SANGFOR-SSL-v58-年度渠道高級認證培訓(xùn)01-第三方

1、SANGFOR SSL VPN與第三方效力器結(jié)合認證培訓(xùn)內(nèi)容培訓(xùn)目標第三方服務(wù)器認證1. 了解SSL VPN支持的第三方服務(wù)器認證LDAP認證1. 掌握SSL結(jié)合LDAP服務(wù)器認證的配置步驟RADIUS認證1. 掌握SSL結(jié)合RADIUS服務(wù)器認證的配置步驟組映射和角色映射1、了解組映射和角色映射功能的作用2、掌握組映射和角色映射功能的配置方法LDAP導(dǎo)入用戶1、掌握LDAP導(dǎo)入用戶到本地功能的配置方法SSL與第三方結(jié)合認證功能引見及配置組映射和角色映射功能引見及配置深服氣公司簡介LDAP導(dǎo)入用戶到本地功能引見及配置練練手SANGFOR SSL第三方效力器認證引見 SANGFOR SSL VP

2、N支持結(jié)合認證的外部認證效力器有LDAP認證和RADIUS認證。 外部認證也是一種主要認證方式，用戶名密碼認證與外部認證不能同時啟用。第三方效力器認證引見 LDAP認證： 輕量級目錄訪問協(xié)議。 挪動用戶接入SSL VPN，需求到LDAP效力器上去認證，認證勝利后LDAP效力器會將校驗信息前往給SSL設(shè)備，同時用戶登錄SSL VPN勝利。SSL VPN支持一切運用規(guī)范LDAP協(xié)議的認證效力器。 LDAP認證常用端口：TCP 389第三方效力器認證引見RADIUS認證：遠程用戶撥號認證系統(tǒng)，是目前運用最廣泛的AAA協(xié)議。認證交互過程：1.用戶輸入用戶名和口令； 2.radius 客戶端(NAS)根

3、據(jù)獲取的用戶名和口令，向radius 效力器發(fā)送認證懇求包access-request。 3.radius 效力器將該用戶信息與users 數(shù)據(jù)庫信息進展對比分析，假設(shè)認證勝利，那么將用戶的權(quán)限信息以認證呼應(yīng)包access-accept發(fā)送給radius 客戶端；假設(shè)認證失敗，那么前往access-reject 呼應(yīng)包。RADIUS認證常用端口：UDP1812(認證)、UDP1813(計費)。LDAP認證配置引見新建LDAP認證效力器，設(shè)置相關(guān)信息。添加域效力器的IP和端口域管理員Administrator在域效力器sangfor的Users文件夾下，管理員途徑填寫格式為：cn=Adminis

4、trator,cn=Users,dc=sangfor,dc=com留意管理員的格式，需求添加域名！選擇用于認證的LDAP用戶賬號所在途徑包含該途徑下一切子途徑的用戶賬號，不勾選那么僅包含該途徑下的用戶賬號。支持的域效力器類型：MS ActiveDirectory：指微軟域用戶LDAP Server：指除微軟域以外的其他LDAPMS ActiveDirectory VPN：指微軟域內(nèi)帶有允許接入微軟VPN屬性的用戶當沒有設(shè)置組映射關(guān)系時，自動匹配為某個組的用戶RADIUS認證配置引見新建RADIUS認證效力器，設(shè)置相關(guān)信息。添加RADIUS效力器的IP和認證端口選擇RADIUS效力器對應(yīng)的認證協(xié)

5、議共享密鑰:與RADIUS效力器設(shè)置一樣當沒有設(shè)置組映射關(guān)系時，自動匹配為某個組的用戶LDAP結(jié)合認證典型案例及配置LDAP結(jié)合認證典型案例及配置客戶需求：客戶內(nèi)網(wǎng)已部署好LDAP效力器，經(jīng)過域來管理內(nèi)網(wǎng)用戶?？蛻暨\用SANGFOR SSL VPN設(shè)備，希望挪動用戶登錄SSL VPN時運用LDAP上的用戶名和密碼進展認證。處理方案：運用SSL VPN與客戶原有LDAP效力器結(jié)合認證，無需在設(shè)備上創(chuàng)建本地賬號。客戶網(wǎng)絡(luò)環(huán)境：LDAP結(jié)合認證典型案例及配置配置思緒：1. 配置LDAP效力器，在OU中新建用戶。2. SSL VPN新建LDAP效力器，結(jié)合LDAP認證。3. 運用域賬號登陸SSL VP

