務(wù)器中的組和用戶域新組件單點(diǎn)登錄配置示例第五步:設(shè)備啟用LDAP單點(diǎn)登錄,并設(shè)置組件模式單點(diǎn)登錄信息。開啟域單點(diǎn)登錄設(shè)置共享密鑰,域服務(wù)器上配置單點(diǎn)登錄腳本時(shí)也需要設(shè)置相同的共享密鑰域新組件單點(diǎn)登錄配置示例第六步:域服務(wù)器上配置登錄和注銷腳本從設(shè)備控制臺(tái)下載登錄腳本到本地,然后把存放在域服務(wù)器本地的登錄腳本logon.exe拖到這里。腳本參數(shù)格式:AC的IP,端口號(hào)(固定是1773),密鑰(必須與AC控制臺(tái)設(shè)置的密鑰一致)這里只例舉了添加登錄腳本的方法,AD域服務(wù)器詳細(xì)配置見“AD域單

7、點(diǎn)登錄操作文檔”域新組件單點(diǎn)登錄配置示例域組織結(jié)構(gòu)OU“train”下的用戶user3登錄域之后,成功通過AC的認(rèn)證,可以直接上網(wǎng)。域免插件單點(diǎn)登錄配置示例域免插件單點(diǎn)登錄配置示例某公司內(nèi)網(wǎng)有一臺(tái)AD域服務(wù)器,域名為Vlab.cti.local ,IP地址為1。 要求內(nèi)網(wǎng)域用戶成功登錄域之后,直接通過AC設(shè)備的認(rèn)證上網(wǎng),且不希望更改域服務(wù)器的任何設(shè)置??蛻粢髮D域中所有的OU和用戶同步到AC設(shè)備的 “MSAD域用戶組”,域單點(diǎn)登錄不成功的用戶能夠直接上網(wǎng)(不彈出用戶名密碼輸入框),與單點(diǎn)的登錄成功的用戶上網(wǎng)權(quán)限相同。域免插件單點(diǎn)登錄配置示例配置思路:新增用戶組新增認(rèn)證策略

8、新增外部認(rèn)證服務(wù)器,填寫AD域服務(wù)器信息設(shè)置AD域自動(dòng)同步策略啟用LDAP單點(diǎn)登錄,并設(shè)置組件模式單點(diǎn)登錄信息安裝和配置免插件單點(diǎn)登錄客戶端 域免插件單點(diǎn)登錄配置的第1-5步與域新組件單點(diǎn)登錄配置相同,配置步驟不再贅述。域免插件單點(diǎn)登錄配置示例第六步、安裝和配置免插件單點(diǎn)登錄客戶端 6.1 免插件單點(diǎn)登錄客戶端安裝環(huán)境要求: 1) 操作系統(tǒng): WINDOWS XP,VISTA,WIN7,WIN2003,WIN2008都可以。對(duì)于VISTA,WIN 7,WIN2008系統(tǒng),運(yùn)行免插件軟件必須右鍵以管理員權(quán)限運(yùn)行。 2) 用戶權(quán)限:是域控上具有管理員權(quán)限的賬號(hào),并且是administrators組

9、中的帳號(hào) 3) AC/SG設(shè)備版本:支持AC,SG,IAM三個(gè)產(chǎn)品線,支持2.x及以后版本域免插件單點(diǎn)登錄配置示例6.2 安裝免插件單點(diǎn)登錄安裝工具軟件下載地址:http:/ 配置免插件單點(diǎn)登錄客戶端配置域控制器具有管理員權(quán)限的賬號(hào)具有管理員權(quán)限的賬號(hào),并,并且在域控的且在域控的administrators安全安全組中組中域免插件單點(diǎn)登錄配置示例6.3 配置免插件單點(diǎn)登錄客戶端配置設(shè)備信息與與AC設(shè)備上設(shè)置的設(shè)備上設(shè)置的共享密鑰保持一致共享密鑰保持一致域控制器和設(shè)備的域控制器和設(shè)備的狀態(tài)都處于狀態(tài)都處于“OK”說明連通性正常說明連通性正常域免插件單點(diǎn)登錄配置示例域組織結(jié)構(gòu)OU“train”下的用戶user3登錄域之后,成功通過AC的認(rèn)證,可以直接上網(wǎng)。域免插件單點(diǎn)登錄注意事項(xiàng)支持多臺(tái)AC/SG設(shè)備,多臺(tái)域控同時(shí)實(shí)現(xiàn)單點(diǎn)登錄。免插件安裝不支持安裝在域控服務(wù)器上。免插件單點(diǎn)登錄,不支持注銷功能,用戶注銷通過超時(shí)注銷機(jī)制解決。 LDAP單點(diǎn)登錄不成功,高級(jí)培訓(xùn)PPTLDAP單點(diǎn)登錄排錯(cuò)指導(dǎo)將詳細(xì)介紹相關(guān)排錯(cuò) 練練手某公司內(nèi)網(wǎng)有一臺(tái)AD域服務(wù)器,域名為,IP地址為4。要求內(nèi)網(wǎng)域用戶成功登錄域之后,不需要再通過AC設(shè)備的認(rèn)證。單點(diǎn)登錄成功的用戶自動(dòng)添加到AC設(shè)備的“MSAD域新用戶組”中。請(qǐng)?jiān)囍肔DAP域新組件單點(diǎn)登錄和

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論