SANGFOR_SSL_v61_ 2013年度培训06_第三方服务器结合认证_20130725

1、SANGFOR SSL VPN 与第三方服务器结合 认证 培训内容培训目标 第三方服务器认证1. 了解SSL VPN支持的第三方服务器认证 LDAP认证1. 掌握SSL结合LDAP服务器认证的配置步骤 RADIUS认证1. 掌握SSL结合RADIUS服务器认证的配置步骤 证书/USB KEY认证 1.了解USB KEY认证的配置步骤 2.了解内置CA认证的步骤 3.了解第三方CA认证的步骤 组映射和角色映射1、了解组映射和角色映射功能的作用 2、掌握组映射和角色映射功能的配置方法 LDAP导入用户1、掌握LDAP导入用户到本地功能的配置方法 SSL与第三方结合认证功能介绍及配置 组映射和角色映

2、射功能介绍及配置 深信服公司简介 LDAP导入用户到本地功能介绍及配置 练练手 SANGFOR SSL 证书认证 第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和 RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时 启用。 第三方服务器认证介绍 LDAP认证： 轻量级目录访问协议。 移动用户接入SSL VPN，需要到LDAP服务器上去认证，认证成功后 LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成 功。SSL VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP

3、389 第三方服务器认证介绍 RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。 认证交互过程： 1.用户输入用户名和口令； 2.radius 客户端(NAS)根据获取的用户名和口令，向radius 服务器发送认 证请求包（access-request）。 3.radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认 证成功，则将用户的权限信息以认证响应包（access-accept）发送给 radius 客户端；如果认证失败，则返回access-reject 响应包。 RADIUS认证常用端口：UDP1812(认证)、UDP1813(计费)。 LDAP

4、认证配置介绍 新建LDAP认证服务器，设置相关信息。 添加域服 务器的IP 和端口 域管理员Administrator 在域服务器 的Users文件夹下，管 理员路径填写格式为： cn=Administrator,cn= Users,dc=sangfor,dc=co m 选择用于认证 的LDAP用户 账号所在路径 包含该路径下所 有子路径的用户 账号，不勾选则 仅包含该路径下 的用户账号。 支持的域服务器类型： MS ActiveDirectory：指微软域用户 LDAP Server：指除微软域以外的其 他LDAP MS ActiveDirectory VPN：指微软域 内带有允许接入微软V

5、PN属性的用户 当没有设置组 映射关系时， 自动匹配为某 个组的用户 RADIUS认证配置介绍 新建RADIUS认证服务器，设置相关信息。 添加RADIUS服务 器的IP和认证端口 选择 RADIUS服 务器对应的 认证协议 共享密钥: 与RADIUS服务器设置相同 当没有设置组 映射关系时， 自动匹配为某 个组的用户 证书认证 证书认证配置介绍 1. 证书认证介绍 证书认证是一种主要认证方式，只有私有用户才能采用此认证方式。证书认证主要由 根证书和用户证书构成，其中根证书用于校验用户信息，用户证书就相当于每个用户 的身份证，当二者匹配时，才能认证通过。 证书认证配置介绍 2. 证书认证分类

6、证书认证可分为本地证书认证和第三方证书认证。 本地认证的CA就在设备上，可以自行更新，用户登 录使用的证书，也是直接在设备上生成。第三方证 书认证的CA需要先导入第三方CA的公钥，用户认 证时的证书，可以直接安装在客户端上，但此时设 备必须信任该CA颁发的所有证书。如果设备只信任 导入设备的用户证书，则必须在用户管理那里手动 新建用户并导入证书。 证书认证配置介绍 3.本地证书认证 下载证书后，直接安装在电脑（其他终端）上即可 证书认证配置介绍 4.第三方证书认证 点击浏览，选择需要导入的点击浏览，选择需要导入的CA公钥公钥 此处可添加多此处可添加多CA，按顺序添加即可，按顺序添加即可 证书认

