SANGFORSSLv58XX年度渠道初級認(rèn)證培訓(xùn)03用戶認(rèn)

27五月2023SANGFORSSLv58XX年度渠道初級認(rèn)證培訓(xùn)03用戶認(rèn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)用戶認(rèn)證技術(shù)1、了解SSLVPN支持的所有認(rèn)證方式2、了解各種認(rèn)證方式下能實(shí)現(xiàn)的功能主要認(rèn)證1、掌握主要認(rèn)證包含的認(rèn)證方式及功能2、結(jié)合案例掌握用戶名密碼和數(shù)字證書認(rèn)證方式的配置步驟輔助認(rèn)證1、掌握輔助認(rèn)證包含的認(rèn)證方式及功能2、結(jié)合案例掌握硬件特征碼和短信認(rèn)證方式的配置步驟策略組1、了解策略組功能的作用2、掌握策略組里各項(xiàng)功能的設(shè)置用戶認(rèn)證功能介紹深信服公司簡介策略組功能介紹練練手SANGFORSSL用戶認(rèn)證配置和案例學(xué)習(xí)SSL用戶和用戶組用戶：登錄SSLVPN的賬號，分為公有用戶和私有用戶。私有用戶只能同時(shí)一人登陸，公有用戶允許多人同時(shí)登陸。用戶組：由“用戶”組成，每個(gè)“用戶”必須屬于唯一的“用戶組”，root根組和默認(rèn)用戶組無法刪除。SSL用戶組的添加選擇賬戶類型和認(rèn)證方式填寫組名和所屬組可選關(guān)聯(lián)策略組與角色保存配置后，必須點(diǎn)擊“立即生效”使配置生效。SSL用戶的添加如果勾選“繼承所屬組的認(rèn)證選項(xiàng)”，則用戶按照“support”組的認(rèn)證方式填寫密碼即可。不勾選“繼承所屬組認(rèn)證選項(xiàng)”，則用戶可以自定義認(rèn)證方式。保存和生效配置SSLVPN用戶認(rèn)證方式外部認(rèn)證認(rèn)證方式本地認(rèn)證用戶名、密碼認(rèn)證數(shù)字證書硬件特征碼認(rèn)證短信認(rèn)證LDAP認(rèn)證RADIUS認(rèn)證輔助認(rèn)證（可選）主要認(rèn)證（必須選擇一種）令牌認(rèn)證（RADIUS認(rèn)證）/DKEY認(rèn)證（私有用戶）（私有用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）SSLVPN用戶認(rèn)證方式SSLVPN的用戶必須使用一種主要認(rèn)證方式，也可以使用主要認(rèn)證再結(jié)合多種輔助認(rèn)證的方式。如果設(shè)置了多種主要認(rèn)證方式，可選擇必須通過所有的主要認(rèn)證或通過其中一種主要認(rèn)證方式即可。SSLVPN用戶認(rèn)證方式本PPT介紹四種常用的主要認(rèn)證和輔助認(rèn)證方式：1.用戶名密碼認(rèn)證2.數(shù)字證書認(rèn)證3.短信認(rèn)證4.硬件特征碼認(rèn)證用戶名密碼認(rèn)證用戶名密碼認(rèn)證，即用戶通過輸入用戶名和密碼登錄SSLVPN。認(rèn)證方式選擇“用戶名/密碼”用戶名密碼信息保存在設(shè)備數(shù)據(jù)庫中，屬于本地認(rèn)證“同時(shí)使用”表示設(shè)置了多種主要認(rèn)證方式時(shí)，所有認(rèn)證都必須通過?！叭我庖环N”表示其中一種主要認(rèn)證方式通過即可。公有用戶和私有用戶均可設(shè)置用戶名密碼認(rèn)證。用戶名密碼認(rèn)證為了加強(qiáng)用戶名密碼認(rèn)證的安全性，可啟用密碼安全策略，軟鍵盤和圖形校驗(yàn)碼功能。數(shù)字證書認(rèn)證第三方CA自建CA數(shù)字證書數(shù)字證書DKEY數(shù)字證書認(rèn)證DKEY