6、N。LDAP結(jié)合認證典型案例及配置1.在LDAP效力器下創(chuàng)建一個用戶名為“test1的用戶LDAP結(jié)合認證典型案例及配置2. SSL VPN設(shè)備上，新建LDAP認證效力器并填寫相應(yīng)信息LDAP認證配置引見3. 挪動用戶經(jīng)過域賬號和密碼登錄SSL VPN。組織構(gòu)造中無用戶“test1經(jīng)過域用戶名密碼登陸SSL VPN組映射和角色映射功能引見及配置組映射和角色映射功能引見 LDAP組映射：將LDAP上的OU以用戶組的方式導(dǎo)入到SSL設(shè)備上，或者將OU一一映射給設(shè)備上的某個組。勾選需求映射的OU映射到本地的位置將LDAP效力器中的OU導(dǎo)入到SSL設(shè)備中，只導(dǎo)入用戶組，不導(dǎo)入用戶?？煞謩e對用戶組設(shè)置不

7、同的角色和戰(zhàn)略，用戶經(jīng)過認證后獲得相應(yīng)組的權(quán)限組映射和角色映射功能引見 LDAP角色映射：將LDAP上的平安組以角色的方式導(dǎo)入到SSL設(shè)備上，或者將平安組一一映射給設(shè)備上的某個角色。勾選需求映射的平安組平安組的用戶經(jīng)過認證后，自動獲得相應(yīng)的角色資源訪問權(quán)限。組映射和角色映射功能引見 RADIUS組映射：RADIUS用戶登錄SSL時，根據(jù)Class屬性字段進展分組。填寫class屬性的值，和對應(yīng)的本地用戶組。挪動用戶經(jīng)過RADIUS賬號登陸SSL后，根據(jù)賬號的class屬性值，自動分配對運用戶組的角色和戰(zhàn)略。LDAP導(dǎo)入用戶到本地功能引見及配置LDAP導(dǎo)入用戶到本地功能引見LDAP導(dǎo)入用戶到本地

8、：實現(xiàn)將LDAP效力器中的用戶以及組織構(gòu)造導(dǎo)入到SSL VPN組織構(gòu)造中，可分別為不同的用戶或者用戶組關(guān)聯(lián)戰(zhàn)略組和角色。功能需求： LDAP效力器上不同的用戶需求具有不同的資源訪問權(quán)限和戰(zhàn)略組。LDAP導(dǎo)入用戶到本地功能配置1. 【認證設(shè)置】，新建LDAP認證效力器并填寫相應(yīng)信息。省略配置2. 【認證設(shè)置】，選擇需求導(dǎo)入用戶的LDAP效力器，點擊“導(dǎo)入用戶到本地單獨導(dǎo)入： 僅導(dǎo)入選中的用戶組用戶。遞歸導(dǎo)入：導(dǎo)入選中的用戶組和這個組下一切的子組用戶。選擇需求導(dǎo)入的用戶組將選中的LDAP效力器中的用戶和用戶組，導(dǎo)入到SSL設(shè)備本地的哪個目的組下。將域效力器中的組織構(gòu)造導(dǎo)入到SSL設(shè)備中。只導(dǎo)入用戶

9、，不導(dǎo)入用戶組開啟自動同步，每隔一段時間自動將LDAP效力器中的用戶導(dǎo)入到SSL設(shè)備中，用于LDAP效力器中用戶變卦頻繁的場景。LDAP導(dǎo)入用戶到本地功能配置3. 【用戶管理】，查看能否有LDAP效力器中同步過來的用戶和用戶組。LDAP效力器中的組織構(gòu)造和用戶與LDAP效力器中的組織構(gòu)造和用戶一致。LDAP導(dǎo)入用戶到本地功能補充闡明1. 假設(shè)某用戶“user3在LDAP效力器中被禁用，經(jīng)過LDAP導(dǎo)入功能，能將此用戶勝利導(dǎo)入到SSL設(shè)備。但是挪動用戶運用域用戶“user3登錄SSL VPN進展認證時，會認證失敗。2. SSL設(shè)備的組織構(gòu)造中，不能存在同名的用戶。假設(shè)設(shè)備組織構(gòu)造中曾經(jīng)存在用戶“

10、user4本地認證或者經(jīng)過RADIUS認證，LDAP效力器中也存在同名用戶“user4，那么從LDAP效力器中導(dǎo)入用戶“user4不勝利。LDAP導(dǎo)入用戶到本地功能補充闡明3. 從LDAP效力器導(dǎo)入用戶到本地設(shè)置中， 對曾經(jīng)導(dǎo)入用戶的覆蓋，只能覆蓋經(jīng)過LDAP效力器導(dǎo)入的同名用戶。特殊案例：SSL結(jié)合飛天誠信動態(tài)令牌進展認證 動態(tài)令牌是根據(jù)專門的算法生成一個不可預(yù)測的隨機數(shù)字組合，一個密碼運用一次有效，目前被廣泛運用在網(wǎng)銀、網(wǎng)游、電信運營商、電子政務(wù)、企業(yè)等運用領(lǐng)域。常見的我們SSL設(shè)備跟OTP飛天誠信動態(tài)令牌結(jié)合做認證。 接下來引見OTP Server認證效力器的安裝配置、OTP管理平臺的安