7、证典型案例 客户需求： 客户有一台SSLVPN设备，现在希望各分公司员工都能通过 证书接入，客户总部无统一CA中心，各分公司自己有CA。 解决方案： 各分公司提供CA公钥并导入设备，做多CA认证， 实现各分公司用户的证书接入。 配置思路 用户需要使用两个CA中心的根证来做用户的证书认证，现在要导入这两 个根证，创建两个分属于这两CA中心的用户，并成功登陆。 配置步骤： 1、创建2个根CA； 2、创建2个用户，分别属于这2个CA。 3、安装用户证书，并进行登录测试。 点击外置点击外置CA名名 称进行详细编辑称进行详细编辑 点击有介绍如点击有介绍如 何证书属性如何证书属性如 何配置何配置 根据此字

8、段找到根据此字段找到 设备里对应的用设备里对应的用 户、分配权限户、分配权限 根据此字段进行证根据此字段进行证 书校验，需要在用书校验，需要在用 户编辑界面设置户编辑界面设置 1、创建、创建CA 2、创建用户，并启用证书认证、创建用户，并启用证书认证 点击并导入对点击并导入对 应的用户证书应的用户证书 选择对应的证选择对应的证 书文件导入，书文件导入， 并归属到对应并归属到对应 的的CA中去。中去。 此例以导入用户证书为例。此例以导入用户证书为例。 当然，你也可以不导入证书，当然，你也可以不导入证书， 启用信任该启用信任该CA签发的所有签发的所有 证书用户即可。证书用户即可。 3、安装证书并登

9、陆、安装证书并登陆 LDAP结合认证典型案例 及配置 LDAP结合认证典型案例及配置 客户需求： 客户内网已部署好LDAP服务器，通 过域来管理内网用户。客户使用 SANGFOR SSL VPN设备，希望移动 用户登录SSL VPN时使用LDAP上的 用户名和密码进行认证。 解决方案： 使用SSL VPN与客户原有LDAP服务 器结合认证，无需在设备上创建本地 账号。 客户网络环境： LDAP结合认证典型案例及配置 配置思路： 1. 配置LDAP服务器，在OU中新建用户。 2. SSL VPN新建LDAP服务器，结合LDAP认证。 3. 使用域账号登陆SSL VPN。 LDAP结合认证典型案例

10、及配置 1.在LDAP服务器下创建一个用户名为“test1”的用户 LDAP结合认证典型案例及配置 2. SSL VPN设备上，新建LDAP认证服务器并填写相应信息 LDAP认证配置介绍 3. 移动用户通过域账号和密码登录SSL VPN。 组织结构中无 用户“test1” 通过域用户 名密码登陆 SSL VPN 组映射和角色映射功能 介绍及配置 组映射和角色映射功能介绍 LDAP组映射： 将LDAP上的OU以用户组的形式导入到SSL设备上，或者将OU一一映射 给设备上的某个组。 勾选需要 映射的OU 映射到本地的位置 将LDAP服务器中的OU导入到SSL设备中，只导入 用户组，不导入用户。可分

11、别对用户组设置不同的 角色和策略，用户通过认证后获得相应组的权限 组映射和角色映射功能介绍 LDAP角色映射： 将LDAP上的安全组以角色的形式导入到SSL设备上，或者将安全组一一 映射给设备上的某个角色。 勾选需要 映射的安 全组 安全组的用户通过认 证后，自动获得相应 的角色资源访问权限。 组映射和角色映射功能介绍 RADIUS组映射： RADIUS用户登录SSL时，根据Class属性字段进行分组。 填写class属 性的值，和 对应的本地 用户组。 移动用户通过RADIUS账号登陆 SSL后，根据账号的class属性值， 自动分配对应用户组的角色和策略。 LDAP导入用户到本地 功能介绍

