SANGFOR_SSL_v61_ 2013年度培訓(xùn)08_第三方服務(wù)器結(jié)合認(rèn)證

1、SANGFOR SSL VPN與第三方服務(wù)器結(jié)合認(rèn)證SSL與第三方結(jié)合認(rèn)證功能介紹及配置組映射和角色映射功能介紹及配置深信服公司簡(jiǎn)介L(zhǎng)DAP導(dǎo)入用戶到本地功能介紹及配置練練手SANGFOR SSL證書認(rèn)證第三方服務(wù)器認(rèn)證介紹 SANGFOR SSL VPN支持結(jié)合認(rèn)證的外部認(rèn)證服務(wù)器有LDAP認(rèn)證和RADIUS認(rèn)證。 外部認(rèn)證也是一種主要認(rèn)證方式，用戶名密碼認(rèn)證與外部認(rèn)證不能同時(shí)啟用。第三方服務(wù)器認(rèn)證介紹 LDAP認(rèn)證： 輕量級(jí)目錄訪問(wèn)協(xié)議。 移動(dòng)用戶接入SSL VPN，需要到LDAP服務(wù)器上去認(rèn)證，認(rèn)證成功后LDAP服務(wù)器會(huì)將校驗(yàn)信息返回給SSL設(shè)備，同時(shí)用戶登錄SSL VPN成功。SSL

2、VPN支持所有使用標(biāo)準(zhǔn)LDAP協(xié)議的認(rèn)證服務(wù)器。 LDAP認(rèn)證常用端口：TCP 389第三方服務(wù)器認(rèn)證介紹RADIUS認(rèn)證：遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)，是目前應(yīng)用最廣泛的AAA協(xié)議。認(rèn)證交互過(guò)程：1.用戶輸入用戶名和口令； 2.radius 客戶端(NAS)根據(jù)獲取的用戶名和口令，向radius 服務(wù)器發(fā)送認(rèn)證請(qǐng)求包（access-request）。 3.radius 服務(wù)器將該用戶信息與users 數(shù)據(jù)庫(kù)信息進(jìn)行對(duì)比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包（access-accept）發(fā)送給radius 客戶端；如果認(rèn)證失敗，則返回access-reject 響應(yīng)包。RADIUS認(rèn)證常用

3、端口：UDP1812(認(rèn)證)、UDP1813(計(jì)費(fèi))。LDAP認(rèn)證配置介紹新建LDAP認(rèn)證服務(wù)器，設(shè)置相關(guān)信息。添加域服務(wù)器的IP和端口域管理員Administrator在域服務(wù)器的Users文件夾下，管理員路徑填寫格式為：cn=Administrator,cn=Users,dc=sangfor,dc=com選擇用于認(rèn)證的LDAP用戶賬號(hào)所在路徑包含該路徑下所有子路徑的用戶賬號(hào)，不勾選則僅包含該路徑下的用戶賬號(hào)。支持的域服務(wù)器類型：MS ActiveDirectory：指微軟域用戶LDAP Server：指除微軟域以外的其他LDAPMS ActiveDirectory VPN：指微軟域內(nèi)帶有允

4、許接入微軟VPN屬性的用戶當(dāng)沒(méi)有設(shè)置組映射關(guān)系時(shí)，自動(dòng)匹配為某個(gè)組的用戶RADIUS認(rèn)證配置介紹新建RADIUS認(rèn)證服務(wù)器，設(shè)置相關(guān)信息。添加RADIUS服務(wù)器的IP和認(rèn)證端口選擇RADIUS服務(wù)器對(duì)應(yīng)的認(rèn)證協(xié)議共享密鑰:與RADIUS服務(wù)器設(shè)置相同當(dāng)沒(méi)有設(shè)置組映射關(guān)系時(shí)，自動(dòng)匹配為某個(gè)組的用戶證書認(rèn)證證書認(rèn)證配置介紹1. 證書認(rèn)證介紹證書認(rèn)證是一種主要認(rèn)證方式，只有私有用戶才能采用此認(rèn)證方式。證書認(rèn)證主要由根證書和用戶證書構(gòu)成，其中根證書用于校驗(yàn)用戶信息，用戶證書就相當(dāng)于每個(gè)用戶的身份證，當(dāng)二者匹配時(shí)，才能認(rèn)證通過(guò)。證書認(rèn)證配置介紹2. 證書認(rèn)證分類 證書認(rèn)證可分為本地證書認(rèn)證和第三方證書認(rèn)

