深信服_SSL年度渠道初級認證培訓(xùn)03_用戶認證技術(shù)

1、SANGFOR SSL VPN 用戶認證技術(shù)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)用戶認證技術(shù)1、了解SSL VPN支持的所有認證方式2、了解各種認證方式下能實現(xiàn)的功能主要認證1、掌握主要認證包含的認證方式及功能2、結(jié)合案例掌握用戶名密碼和數(shù)字證書認證方式的配置步驟輔助認證1、掌握輔助認證包含的認證方式及功能2、結(jié)合案例掌握硬件特征碼和短信認證方式的配置步驟用戶認證功能介紹深信服公司簡介練練手SANGFOR SSL用戶認證配置和案例學(xué)習(xí)SSL 用戶和用戶組用戶：登錄SSL VPN的賬號，分為公有用戶和私有用戶。 私有用戶只能同時一人登陸，公有用戶允許多人同時登陸。用戶組：由“用戶”組成，每個“用戶”必須屬于唯一的“

2、用戶組”，root根組和默認用戶組無法刪除。SSL用戶組的添加 選擇賬戶類型和認證方式填寫組名和所屬組可選關(guān)聯(lián)策略組與角色保存配置后，必須點擊“立即生效”使配置生效。SSL用戶的添加如果勾選“繼承所屬組的認證選項”，則用戶按照“support”組的認證方式填寫密碼即可。不勾選“繼承所屬組認證選項”，則用戶可以自定義認證方式。保存和生效配置SSL VPN 用戶認證方式（非常重要?。┩獠空J證認證方式本地認證用戶名、密碼認證數(shù)字證書硬件特征碼認證短信認證LDAP認證RADIUS認證輔助認證（可選）主要認證（必須選 擇一種）令牌認證（RADIUS認證）/DKEY認證（私有用戶）（私有用戶）（公有/私有

3、用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）SSL VPN 用戶認證方式 SSL VPN的用戶必須使用一種主要認證方式，也可以使用主要認證再結(jié)合多種輔助認證的方式。 如果設(shè)置了多種主要認證方式，可選擇必須通過所有的主要認證或通過其中一種主要認證方式即可。SSL VPN 用戶認證方式 本PPT介紹五種常用的主要認證和輔助認證方式： 1. 用戶名密碼認證 2. 數(shù)字證書認證 3. 短信認證 4. 硬件特征碼認證 5. LDAP認證用戶名密碼認證 用戶名密碼認證，即用戶通過輸入用戶名和密碼登錄SSL VPN。認證方式選擇“用戶名/密碼”用戶名密碼信息保存在設(shè)備數(shù)據(jù)庫

4、中，屬于本地認證“同時使用”表示設(shè)置了多種主要認證方式時，所有認證都必須通過。“任意一種”表示其中一種主要認證方式通過即可。公有用戶和私有用戶均可設(shè)置用戶名密碼認證。用戶名密碼認證 為了加強用戶名密碼認證的安全性，可啟用密碼安全策略，軟鍵盤和圖形校驗碼功能。數(shù)字證書認證第三方CA自建CA數(shù)字證書數(shù)字證書DKEY數(shù)字證書認證DKEY 有驅(qū)DKEY無驅(qū)DKEY 數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方的身份，此認證方法更為安全可靠。 SANGFOR數(shù)字證書認證支持設(shè)備自建CA認證和第三方CA認證。生成了無驅(qū)DKEY，不能再生成有驅(qū)D

5、KEY；有驅(qū)DKEY，可再生成無驅(qū)DKEY。數(shù)字證書認證（生成證書）設(shè)置登錄的用戶名只有私有用戶類型才能選擇數(shù)字證書/DKEY認證設(shè)置證書密碼，用戶安裝此證書時需要填入相同的密碼才允許安裝。數(shù)字證書認證（生成有驅(qū)DKEY）生成有驅(qū)DKEY，管理員和用戶均需下載安裝DKEY驅(qū)動，管理員還需下載安裝DKEY導(dǎo)入控件如果要實現(xiàn)有驅(qū)KEY拔KEY注銷功能，必須啟用 USB Key V2創(chuàng)建DKEY之前需將DKEY插入電腦中數(shù)字證書認證（生成無驅(qū)DKEY）生成無驅(qū)DKEY無驅(qū)DKEY，必須啟用USB KEY V2，才能實現(xiàn)DKEY接入和拔出注銷。創(chuàng)建DKEY之前請先將DKEY插入電腦中硬件特征碼認證 通