有驅(qū)DKEY無驅(qū)DKEY數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方的身份，此認(rèn)證方法更為安全可靠。SANGFOR數(shù)字證書認(rèn)證支持設(shè)備自建CA認(rèn)證和第三方CA認(rèn)證。生成了無驅(qū)DKEY，不能再生成有驅(qū)DKEY；有驅(qū)DKEY，可再生成無驅(qū)DKEY。數(shù)字證書認(rèn)證（生成證書）設(shè)置登錄的用戶名只有私有用戶類型才能選擇數(shù)字證書/DKEY認(rèn)證設(shè)置證書密碼，用戶安裝此證書時(shí)需要填入相同的密碼才允許安裝。數(shù)字證書認(rèn)證（生成有驅(qū)DKEY）生成有驅(qū)DKEY，管理員和用戶均需下載安裝DKEY驅(qū)動(dòng)，管理員還需下載安裝DKEY導(dǎo)入控件如果要實(shí)現(xiàn)有驅(qū)KEY拔KEY注銷功能，必須啟用USBKeyV2創(chuàng)建DKEY之前需將DKEY插入電腦中數(shù)字證書認(rèn)證（生成無驅(qū)DKEY）生成無驅(qū)DKEY無驅(qū)DKEY，必須啟用USBKEYV2，才能實(shí)現(xiàn)DKEY接入和拔出注銷。創(chuàng)建DKEY之前請先將DKEY插入電腦中硬件特征碼認(rèn)證通過硬件特征碼認(rèn)證可實(shí)現(xiàn)SSLVPN帳號和電腦硬件特征的綁定，某賬號只能通過固定的一臺(tái)或幾臺(tái)電腦登陸，確保了接入的安全性。硬件特征碼認(rèn)證讀取接入電腦的硬件信息順序:

硬盤ID->網(wǎng)卡MAC->C盤ID->D盤ID->E盤ID...

硬件特征碼認(rèn)證屬于輔助認(rèn)證，必須同時(shí)使用一種主要認(rèn)證。一般先開啟硬件特征碼收集，待用戶全部提交硬件特征碼后，再啟用硬件特征碼認(rèn)證。勾選“硬件特征碼”短信認(rèn)證SSL設(shè)備通過發(fā)送短信校驗(yàn)碼至用戶綁定的手機(jī)號碼上,用戶正確輸入短信校驗(yàn)碼后才能登陸SSL。短信認(rèn)證需開通序列號才能使用。

短信認(rèn)證屬于輔助認(rèn)證，必須同時(shí)使用一種主要認(rèn)證。開啟短信驗(yàn)證碼通過設(shè)備直連短信服務(wù)器發(fā)送短信設(shè)備和短信網(wǎng)關(guān)均連到PC，PC上安裝短信服務(wù)器軟件。在機(jī)房信號不佳的情況下，建議選擇外部短信網(wǎng)關(guān)。短信貓中插入的手機(jī)卡的短信中心號碼，支持GSM和CDMA手機(jī)卡?？芍С秩缦露绦啪W(wǎng)關(guān)類型使用默認(rèn)參數(shù)即可。注：新短信貓（帶有深信服LOGO）的波特率為115200短信認(rèn)證（使用內(nèi)置短信貓）1、內(nèi)置短信貓的安裝短信貓直接連接設(shè)備的接口，如下：設(shè)備發(fā)貨時(shí)會(huì)配好對應(yīng)的串行線接線注意事項(xiàng)：a)將一張手機(jī)SIM卡放入短信Modem內(nèi)。b)短信Modem通過發(fā)貨時(shí)自帶的串口線連接到設(shè)備的com口。短信認(rèn)證（使用內(nèi)置短信貓）2、短信認(rèn)證設(shè)置短信認(rèn)證必須選擇私有用戶賬號類型選擇短信認(rèn)證填入用戶對應(yīng)的手機(jī)號碼短信認(rèn)證（使用外置短信網(wǎng)關(guān)）1、外置短信網(wǎng)關(guān)服務(wù)器軟件安裝接線注意事項(xiàng)：a)將一手機(jī)SIM卡放入短信Modem內(nèi)。b)短信Modem通過發(fā)貨時(shí)自帶的串口線連接到短信服務(wù)器（電腦）的COM口。c)確保串口線和短信Modem以及串口線和短信服務(wù)器接觸良好。系統(tǒng)要求：WindowsXP、Windows2000/2003/2008，不支持vista系統(tǒng)。在服務(wù)器上安裝短信網(wǎng)關(guān)服務(wù)器軟件a

