SANGFOR_SSL_v61_ 2013年度培训08_第三方服务器结合认证

1、SANGFOR SSL VPN与第三方服务器结合认证SSL与第三方结合认证功能介绍及配置组映射和角色映射功能介绍及配置深信服公司简介LDAP导入用户到本地功能介绍及配置练练手SANGFOR SSL证书认证第三方服务器认证介绍 SANGFOR SSL VPN支持结合认证的外部认证服务器有LDAP认证和RADIUS认证。 外部认证也是一种主要认证方式，用户名密码认证与外部认证不能同时启用。第三方服务器认证介绍 LDAP认证： 轻量级目录访问协议。 移动用户接入SSL VPN，需要到LDAP服务器上去认证，认证成功后LDAP服务器会将校验信息返回给SSL设备，同时用户登录SSL VPN成功。SSL

2、VPN支持所有使用标准LDAP协议的认证服务器。 LDAP认证常用端口：TCP 389第三方服务器认证介绍RADIUS认证：远程用户拨号认证系统，是目前应用最广泛的AAA协议。认证交互过程：1.用户输入用户名和口令； 2.radius 客户端(NAS)根据获取的用户名和口令，向radius 服务器发送认证请求包（access-request）。 3.radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius 客户端；如果认证失败，则返回access-reject 响应包。RADIUS认证常用

3、端口：UDP1812(认证)、UDP1813(计费)。LDAP认证配置介绍新建LDAP认证服务器，设置相关信息。添加域服务器的IP和端口域管理员Administrator在域服务器的Users文件夹下，管理员路径填写格式为：cn=Administrator,cn=Users,dc=sangfor,dc=com选择用于认证的LDAP用户账号所在路径包含该路径下所有子路径的用户账号，不勾选则仅包含该路径下的用户账号。支持的域服务器类型：MS ActiveDirectory：指微软域用户LDAP Server：指除微软域以外的其他LDAPMS ActiveDirectory VPN：指微软域内带有允

4、许接入微软VPN属性的用户当没有设置组映射关系时，自动匹配为某个组的用户RADIUS认证配置介绍新建RADIUS认证服务器，设置相关信息。添加RADIUS服务器的IP和认证端口选择RADIUS服务器对应的认证协议共享密钥:与RADIUS服务器设置相同当没有设置组映射关系时，自动匹配为某个组的用户证书认证证书认证配置介绍1. 证书认证介绍证书认证是一种主要认证方式，只有私有用户才能采用此认证方式。证书认证主要由根证书和用户证书构成，其中根证书用于校验用户信息，用户证书就相当于每个用户的身份证，当二者匹配时，才能认证通过。证书认证配置介绍2. 证书认证分类 证书认证可分为本地证书认证和第三方证书认

5、证。本地认证的CA就在设备上，可以自行更新，用户登录使用的证书，也是直接在设备上生成。第三方证书认证的CA需要先导入第三方CA的公钥，用户认证时的证书，可以直接安装在客户端上，但此时设备必须信任该CA颁发的所有证书。如果设备只信任导入设备的用户证书，则必须在用户管理那里手动新建用户并导入证书。证书认证配置介绍3.本地证书认证 下载证书后，直接安装在电脑（其他终端）上即可证书认证配置介绍4.第三方证书认证 点击浏览，选择需要导入的点击浏览，选择需要导入的CA公钥公钥此处可添加多此处可添加多CA，按顺序添加即可，按顺序添加即可证书认证典型案例客户需求：客户有一台SSLVPN设备，现在希望各分公司员

6、工都能通过证书接入，客户总部无统一CA中心，各分公司自己有CA。解决方案：各分公司提供CA公钥并导入设备，做多CA认证，实现各分公司用户的证书接入。 配置思路 用户需要使用两个CA中心的根证来做用户的证书认证，现在要导入这两个根证，创建两个分属于这两CA中心的用户，并成功登陆。 配置步骤： 1、创建2个根CA； 2、创建2个用户，分别属于这2个CA。 3、安装用户证书，并进行登录测试。 点击外置点击外置CA名名称进行详细编辑称进行详细编辑点击有介绍如点击有介绍如何证书属性如何证书属性如何配置何配置根据此字段找到根据此字段找到设备里对应的用设备里对应的用户、分配权限户、分配权限根据此字段进行证根

7、据此字段进行证书校验，需要在用书校验，需要在用户编辑界面设置户编辑界面设置 1、创建、创建CA 2、创建用户，并启用证书认证、创建用户，并启用证书认证点击并导入对点击并导入对应的用户证书应的用户证书选择对应的证选择对应的证书文件导入，书文件导入，并归属到对应并归属到对应的的CA中去。中去。此例以导入用户证书为例。此例以导入用户证书为例。当然，你也可以不导入证书，当然，你也可以不导入证书，启用信任该启用信任该CA签发的所有签发的所有证书用户即可。证书用户即可。 3、安装证书并登陆、安装证书并登陆LDAP结合认证典型案例及配置LDAP结合认证典型案例及配置客户需求：客户内网已部署好LDAP服务器，