5、證。本地認(rèn)證的CA就在設(shè)備上，可以自行更新，用戶登錄使用的證書，也是直接在設(shè)備上生成。第三方證書認(rèn)證的CA需要先導(dǎo)入第三方CA的公鑰，用戶認(rèn)證時(shí)的證書，可以直接安裝在客戶端上，但此時(shí)設(shè)備必須信任該CA頒發(fā)的所有證書。如果設(shè)備只信任導(dǎo)入設(shè)備的用戶證書，則必須在用戶管理那里手動(dòng)新建用戶并導(dǎo)入證書。證書認(rèn)證配置介紹3.本地證書認(rèn)證 下載證書后，直接安裝在電腦（其他終端）上即可證書認(rèn)證配置介紹4.第三方證書認(rèn)證 點(diǎn)擊瀏覽，選擇需要導(dǎo)入的點(diǎn)擊瀏覽，選擇需要導(dǎo)入的CA公鑰公鑰此處可添加多此處可添加多CA，按順序添加即可，按順序添加即可證書認(rèn)證典型案例客戶需求：客戶有一臺(tái)SSLVPN設(shè)備，現(xiàn)在希望各分公司員

6、工都能通過(guò)證書接入，客戶總部無(wú)統(tǒng)一CA中心，各分公司自己有CA。解決方案：各分公司提供CA公鑰并導(dǎo)入設(shè)備，做多CA認(rèn)證，實(shí)現(xiàn)各分公司用戶的證書接入。 配置思路 用戶需要使用兩個(gè)CA中心的根證來(lái)做用戶的證書認(rèn)證，現(xiàn)在要導(dǎo)入這兩個(gè)根證，創(chuàng)建兩個(gè)分屬于這兩CA中心的用戶，并成功登陸。 配置步驟： 1、創(chuàng)建2個(gè)根CA； 2、創(chuàng)建2個(gè)用戶，分別屬于這2個(gè)CA。 3、安裝用戶證書，并進(jìn)行登錄測(cè)試。 點(diǎn)擊外置點(diǎn)擊外置CA名名稱進(jìn)行詳細(xì)編輯稱進(jìn)行詳細(xì)編輯點(diǎn)擊有介紹如點(diǎn)擊有介紹如何證書屬性如何證書屬性如何配置何配置根據(jù)此字段找到根據(jù)此字段找到設(shè)備里對(duì)應(yīng)的用設(shè)備里對(duì)應(yīng)的用戶、分配權(quán)限戶、分配權(quán)限根據(jù)此字段進(jìn)行證根

7、據(jù)此字段進(jìn)行證書校驗(yàn)，需要在用書校驗(yàn)，需要在用戶編輯界面設(shè)置戶編輯界面設(shè)置 1、創(chuàng)建、創(chuàng)建CA 2、創(chuàng)建用戶，并啟用證書認(rèn)證、創(chuàng)建用戶，并啟用證書認(rèn)證點(diǎn)擊并導(dǎo)入對(duì)點(diǎn)擊并導(dǎo)入對(duì)應(yīng)的用戶證書應(yīng)的用戶證書選擇對(duì)應(yīng)的證選擇對(duì)應(yīng)的證書文件導(dǎo)入，書文件導(dǎo)入，并歸屬到對(duì)應(yīng)并歸屬到對(duì)應(yīng)的的CA中去。中去。此例以導(dǎo)入用戶證書為例。此例以導(dǎo)入用戶證書為例。當(dāng)然，你也可以不導(dǎo)入證書，當(dāng)然，你也可以不導(dǎo)入證書，啟用信任該啟用信任該CA簽發(fā)的所有簽發(fā)的所有證書用戶即可。證書用戶即可。 3、安裝證書并登陸、安裝證書并登陸LDAP結(jié)合認(rèn)證典型案例及配置LDAP結(jié)合認(rèn)證典型案例及配置客戶需求：客戶內(nèi)網(wǎng)已部署好LDAP服務(wù)器，

8、通過(guò)域來(lái)管理內(nèi)網(wǎng)用戶?？蛻羰褂肧ANGFOR SSL VPN設(shè)備，希望移動(dòng)用戶登錄SSL VPN時(shí)使用LDAP上的用戶名和密碼進(jìn)行認(rèn)證。解決方案：使用SSL VPN與客戶原有LDAP服務(wù)器結(jié)合認(rèn)證，無(wú)需在設(shè)備上創(chuàng)建本地賬號(hào)。客戶網(wǎng)絡(luò)環(huán)境：LDAP結(jié)合認(rèn)證典型案例及配置配置思路：1. 配置LDAP服務(wù)器，在OU中新建用戶。2. SSL VPN新建LDAP服務(wù)器，結(jié)合LDAP認(rèn)證。3. 使用域賬號(hào)登陸SSL VPN。LDAP結(jié)合認(rèn)證典型案例及配置1.在LDAP服務(wù)器下創(chuàng)建一個(gè)用戶名為“test1”的用戶LDAP結(jié)合認(rèn)證典型案例及配置2. SSL VPN設(shè)備上，新建LDAP認(rèn)證服務(wù)器并填寫相應(yīng)信息L