雙擊短信服務(wù)軟件安裝包，按照安裝提示，點(diǎn)擊下一步，直到出現(xiàn)以下軟件安裝目錄選擇頁面，請保留默認(rèn)的安裝路徑，否則短信服務(wù)無法正常啟動(dòng)。短信認(rèn)證—外置短信網(wǎng)關(guān)1、外置短信網(wǎng)關(guān)服務(wù)器軟件安裝b按照安裝提示操作，最后完成安裝c軟件安裝完成后，短信服務(wù)會(huì)以系統(tǒng)服務(wù)的形式自動(dòng)運(yùn)行短信服務(wù)進(jìn)程為SMSSP.exe在服務(wù)列表中能夠看到短信服務(wù)SMSSERVICEd

在系統(tǒng)的“開始”菜單打開短信服務(wù)軟件的控制臺(tái)，進(jìn)行配置在系統(tǒng)桌面右下角的控制臺(tái)能夠看到當(dāng)前短信服務(wù)的狀態(tài)，左圖為服務(wù)正常，右圖為服務(wù)異常如果軟件安裝好后，服務(wù)仍然顯示停止，一般情況下是由于軟件沒有安裝在系統(tǒng)盤下造成的，請把軟件重新安裝在默認(rèn)路徑下。e鼠標(biāo)右鍵點(diǎn)擊控制臺(tái)，選擇【Config】在軟件服務(wù)的監(jiān)聽端口設(shè)置對話框里，設(shè)置好監(jiān)聽端口（TCP端口），如果服務(wù)器還提供其他服務(wù)，要保證設(shè)置的端口和這些服務(wù)的端口不沖突如果短信服務(wù)器上裝有防火墻軟件，必須保證防火墻有放通此處設(shè)置的短信服務(wù)監(jiān)聽端口。至此外置短信服務(wù)器設(shè)置完畢。短信認(rèn)證（使用外置短信網(wǎng)關(guān)）3、短信認(rèn)證設(shè)置填寫安裝短信網(wǎng)關(guān)服務(wù)器的IP和端口填入用戶對應(yīng)的手機(jī)號碼短信認(rèn)證必須選擇私有用戶賬號類型選擇短信認(rèn)證SSL用戶配置案例學(xué)習(xí)SSL用戶配置案例學(xué)習(xí)背景介紹：某客戶公司希望實(shí)現(xiàn)財(cái)務(wù)部用戶通過數(shù)字證書，其余用戶通過賬號密碼，且所有用戶均只能使用自己的工作電腦接入SSLVPN。配置思路：1）開啟硬件特征碼認(rèn)證2）添加2個(gè)用戶組，財(cái)務(wù)組使用數(shù)字證書和硬件特征碼認(rèn)證，普通用戶組使用用戶名密碼和硬件特征碼認(rèn)證。3）添加用戶關(guān)聯(lián)到組，使用組屬性。SSL用戶配置案例學(xué)習(xí)1）開啟硬件特征碼認(rèn)證控制臺(tái)左樹依次展開【SSLVPN設(shè)置】->【認(rèn)證設(shè)置】點(diǎn)擊【硬件特征碼】處的設(shè)置開啟硬件特征碼認(rèn)證SSL用戶配置案例學(xué)習(xí)2）添加用戶組控制臺(tái)左樹依次展開【SSLVPN設(shè)置】->【用戶管理】，點(diǎn)擊【新建】->【用戶組】SSL用戶配置案例學(xué)習(xí)3）添加用戶關(guān)聯(lián)到組，使用數(shù)字證書以及硬件特征碼認(rèn)證。設(shè)置用戶名選擇所屬用戶組SSL用戶配置案例學(xué)習(xí)4）添加用戶關(guān)聯(lián)到組，使用用戶名密碼以及硬件特征碼認(rèn)證。設(shè)置用戶名密碼選擇所屬用戶組SSL用戶配置案例學(xué)習(xí)1.