6、過硬件特征碼認證可實現(xiàn)SSL VPN帳號和電腦硬件特征的綁定，某賬號只能通過固定的一臺或幾臺電腦登陸，確保了接入的安全性。 硬件特征碼認證讀取接入電腦的硬件信息順序: 硬盤ID -網(wǎng)卡MAC -C盤ID -D盤ID-E盤ID. 硬件特征碼認證屬于輔助認證，必須同時使用一種主要認證。一般先開啟硬件特征碼收集，待用戶全部提交硬件特征碼后，再啟用硬件特征碼認證。勾選“硬件特征碼”SSL 用戶配置案例學(xué)習(xí)管理員如何查看、審批、刪除硬件特征碼？查看硬件特征碼選擇用戶，進行硬件特征碼的審批和刪除操作短信認證 SSL 設(shè)備通過發(fā)送短信校驗碼至用戶綁定的手機號碼上, 用戶正確輸入短信校驗碼后才能登陸SSL。短

7、信認證需開通序列號才能使用。 短信認證屬于輔助認證，必須同時使用一種主要認證。開啟短信驗證碼通過設(shè)備直連短信服務(wù)器發(fā)送短信設(shè)備和短信網(wǎng)關(guān)均連到PC，PC上安裝短信服務(wù)器軟件。在機房信號不佳的情況下，建議選擇外部短信網(wǎng)關(guān)。短信貓中插入的手機卡的短信中心號碼，支持GSM和CDMA手機卡。可支持如下短信網(wǎng)關(guān)類型使用默認參數(shù)即可。注：新短信貓（帶有深信服LOGO）的波特率為115200短信認證（使用內(nèi)置短信貓）1、內(nèi)置短信貓的安裝短信貓直接連接設(shè)備的接口，如下：設(shè)備發(fā)貨時會配好對應(yīng)的串行線接線注意事項：a) 將一張手機SIM卡放入短信Modem 內(nèi)。b) 短信Modem 通過發(fā)貨時自帶的串口線連接到設(shè)

8、備的com口。短信認證（使用內(nèi)置短信貓）2、短信認證設(shè)置短信認證必須選擇私有用戶賬號類型選擇短信認證填入用戶對應(yīng)的手機號碼短信認證（使用外置短信網(wǎng)關(guān)）1、外置短信網(wǎng)關(guān)服務(wù)器軟件安裝接線注意事項：a) 將一手機SIM卡放入短信Modem 內(nèi)。b) 短信Modem 通過發(fā)貨時自帶的串口線連接到短信服務(wù)器（電腦）的COM 口。c) 確保串口線和短信Modem 以及串口線和短信服務(wù)器接觸良好。系統(tǒng)要求：Windows XP、Windows 2000/2003/2008，不支持vista 系統(tǒng)。在服務(wù)器上安裝短信網(wǎng)關(guān)服務(wù)器軟件a 雙擊短信服務(wù)軟件安裝包，按照安裝提示，點擊下一步，直到出現(xiàn)以下軟件安裝目錄

9、選 擇頁面，請保留默認的安裝路徑，否則短信服務(wù)無法正常啟動。短信認證外置短信網(wǎng)關(guān)1、外置短信網(wǎng)關(guān)服務(wù)器軟件安裝b 按照安裝提示操作，最后完成安裝c 軟件安裝完成后，短信服務(wù)會以系統(tǒng)服務(wù)的形式自動運行短信服務(wù)進程為SMSSP.exe在服務(wù)列表中能夠看到短信服務(wù)SMSSERVICEd 在系統(tǒng)的“開始”菜單打開短信服務(wù)軟件的控制臺，進行配置在系統(tǒng)桌面右下角的控制臺能夠看到當(dāng)前短信服務(wù)的狀態(tài)，左圖為服務(wù)正常，右圖為服務(wù)異常如果軟件安裝好后，服務(wù)仍然顯示停止，一般情況下是由于軟件沒有安裝在系統(tǒng)盤下造成的，請把軟件重新安裝在默認路徑下。e 鼠標(biāo)右鍵點擊控制臺，選擇【Config】在軟件服務(wù)的監(jiān)聽端口設(shè)置對