9、DAP認(rèn)證配置介紹3. 移動(dòng)用戶通過(guò)域賬號(hào)和密碼登錄SSL VPN。組織結(jié)構(gòu)中無(wú)用戶“test1”通過(guò)域用戶名密碼登陸SSL VPN組映射和角色映射功能介紹及配置組映射和角色映射功能介紹 LDAP組映射：將LDAP上的OU以用戶組的形式導(dǎo)入到SSL設(shè)備上，或者將OU一一映射給設(shè)備上的某個(gè)組。勾選需要映射的OU映射到本地的位置將LDAP服務(wù)器中的OU導(dǎo)入到SSL設(shè)備中，只導(dǎo)入用戶組，不導(dǎo)入用戶?？煞謩e對(duì)用戶組設(shè)置不同的角色和策略，用戶通過(guò)認(rèn)證后獲得相應(yīng)組的權(quán)限組映射和角色映射功能介紹 LDAP角色映射：將LDAP上的安全組以角色的形式導(dǎo)入到SSL設(shè)備上，或者將安全組一一映射給設(shè)備上的某個(gè)角色。勾

10、選需要映射的安全組安全組的用戶通過(guò)認(rèn)證后，自動(dòng)獲得相應(yīng)的角色資源訪問(wèn)權(quán)限。組映射和角色映射功能介紹 RADIUS組映射：RADIUS用戶登錄SSL時(shí)，根據(jù)Class屬性字段進(jìn)行分組。填寫class屬性的值，和對(duì)應(yīng)的本地用戶組。移動(dòng)用戶通過(guò)RADIUS賬號(hào)登陸SSL后，根據(jù)賬號(hào)的class屬性值，自動(dòng)分配對(duì)應(yīng)用戶組的角色和策略。LDAP導(dǎo)入用戶到本地功能介紹及配置LDAP導(dǎo)入用戶到本地功能介紹LDAP導(dǎo)入用戶到本地：實(shí)現(xiàn)將LDAP服務(wù)器中的用戶以及組織結(jié)構(gòu)導(dǎo)入到SSL VPN組織結(jié)構(gòu)中，可分別為不同的用戶或者用戶組關(guān)聯(lián)策略組和角色。功能需求： LDAP服務(wù)器上不同的用戶需要具有不同的資源訪問(wèn)權(quán)限

11、和策略組。LDAP導(dǎo)入用戶到本地功能配置1. 【認(rèn)證設(shè)置】，新建LDAP認(rèn)證服務(wù)器并填寫相應(yīng)信息。（省略配置）2. 【認(rèn)證設(shè)置】，選擇需要導(dǎo)入用戶的LDAP服務(wù)器，點(diǎn)擊“導(dǎo)入用戶到本地”單獨(dú)導(dǎo)入： 僅導(dǎo)入選中的用戶組用戶。遞歸導(dǎo)入：導(dǎo)入選中的用戶組和這個(gè)組下所有的子組用戶。選擇需要導(dǎo)入的用戶組將選中的LDAP服務(wù)器中的用戶和用戶組，導(dǎo)入到SSL設(shè)備本地的哪個(gè)目標(biāo)組下。將域服務(wù)器中的組織結(jié)構(gòu)導(dǎo)入到SSL設(shè)備中。只導(dǎo)入用戶，不導(dǎo)入用戶組開(kāi)啟自動(dòng)同步，每隔一段時(shí)間自動(dòng)將LDAP服務(wù)器中的用戶導(dǎo)入到SSL設(shè)備中，用于LDAP服務(wù)器中用戶變更頻繁的場(chǎng)景。LDAP導(dǎo)入用戶到本地功能配置3. 【用戶管理】，