11、裝配置和深服氣SSL設(shè)備的配置方法。SSL結(jié)合飛天誠信動態(tài)令牌進展認證SSL結(jié)合飛天誠信動態(tài)令牌進展認證，對于SSL設(shè)備來說就是radius認證，在搭建好OTP效力器之后，SSL設(shè)備僅僅需求配置radius認證部分即可。詳細步驟如下：(1)安裝和配置數(shù)據(jù)庫系統(tǒng)，創(chuàng)建OTP Server數(shù)據(jù)庫和數(shù)據(jù)庫表(2)安裝、配置并運轉(zhuǎn)OTP Server認證效力器，安裝過程中需求授權(quán)文件(3)安裝、配置并運轉(zhuǎn)OTP管理中心，安裝或配置過程中需求授權(quán)文件(4)令牌的導(dǎo)入和與用戶帳號的綁定，在OTP管理中心中導(dǎo)入令牌種子(5)SSL上配置Radius認證方式注：前4個步驟配置，請參考文檔，本PPT重點講SSL

12、設(shè)備上的配置以及測試效果。附下載鏈接：sangfor.360help/read.php?tid-7400-ds-1.htmlSSL結(jié)合飛天誠信動態(tài)令牌進展認證1、點擊“SSL VPN設(shè)置-認證設(shè)置 -Radius認證-設(shè)置 新建一個radius認證效力器 SSL結(jié)合飛天誠信動態(tài)令牌進展認證2、將用戶映射到之前新建的“radius測試組支持根據(jù)Class屬性字段進展分組SSL結(jié)合飛天誠信動態(tài)令牌進展認證3、編輯radius用戶組，認證選項“外部認證選擇otp,給該用戶組關(guān)聯(lián)資源完成配置。SSL結(jié)合飛天誠信動態(tài)令牌進展認證效果展現(xiàn)：1、登錄用戶登錄頁面2、輸入此時手上令牌的密碼進展登錄附認證勝利的

13、系統(tǒng)日志如下圖本卷須知：1、登錄VPN后彈出挑戰(zhàn)認證框，能夠是Radius server啟用了challenge認證方式。2、Radius里的chap支持支持v1、v2。3、PPTP不支持外部認證，PPTP登錄的用戶不支持Radius認證。想一想 1. 假設(shè)本地認證存在用戶“test，外部認證效力器里也有同名的用戶“test，那么挪動用戶運用“test這個賬號登錄SSL VPN時，會匹配本地認證還是去外部認證效力器認證呢？ 假設(shè)本地認證和外部認證存在有一樣的用戶名時，優(yōu)先匹配本地認證，當本地認證不經(jīng)過時，前往用戶名密碼錯誤的提示。2. 如以下圖所示，在同一個LDAP效力器設(shè)置中添加兩個域效力器

14、的IP和端口，和分別添加兩個LDAP效力器，認證過程能否一樣？ 圖2的設(shè)置方法： 假設(shè)這兩個效力器上都存在一樣用戶名時，按照外部認證效力器的順序進展認證匹配，直到找到第一個認證勝利的外部認證效力器，假設(shè)一切外部認證效力器都認證失敗，才前往用戶名密碼錯誤的提示。想一想圖1的設(shè)置方法：用于多個LDAP效力器群做主備的情況。當設(shè)備銜接不上第一個效力器時，再去銜接第二個效力器。假設(shè)第一個效力器能銜接上，前往認證失敗信息，那么不會再銜接第二個效力器。練練手某公司購買了SANGFOR SSL VPN設(shè)備給公網(wǎng)挪動用戶提供平安接入實現(xiàn)訪問公司內(nèi)網(wǎng)資源，由于客戶內(nèi)網(wǎng)已有LDAP效力器來管理用戶，需求實現(xiàn)的功能如下：1. 公網(wǎng)挪動用戶接入SSL VPN時到LDAP效力器上去認證，認證勝利后允許接入SSL VPN。在LDAP效力器上創(chuàng)建一個名為“ALL的OU，在“ALL的OU下創(chuàng)建一個子OU“support和直屬用戶“test1，在子OU“support下創(chuàng)建兩個用戶：test2和test3。要求將“ALL的OU構(gòu)造映射到SSL的根組下，為“ALL用戶組和“support用戶