10、話框里，設(shè)置好監(jiān)聽端口（TCP 端口），如果服務(wù)器還提供其他服務(wù)，要保證設(shè)置的端口和這些服務(wù)的端口不沖突如果短信服務(wù)器上裝有防火墻軟件，必須保證防火墻有放通此處設(shè)置的短信服務(wù)監(jiān)聽端口。至此外置短信服務(wù)器設(shè)置完畢。短信認證（使用外置短信網(wǎng)關(guān)）3、短信認證設(shè)置填寫安裝短信網(wǎng)關(guān)服務(wù)器的IP和端口填入用戶對應(yīng)的手機號碼短信認證必須選擇私有用戶賬號類型選擇短信認證LDAP認證 SANGFOR SSL VPN支持結(jié)合認證的外部認證服務(wù)器有LDAP認證和RADIUS認證。 外部認證也是一種主要認證方式，用戶名密碼認證與外部認證不能同時啟用。LDAP認證 LDAP認證： 輕量級目錄訪問協(xié)議。 移動用戶接入SS

11、L VPN，需要到LDAP服務(wù)器上去認證，認證成功后LDAP服務(wù)器會將校驗信息返回給SSL設(shè)備，同時用戶登錄SSL VPN成功。SSL VPN支持所有使用標(biāo)準(zhǔn)LDAP協(xié)議的認證服務(wù)器。 LDAP認證常用端口：TCP 389LDAP認證-配置介紹新建LDAP認證服務(wù)器，設(shè)置相關(guān)信息。添加域服務(wù)器的IP和端口域管理員Administrator在域服務(wù)器的Users文件夾下，管理員路徑填寫格式為：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理員的格式，需要添加域名！選擇用于認證的LDAP用戶賬號所在路徑包含該路徑下所有子路徑的用戶賬號，不勾選則僅包含該

12、路徑下的用戶賬號。支持的域服務(wù)器類型：MS ActiveDirectory：指微軟域用戶LDAP Server：指除微軟域以外的其他LDAPMS ActiveDirectory VPN：指微軟域內(nèi)帶有允許接入微軟VPN屬性的用戶當(dāng)沒有設(shè)置組映射關(guān)系時，自動匹配為某個組的用戶LDAP導(dǎo)入用戶到本地功能介紹LDAP導(dǎo)入用戶到本地：實現(xiàn)將LDAP服務(wù)器中的用戶以及組織結(jié)構(gòu)導(dǎo)入到SSL VPN組織結(jié)構(gòu)中，可分別為不同的用戶或者用戶組關(guān)聯(lián)策略組和角色。功能需求： LDAP服務(wù)器上不同的用戶需要具有不同的資源訪問權(quán)限和策略組。LDAP導(dǎo)入用戶到本地功能配置1. 【認證設(shè)置】，新建LDAP認證服務(wù)器并填寫相

13、應(yīng)信息。（省略配置）2. 【認證設(shè)置】，選擇需要導(dǎo)入用戶的LDAP服務(wù)器，點擊“導(dǎo)入用戶到本地”單獨導(dǎo)入： 僅導(dǎo)入選中的用戶組用戶。遞歸導(dǎo)入：導(dǎo)入選中的用戶組和這個組下所有的子組用戶。選擇需要導(dǎo)入的用戶組將選中的LDAP服務(wù)器中的用戶和用戶組，導(dǎo)入到SSL設(shè)備本地的哪個目標(biāo)組下。將域服務(wù)器中的組織結(jié)構(gòu)導(dǎo)入到SSL設(shè)備中。只導(dǎo)入用戶，不導(dǎo)入用戶組開啟自動同步，每隔一段時間自動將LDAP服務(wù)器中的用戶導(dǎo)入到SSL設(shè)備中，用于LDAP服務(wù)器中用戶變更頻繁的場景。LDAP導(dǎo)入用戶到本地功能配置3. 【用戶管理】，查看是否有LDAP服務(wù)器中同步過來的用戶和用戶組。LDAP服務(wù)器中的組織結(jié)構(gòu)和用戶與LDA

14、P服務(wù)器中的組織結(jié)構(gòu)和用戶一致。LDAP導(dǎo)入用戶到本地功能補充說明1. 如果某用戶“user3”在LDAP服務(wù)器中被禁用，通過LDAP導(dǎo)入功能，能將此用戶成功導(dǎo)入到SSL設(shè)備。但是移動用戶使用域用戶“user3”登錄SSL VPN進行認證時，會認證失敗。2. SSL設(shè)備的組織結(jié)構(gòu)中，不能存在同名的用戶。如果設(shè)備組織結(jié)構(gòu)中已經(jīng)存在用戶“user4”（本地認證或者通過RADIUS認證），LDAP服務(wù)器中也存在同名用戶“user4”，則從LDAP服務(wù)器中導(dǎo)入用戶“user4”不成功。LDAP導(dǎo)入用戶到本地功能補充說明3. 從LDAP服務(wù)器導(dǎo)入用戶到本地設(shè)置中， 對已經(jīng)導(dǎo)入用戶的覆蓋，只能覆蓋通過LD

