深信服_SSL年度渠道初级认证培训03_用户认证技术

1、SANGFOR SSL VPN 用户认证技术培训内容培训目标用户认证技术1、了解SSL VPN支持的所有认证方式2、了解各种认证方式下能实现的功能主要认证1、掌握主要认证包含的认证方式及功能2、结合案例掌握用户名密码和数字证书认证方式的配置步骤辅助认证1、掌握辅助认证包含的认证方式及功能2、结合案例掌握硬件特征码和短信认证方式的配置步骤用户认证功能介绍深信服公司简介练练手SANGFOR SSL用户认证配置和案例学习SSL 用户和用户组用户：登录SSL VPN的账号，分为公有用户和私有用户。 私有用户只能同时一人登陆，公有用户允许多人同时登陆。用户组：由“用户”组成，每个“用户”必须属于唯一的“

2、用户组”，root根组和默认用户组无法删除。SSL用户组的添加 选择账户类型和认证方式填写组名和所属组可选关联策略组与角色保存配置后，必须点击“立即生效”使配置生效。SSL用户的添加如果勾选“继承所属组的认证选项”，则用户按照“support”组的认证方式填写密码即可。不勾选“继承所属组认证选项”，则用户可以自定义认证方式。保存和生效配置SSL VPN 用户认证方式（非常重要！）外部认证认证方式本地认证用户名、密码认证数字证书硬件特征码认证短信认证LDAP认证RADIUS认证辅助认证（可选）主要认证（必须选 择一种）令牌认证（RADIUS认证）/DKEY认证（私有用户）（私有用户）（公有/私有

3、用户）（公有/私有用户）（公有/私有用户）（公有/私有用户）（公有/私有用户）SSL VPN 用户认证方式 SSL VPN的用户必须使用一种主要认证方式，也可以使用主要认证再结合多种辅助认证的方式。 如果设置了多种主要认证方式，可选择必须通过所有的主要认证或通过其中一种主要认证方式即可。SSL VPN 用户认证方式 本PPT介绍五种常用的主要认证和辅助认证方式： 1. 用户名密码认证 2. 数字证书认证 3. 短信认证 4. 硬件特征码认证 5. LDAP认证用户名密码认证 用户名密码认证，即用户通过输入用户名和密码登录SSL VPN。认证方式选择“用户名/密码”用户名密码信息保存在设备数据库

4、中，属于本地认证“同时使用”表示设置了多种主要认证方式时，所有认证都必须通过。“任意一种”表示其中一种主要认证方式通过即可。公有用户和私有用户均可设置用户名密码认证。用户名密码认证 为了加强用户名密码认证的安全性，可启用密码安全策略，软键盘和图形校验码功能。数字证书认证第三方CA自建CA数字证书数字证书DKEY数字证书认证DKEY 有驱DKEY无驱DKEY 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，用来标志和证明网络通信双方的身份，此认证方法更为安全可靠。 SANGFOR数字证书认证支持设备自建CA认证和第三方CA认证。生成了无驱DKEY，不能再生成有驱D

5、KEY；有驱DKEY，可再生成无驱DKEY。数字证书认证（生成证书）设置登录的用户名只有私有用户类型才能选择数字证书/DKEY认证设置证书密码，用户安装此证书时需要填入相同的密码才允许安装。数字证书认证（生成有驱DKEY）生成有驱DKEY，管理员和用户均需下载安装DKEY驱动，管理员还需下载安装DKEY导入控件如果要实现有驱KEY拔KEY注销功能，必须启用 USB Key V2创建DKEY之前需将DKEY插入电脑中数字证书认证（生成无驱DKEY）生成无驱DKEY无驱DKEY，必须启用USB KEY V2，才能实现DKEY接入和拔出注销。创建DKEY之前请先将DKEY插入电脑中硬件特征码认证 通

6、过硬件特征码认证可实现SSL VPN帐号和电脑硬件特征的绑定，某账号只能通过固定的一台或几台电脑登陆，确保了接入的安全性。 硬件特征码认证读取接入电脑的硬件信息顺序: 硬盘ID -网卡MAC -C盘ID -D盘ID-E盘ID. 硬件特征码认证属于辅助认证，必须同时使用一种主要认证。一般先开启硬件特征码收集，待用户全部提交硬件特征码后，再启用硬件特征码认证。勾选“硬件特征码”SSL 用户配置案例学习管理员如何查看、审批、删除硬件特征码？查看硬件特征码选择用户，进行硬件特征码的审批和删除操作短信认证 SSL 设备通过发送短信校验码至用户绑定的手机号码上, 用户正确输入短信校验码后才能登陆SSL。短