8、通过域来管理内网用户。客户使用SANGFOR SSL VPN设备，希望移动用户登录SSL VPN时使用LDAP上的用户名和密码进行认证。解决方案：使用SSL VPN与客户原有LDAP服务器结合认证，无需在设备上创建本地账号。客户网络环境：LDAP结合认证典型案例及配置配置思路：1. 配置LDAP服务器，在OU中新建用户。2. SSL VPN新建LDAP服务器，结合LDAP认证。3. 使用域账号登陆SSL VPN。LDAP结合认证典型案例及配置1.在LDAP服务器下创建一个用户名为“test1”的用户LDAP结合认证典型案例及配置2. SSL VPN设备上，新建LDAP认证服务器并填写相应信息L

9、DAP认证配置介绍3. 移动用户通过域账号和密码登录SSL VPN。组织结构中无用户“test1”通过域用户名密码登陆SSL VPN组映射和角色映射功能介绍及配置组映射和角色映射功能介绍 LDAP组映射：将LDAP上的OU以用户组的形式导入到SSL设备上，或者将OU一一映射给设备上的某个组。勾选需要映射的OU映射到本地的位置将LDAP服务器中的OU导入到SSL设备中，只导入用户组，不导入用户。可分别对用户组设置不同的角色和策略，用户通过认证后获得相应组的权限组映射和角色映射功能介绍 LDAP角色映射：将LDAP上的安全组以角色的形式导入到SSL设备上，或者将安全组一一映射给设备上的某个角色。勾

10、选需要映射的安全组安全组的用户通过认证后，自动获得相应的角色资源访问权限。组映射和角色映射功能介绍 RADIUS组映射：RADIUS用户登录SSL时，根据Class属性字段进行分组。填写class属性的值，和对应的本地用户组。移动用户通过RADIUS账号登陆SSL后，根据账号的class属性值，自动分配对应用户组的角色和策略。LDAP导入用户到本地功能介绍及配置LDAP导入用户到本地功能介绍LDAP导入用户到本地：实现将LDAP服务器中的用户以及组织结构导入到SSL VPN组织结构中，可分别为不同的用户或者用户组关联策略组和角色。功能需求： LDAP服务器上不同的用户需要具有不同的资源访问权限

11、和策略组。LDAP导入用户到本地功能配置1. 【认证设置】，新建LDAP认证服务器并填写相应信息。（省略配置）2. 【认证设置】，选择需要导入用户的LDAP服务器，点击“导入用户到本地”单独导入： 仅导入选中的用户组用户。递归导入：导入选中的用户组和这个组下所有的子组用户。选择需要导入的用户组将选中的LDAP服务器中的用户和用户组，导入到SSL设备本地的哪个目标组下。将域服务器中的组织结构导入到SSL设备中。只导入用户，不导入用户组开启自动同步，每隔一段时间自动将LDAP服务器中的用户导入到SSL设备中，用于LDAP服务器中用户变更频繁的场景。LDAP导入用户到本地功能配置3. 【用户管理】，

12、查看是否有LDAP服务器中同步过来的用户和用户组。LDAP服务器中的组织结构和用户与LDAP服务器中的组织结构和用户一致。LDAP导入用户到本地功能补充说明1. 如果某用户“user3”在LDAP服务器中被禁用，通过LDAP导入功能，能将此用户成功导入到SSL设备。但是移动用户使用域用户“user3”登录SSL VPN进行认证时，会认证失败。2. SSL设备的组织结构中，不能存在同名的用户。如果设备组织结构中已经存在用户“user4”（本地认证或者通过RADIUS认证），LDAP服务器中也存在同名用户“user4”，则从LDAP服务器中导入用户“user4”不成功。LDAP导入用户到本地功能补

13、充说明3. 从LDAP服务器导入用户到本地设置中， 对已经导入用户的覆盖，只能覆盖通过LDAP服务器导入的同名用户。域单点登录认证功能适用场景：客户内网有域控环境，SSL设备与用户加入到相同的域，用户登陆域后，可通过SSL客户端直接登陆访问资源页面。域单点登录认证功能SSL VPN域单点登录只支持CS客户端方式登录：只支持只支持CSCS客户方式客户方式登录登录想一想 1. 如果本地认证存在用户“test”，外部认证服务器里也有同名的用户“test”，那么移动用户使用“test”这个账号登录SSL VPN时，会匹配本地认证还是去外部认证服务器认证呢？ 如果本地认证和外部认证存在有相同的用户名时，

14、优先匹配本地认证，当本地认证不通过时，返回用户名密码错误的提示。2. 如下图所示，在同一个LDAP服务器设置中添加两个域服务器的IP和端口，和分别添加两个LDAP服务器，认证过程是否相同？ 图2的设置方法： 如果这两个服务器上都存在相同用户名时，按照外部认证服务器的顺序进行认证匹配，直到找到第一个认证成功的外部认证服务器，如果所有外部认证服务器都认证失败，才返回用户名密码错误的提示。想一想图1的设置方法：用于多个LDAP服务器群做主备的情况。当设备连接不上第一个服务器时，再去连接第二个服务器。如果第一个服务器能连接上，返回认证失败信息，则不会再连接第二个服务器。练练手某公司购买了SANGFOR SSL VPN设备给公网移动用户提供安全接入实现访问公司内网资源，由于客户内网已有LDAP服务器来管理用户，需要实现的功能如下：1. 公网移动用户接入SSL VPN时到LDAP服务器上去认证，认证成功后允许接入SSL VPN。在LDAP服务器上创建一个名为“ALL”的OU，在“ALL”的OU下创建一个子OU“support”和直属用户“test1”，在子OU“support”下创建两个用户：test2和test3。要求将“ALL”的OU结构映射到SSL的根组下，为“ALL”用户组和“