12、及配置 LDAP导入用户到本地功能介绍 LDAP导入用户到本地：实现将LDAP服务器中的用户以及组织结构导 入到SSL VPN组织结构中，可分别为不同的用户或者用户组关联策略 组和角色。 功能需求： LDAP服务器上不同的用户需要具有不同的资源访问权限 和策略组。 LDAP导入用户到本地功能配置 1. 【认证设置】，新建LDAP认证服务器并填写相应信息。（省略配置） 2. 【认证设置】，选择需要导入用户的LDAP服务器，点击“导入用户到本地” 单独导入： 仅导入 选中的用户组用户。 递归导入：导入选中 的用户组和这个组下 所有的子组用户。 选择需要导 入的用户组 将选中的LDAP服务器 中的用

13、户和用户组， 导入到SSL设备本地的 哪个目标组下。 将域服务器中的组织结 构导入到SSL设备中。 只导入用户， 不导入用户组 开启自动同步，每隔一段时间自动将LDAP服务 器中的用户导入到SSL设备中，用于LDAP服务器 中用户变更频繁的场景。 LDAP导入用户到本地功能配置 3. 【用户管理】，查看是否有LDAP服务器中同步过来的用户和用户组。 LDAP服务器 中的组织结 构和用户与LDAP服务器中的组织结构和用户一致。 LDAP导入用户到本地功能补充说明 1. 如果某用户“user3”在LDAP服务器中被禁用，通过LDAP导入功能， 能将此用户成功导入到SSL设备。但是移动用户使用域用户

14、“user3” 登录SSL VPN进行认证时，会认证失败。 2. SSL设备的组织结构中，不能存在同名的用户。如果设备组织结构中已 经存在用户“user4”（本地认证或者通过RADIUS认证），LDAP服务器 中也存在同名用户“user4”，则从LDAP服务器中导入用户“user4”不 成功。 LDAP导入用户到本地功能补充说明 3. 从LDAP服务器导入用户到本地设置中， 对已经导入用户的覆盖，只 能覆盖通过LDAP服务器导入的同名用户。 域单点登录认证功能 适用场景：客户内网有域控环境，SSL设备与用户加入到相同的域，用户 登陆域后，可通过SSL客户端直接登陆访问资源页面。 域单点登录认证

15、功能 SSL VPN域单点登录只支持CS客户端方式登录： 只支持只支持CSCS客户方式客户方式 登录登录 想一想 1. 如果本地认证存在用户“test”，外部认证服务器里也有同名的用户 “test”，那么移动用户使用“test”这个账号登录SSL VPN时，会匹配本 地认证还是去外部认证服务器认证呢？ 如果本地认证和外部认证存在有相同的用户名时，优先匹配本地认证， 当本地认证不通过时，返回用户名密码错误的提示。 2. 如下图所示，在同一个LDAP服务器设置中添加两个域服务器的IP和端口，和分 别添加两个LDAP服务器，认证过程是否相同？ 图2的设置方法： 如果这两个服务器上都存在相同用户名时，

16、按照外部认证服务器的顺序进行认证匹配，直到 找到第一个认证成功的外部认证服务器，如果所有外部认证服务器都认证失败，才返回用户 名密码错误的提示。 想一想 图1的设置方法： 用于多个LDAP服务器群做主备的情况。当设备连接不上第一个服务器时，再去连接第二个 服务器。如果第一个服务器能连接上，返回认证失败信息，则不会再连接第二个服务器。 练练手 某公司购买了SANGFOR SSL VPN设备给公网移动用户提供安全接入 实现访问公司内网资源，由于客户内网已有LDAP服务器来管理用户， 需要实现的功能如下： 1. 公网移动用户接入SSL VPN时到LDAP服务器上去认证，认证成功后允许接入 SSL VPN。 2. 在LDAP服务器上创建一个名为“ALL”的OU，在“ALL”的OU下创建一个 子OU“support”和直属用户“test1”，在子OU“support”下创建两个用户： test2和test3。要求将“ALL”的OU结构映射到SS