7、信认证需开通序列号才能使用。 短信认证属于辅助认证，必须同时使用一种主要认证。开启短信验证码通过设备直连短信服务器发送短信设备和短信网关均连到PC，PC上安装短信服务器软件。在机房信号不佳的情况下，建议选择外部短信网关。短信猫中插入的手机卡的短信中心号码，支持GSM和CDMA手机卡。可支持如下短信网关类型使用默认参数即可。注：新短信猫（带有深信服LOGO）的波特率为115200短信认证（使用内置短信猫）1、内置短信猫的安装短信猫直接连接设备的接口，如下：设备发货时会配好对应的串行线接线注意事项：a) 将一张手机SIM卡放入短信Modem 内。b) 短信Modem 通过发货时自带的串口线连接到设

8、备的com口。短信认证（使用内置短信猫）2、短信认证设置短信认证必须选择私有用户账号类型选择短信认证填入用户对应的手机号码短信认证（使用外置短信网关）1、外置短信网关服务器软件安装接线注意事项：a) 将一手机SIM卡放入短信Modem 内。b) 短信Modem 通过发货时自带的串口线连接到短信服务器（电脑）的COM 口。c) 确保串口线和短信Modem 以及串口线和短信服务器接触良好。系统要求：Windows XP、Windows 2000/2003/2008，不支持vista 系统。在服务器上安装短信网关服务器软件a 双击短信服务软件安装包，按照安装提示，点击下一步，直到出现以下软件安装目录

9、选 择页面，请保留默认的安装路径，否则短信服务无法正常启动。短信认证外置短信网关1、外置短信网关服务器软件安装b 按照安装提示操作，最后完成安装c 软件安装完成后，短信服务会以系统服务的形式自动运行短信服务进程为SMSSP.exe在服务列表中能够看到短信服务SMSSERVICEd 在系统的“开始”菜单打开短信服务软件的控制台，进行配置在系统桌面右下角的控制台能够看到当前短信服务的状态，左图为服务正常，右图为服务异常如果软件安装好后，服务仍然显示停止，一般情况下是由于软件没有安装在系统盘下造成的，请把软件重新安装在默认路径下。e 鼠标右键点击控制台，选择【Config】在软件服务的监听端口设置对

10、话框里，设置好监听端口（TCP 端口），如果服务器还提供其他服务，要保证设置的端口和这些服务的端口不冲突如果短信服务器上装有防火墙软件，必须保证防火墙有放通此处设置的短信服务监听端口。至此外置短信服务器设置完毕。短信认证（使用外置短信网关）3、短信认证设置填写安装短信网关服务器的IP和端口填入用户对应的手机号码短信认证必须选择私有用户账号类型选择短信认证LDAP认证 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。LDAP认证 LDAP认证： 轻量级目录访问协议。 移动用户接入SS

11、L VPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。SSL VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP 389LDAP认证-配置介绍新建LDAP认证服务器，设置相关信息。添加域服务器的IP和端口域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理员的格式，需要添加域名！选择用于认证的LDAP用户账号所在路径包含该路径下所有子路径的用户账号，不勾选则仅包含该

12、路径下的用户账号。支持的域服务器类型：MS ActiveDirectory：指微软域用户LDAP Server：指除微软域以外的其他LDAPMS ActiveDirectory VPN：指微软域内带有允许接入微软VPN属性的用户当没有设置组映射关系时，自动匹配为某个组的用户LDAP导入用户到本地功能介绍LDAP导入用户到本地：实现将LDAP服务器中的用户以及组织结构导入到SSL VPN组织结构中，可分别为不同的用户或者用户组关联策略组和角色。功能需求： LDAP服务器上不同的用户需要具有不同的资源访问权限和策略组。LDAP导入用户到本地功能配置1. 【认证设置】，新建LDAP认证服务器并填写相