15、AP服務(wù)器導(dǎo)入的同名用戶。LDAP結(jié)合認證典型案例及配置客戶需求：客戶內(nèi)網(wǎng)已部署好LDAP服務(wù)器，通過域來管理內(nèi)網(wǎng)用戶。客戶使用SANGFOR SSL VPN設(shè)備，希望移動用戶登錄SSL VPN時使用LDAP上的用戶名和密碼進行認證。解決方案：使用SSL VPN與客戶原有LDAP服務(wù)器結(jié)合認證，無需在設(shè)備上創(chuàng)建本地賬號?？蛻艟W(wǎng)絡(luò)環(huán)境：LDAP結(jié)合認證典型案例及配置配置思路：1. 配置LDAP服務(wù)器，在OU中新建用戶。2. SSL VPN新建LDAP服務(wù)器，結(jié)合LDAP認證。3. 使用域賬號登陸SSL VPN。LDAP結(jié)合認證典型案例及配置1.在LDAP服務(wù)器下創(chuàng)建一個用戶名為“test1”的用

16、戶LDAP結(jié)合認證典型案例及配置2. SSL VPN設(shè)備上，新建LDAP認證服務(wù)器并填寫相應(yīng)信息LDAP認證配置介紹3. 移動用戶通過域賬號和密碼登錄SSL VPN。組織結(jié)構(gòu)中無用戶“test1”通過域用戶名密碼登陸SSL VPNSSL 用戶認證案例學(xué)習(xí)SSL 用戶認證案例學(xué)習(xí)背景介紹：某客戶公司希望實現(xiàn)財務(wù)部用戶通過數(shù)字證書，其余用戶通過賬號密碼，且所有用戶均只能使用自己的工作電腦接入SSL VPN。配置思路：1） 開啟硬件特征碼認證2）添加2個用戶組，財務(wù)組使用數(shù)字證書和硬件特征碼認證，普通用戶組使用用戶名密碼和硬件特征碼認證。3）添加用戶關(guān)聯(lián)到組，使用組屬性。SSL 用戶認證案例學(xué)習(xí)1）

17、 開啟硬件特征碼認證控制臺左樹依次展開【SSL VPN設(shè)置】-【認證設(shè)置】點擊【硬件特征碼】處的設(shè)置開啟硬件特征碼認證SSL 用戶認證案例學(xué)習(xí)2） 添加用戶組控制臺左樹依次展開【SSLVPN設(shè)置】-【用戶管理】，點擊【新建】 -【用戶組】SSL 用戶認證案例學(xué)習(xí)3） 添加用戶關(guān)聯(lián)到組，使用數(shù)字證書以及硬件特征碼認證。設(shè)置用戶名選擇所屬用戶組SSL 用戶認證案例學(xué)習(xí)4） 添加用戶關(guān)聯(lián)到組，使用用戶名密碼以及硬件特征碼認證。設(shè)置用戶名密碼選擇所屬用戶組SSL 用戶認證案例學(xué)習(xí)5）設(shè)置用戶與硬件特征碼的一一對應(yīng)關(guān)系，限制用戶只能在自己電腦登錄可設(shè)置范圍為1-100設(shè)置策略組名稱SSL 用戶認證案例學(xué)習(xí)1. 數(shù)字證書和硬件特征碼認證的用戶登錄訪問SSL VPN的過程：1） 將生成的數(shù)字證書發(fā)給移動用戶2） 移動用戶雙擊數(shù)字證書進行安裝，如下圖所示：填入生成證書時管理員設(shè)置的密鑰可以通過查看瀏覽器，檢查證書是否安裝成功表示安裝和導(dǎo)入證書成功SSL 用戶認證案例學(xué)習(xí)1. 數(shù)字證書和硬件特征碼認證的用戶登錄訪問SSL VPN的過程：3）移動用戶通過IE瀏覽器登錄SSL VPN表示用戶認證成功SSL 用戶認證案例學(xué)習(xí)2. 用戶名密碼和硬件特征碼認證的用戶登錄訪問SSL VPN的過程：移動用戶通過IE瀏覽器登錄SSL VPN表示用戶認證成功練練手某客戶希望實現(xiàn)用戶登錄SSL VPN時，除了輸