12、查看是否有LDAP服務(wù)器中同步過(guò)來(lái)的用戶和用戶組。LDAP服務(wù)器中的組織結(jié)構(gòu)和用戶與LDAP服務(wù)器中的組織結(jié)構(gòu)和用戶一致。LDAP導(dǎo)入用戶到本地功能補(bǔ)充說(shuō)明1. 如果某用戶“user3”在LDAP服務(wù)器中被禁用，通過(guò)LDAP導(dǎo)入功能，能將此用戶成功導(dǎo)入到SSL設(shè)備。但是移動(dòng)用戶使用域用戶“user3”登錄SSL VPN進(jìn)行認(rèn)證時(shí)，會(huì)認(rèn)證失敗。2. SSL設(shè)備的組織結(jié)構(gòu)中，不能存在同名的用戶。如果設(shè)備組織結(jié)構(gòu)中已經(jīng)存在用戶“user4”（本地認(rèn)證或者通過(guò)RADIUS認(rèn)證），LDAP服務(wù)器中也存在同名用戶“user4”，則從LDAP服務(wù)器中導(dǎo)入用戶“user4”不成功。LDAP導(dǎo)入用戶到本地功能補(bǔ)

13、充說(shuō)明3. 從LDAP服務(wù)器導(dǎo)入用戶到本地設(shè)置中， 對(duì)已經(jīng)導(dǎo)入用戶的覆蓋，只能覆蓋通過(guò)LDAP服務(wù)器導(dǎo)入的同名用戶。域單點(diǎn)登錄認(rèn)證功能適用場(chǎng)景：客戶內(nèi)網(wǎng)有域控環(huán)境，SSL設(shè)備與用戶加入到相同的域，用戶登陸域后，可通過(guò)SSL客戶端直接登陸訪問(wèn)資源頁(yè)面。域單點(diǎn)登錄認(rèn)證功能SSL VPN域單點(diǎn)登錄只支持CS客戶端方式登錄：只支持只支持CSCS客戶方式客戶方式登錄登錄想一想 1. 如果本地認(rèn)證存在用戶“test”，外部認(rèn)證服務(wù)器里也有同名的用戶“test”，那么移動(dòng)用戶使用“test”這個(gè)賬號(hào)登錄SSL VPN時(shí)，會(huì)匹配本地認(rèn)證還是去外部認(rèn)證服務(wù)器認(rèn)證呢？ 如果本地認(rèn)證和外部認(rèn)證存在有相同的用戶名時(shí)，

14、優(yōu)先匹配本地認(rèn)證，當(dāng)本地認(rèn)證不通過(guò)時(shí)，返回用戶名密碼錯(cuò)誤的提示。2. 如下圖所示，在同一個(gè)LDAP服務(wù)器設(shè)置中添加兩個(gè)域服務(wù)器的IP和端口，和分別添加兩個(gè)LDAP服務(wù)器，認(rèn)證過(guò)程是否相同？ 圖2的設(shè)置方法： 如果這兩個(gè)服務(wù)器上都存在相同用戶名時(shí)，按照外部認(rèn)證服務(wù)器的順序進(jìn)行認(rèn)證匹配，直到找到第一個(gè)認(rèn)證成功的外部認(rèn)證服務(wù)器，如果所有外部認(rèn)證服務(wù)器都認(rèn)證失敗，才返回用戶名密碼錯(cuò)誤的提示。想一想圖1的設(shè)置方法：用于多個(gè)LDAP服務(wù)器群做主備的情況。當(dāng)設(shè)備連接不上第一個(gè)服務(wù)器時(shí)，再去連接第二個(gè)服務(wù)器。如果第一個(gè)服務(wù)器能連接上，返回認(rèn)證失敗信息，則不會(huì)再連接第二個(gè)服務(wù)器。練練手某公司購(gòu)買了SANGFOR SSL VPN設(shè)備給公網(wǎng)移動(dòng)用戶提供安全接入實(shí)現(xiàn)訪問(wèn)公司內(nèi)網(wǎng)資源，由于客戶內(nèi)網(wǎng)已有LDAP服務(wù)器來(lái)管理用戶，需要實(shí)現(xiàn)的功能如下：1. 公網(wǎng)移動(dòng)用戶接入SSL VPN時(shí)到LDAP服務(wù)器上去認(rèn)證，認(rèn)證成功后允許接入SSL VPN。在LDAP服務(wù)器上創(chuàng)建一個(gè)名為“ALL”的OU，在“ALL”的OU下創(chuàng)建一個(gè)子OU“support”和直屬用戶“test1”，在子OU“support”下創(chuàng)建兩個(gè)用戶：test2和test3。要求將“ALL”的OU結(jié)構(gòu)映射到SSL的根組下，為“ALL”用戶組和“