13、应信息。（省略配置）2. 【认证设置】，选择需要导入用户的LDAP服务器，点击“导入用户到本地”单独导入： 仅导入选中的用户组用户。递归导入：导入选中的用户组和这个组下所有的子组用户。选择需要导入的用户组将选中的LDAP服务器中的用户和用户组，导入到SSL设备本地的哪个目标组下。将域服务器中的组织结构导入到SSL设备中。只导入用户，不导入用户组开启自动同步，每隔一段时间自动将LDAP服务器中的用户导入到SSL设备中，用于LDAP服务器中用户变更频繁的场景。LDAP导入用户到本地功能配置3. 【用户管理】，查看是否有LDAP服务器中同步过来的用户和用户组。LDAP服务器中的组织结构和用户与LDA

14、P服务器中的组织结构和用户一致。LDAP导入用户到本地功能补充说明1. 如果某用户“user3”在LDAP服务器中被禁用，通过LDAP导入功能，能将此用户成功导入到SSL设备。但是移动用户使用域用户“user3”登录SSL VPN进行认证时，会认证失败。2. SSL设备的组织结构中，不能存在同名的用户。如果设备组织结构中已经存在用户“user4”（本地认证或者通过RADIUS认证），LDAP服务器中也存在同名用户“user4”，则从LDAP服务器中导入用户“user4”不成功。LDAP导入用户到本地功能补充说明3. 从LDAP服务器导入用户到本地设置中， 对已经导入用户的覆盖，只能覆盖通过LD

15、AP服务器导入的同名用户。LDAP结合认证典型案例及配置客户需求：客户内网已部署好LDAP服务器，通过域来管理内网用户。客户使用SANGFOR SSL VPN设备，希望移动用户登录SSL VPN时使用LDAP上的用户名和密码进行认证。解决方案：使用SSL VPN与客户原有LDAP服务器结合认证，无需在设备上创建本地账号。客户网络环境：LDAP结合认证典型案例及配置配置思路：1. 配置LDAP服务器，在OU中新建用户。2. SSL VPN新建LDAP服务器，结合LDAP认证。3. 使用域账号登陆SSL VPN。LDAP结合认证典型案例及配置1.在LDAP服务器下创建一个用户名为“test1”的用

16、户LDAP结合认证典型案例及配置2. SSL VPN设备上，新建LDAP认证服务器并填写相应信息LDAP认证配置介绍3. 移动用户通过域账号和密码登录SSL VPN。组织结构中无用户“test1”通过域用户名密码登陆SSL VPNSSL 用户认证案例学习SSL 用户认证案例学习背景介绍：某客户公司希望实现财务部用户通过数字证书，其余用户通过账号密码，且所有用户均只能使用自己的工作电脑接入SSL VPN。配置思路：1） 开启硬件特征码认证2）添加2个用户组，财务组使用数字证书和硬件特征码认证，普通用户组使用用户名密码和硬件特征码认证。3）添加用户关联到组，使用组属性。SSL 用户认证案例学习1）

17、 开启硬件特征码认证控制台左树依次展开【SSL VPN设置】-【认证设置】点击【硬件特征码】处的设置开启硬件特征码认证SSL 用户认证案例学习2） 添加用户组控制台左树依次展开【SSLVPN设置】-【用户管理】，点击【新建】 -【用户组】SSL 用户认证案例学习3） 添加用户关联到组，使用数字证书以及硬件特征码认证。设置用户名选择所属用户组SSL 用户认证案例学习4） 添加用户关联到组，使用用户名密码以及硬件特征码认证。设置用户名密码选择所属用户组SSL 用户认证案例学习5）设置用户与硬件特征码的一一对应关系，限制用户只能在自己电脑登录可设置范围为1-100设置策略组名称SSL 用户认证案例学习1. 数字证书和硬件特征码认证的用户登录访问SSL VPN的过程：1） 将生成的数字证书发给移动用户2） 移动用户双击数字证书进行安装，如下图所示：填入生成证书时管理员设置的密钥可以通过查看浏览器，检查证书是否安装成功表示安装和导入证书成功SSL 用户认证案例学习1. 数字证书和硬件特征码认证的用户登录访问SSL VPN的过程：3）移动用户通过IE浏览器登录SSL VPN表示用户认证成功SSL 用户认证案例学习2. 用户名密码和硬件特征码认证的用户登录访问SSL VPN的过程：移动用户通过IE浏览器登录SSL VPN表示用户认证成功练练手某客户希望实现用户登录SSL VPN时，除了输