數(shù)字證書和硬件特征碼認(rèn)證的用戶登錄訪問SSLVPN的過程：1）將生成的數(shù)字證書發(fā)給移動(dòng)用戶2）移動(dòng)用戶雙擊數(shù)字證書進(jìn)行安裝，如下圖所示：填入生成證書時(shí)管理員設(shè)置的密鑰可以通過查看瀏覽器，檢查證書是否安裝成功表示安裝和導(dǎo)入證書成功SSL用戶配置案例學(xué)習(xí)1.數(shù)字證書和硬件特征碼認(rèn)證的用戶登錄訪問SSLVPN的過程：3）移動(dòng)用戶通過IE瀏覽器登錄SSLVPN表示用戶認(rèn)證成功SSL用戶配置案例學(xué)習(xí)2.用戶名密碼和硬件特征碼認(rèn)證的用戶登錄訪問SSLVPN的過程：移動(dòng)用戶通過IE瀏覽器登錄SSLVPN表示用戶認(rèn)證成功SSL用戶配置案例學(xué)習(xí)管理員如何查看、審批、刪除硬件特征碼？查看硬件特征碼選擇用戶，進(jìn)行硬件特征碼的審批和刪除操作SSL用戶配置案例學(xué)習(xí)如何設(shè)置用戶與硬件特征碼的一一對應(yīng)關(guān)系？可設(shè)置范圍為1-100設(shè)置策略組名稱SSL用戶配置案例學(xué)習(xí)用戶認(rèn)證不成功示例：1.用戶名密碼錯(cuò)誤2.未安裝數(shù)字證書3.硬件特征碼認(rèn)證失敗策略組功能介紹SSL策略組策略組用來設(shè)置用戶的接入客戶端相關(guān)選項(xiàng)，賬號屬性和安全桌面相關(guān)信息。策略組設(shè)置完成后，需被用戶或者用戶組關(guān)聯(lián)才生效。根據(jù)需求的不同，可設(shè)置不同的策略組分別與用戶，用戶組關(guān)聯(lián)。策略組---客戶端選項(xiàng)客戶端選項(xiàng)用來設(shè)置客戶端的隱私保護(hù)，帶寬會(huì)話，是否允許PPTP方式接入，SSL專線，硬件特征碼個(gè)數(shù)限制。用戶退出SSLVPN后，客戶端電腦自動(dòng)清除緩存文件，cookies和瀏覽歷史等。為了防止某用戶接入SSLVPN耗費(fèi)了大量的帶寬和服務(wù)器資源，可對客戶端進(jìn)行帶寬和會(huì)話限制。允許手機(jī)用戶通過系統(tǒng)自帶的PPTPVPN接入和訪問資源。用戶接入SSLVPN后，不允許上外網(wǎng)。用戶擁有的硬件特征碼個(gè)數(shù)策略組---賬號控制賬號控制用來設(shè)置賬號相關(guān)的權(quán)限。啟用系統(tǒng)托盤登錄SSL后，自動(dòng)跳轉(zhuǎn)到某個(gè)資源的頁面僅允許用戶在指定時(shí)間內(nèi)登錄SSLVPN記錄用戶訪問資源的日志賬號失效時(shí)間和賬號無流量自動(dòng)斷開時(shí)間允許私有用戶修改相關(guān)信息，提高易用性。策略組---安全桌面安全桌面相關(guān)設(shè)置：開啟安全桌面功能安全桌面功能介紹及詳細(xì)配置請參見渠道高級培訓(xùn)PPT《安全桌面功能培訓(xùn)》策略組---遠(yuǎn)程應(yīng)用遠(yuǎn)程應(yīng)用相關(guān)設(shè)置：遠(yuǎn)程應(yīng)用功能介紹及詳細(xì)配置請參見渠道初級培訓(xùn)PPT《遠(yuǎn)程應(yīng)用發(fā)布功能培訓(xùn)》練練手某客戶希望實(shí)現(xiàn)用戶登錄SSLVPN時(shí)，除了輸入自己的賬號和密碼，設(shè)備還能發(fā)一條短信，把校驗(yàn)碼發(fā)到用戶的手機(jī)，用戶必須輸入校驗(yàn)碼才能成功登錄。您有什