• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(E6411 R6609)-6W107

目录

37-AD域单点登录典型配置举例

本章节下载 37-AD域单点登录典型配置举例  (768.34 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(E6411_R6609)-6W107/202009/1334160_30005_0.htm

37-AD域单点登录典型配置举例


简介

本文档介绍ACG1000设备AD域单点登录配置举例。

配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

使用限制

需将启动脚本放置安全类软件白名单。

不同用户登录同一台域内测试pc,在线用户只显示一个账号,在线用户只识别第一次登录的账号,避免频繁出现账号切换,目前设备是基于IP来识别用户的,无法实现两个IP一样账号不一样的用户同时在线。

单点登录用户不支持HA主备:

HA主备单点登录配置支持HA同步,但在线用户不支持HA同步,如果发生HA切换,存在以下两种情形:

·     单点登录失败的用户,不需要认证,自动上线。

新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则以IP作为用户名直接上线。

·     单点登录失败的用户,继续匹配后续策略。

新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则会继续匹配设备上的后续认证策略,如果没有后续认证策略,则会丢弃在收到下个心跳报文之前的30s内的所有报文,后续收到心跳报文后则会重新上线。

配置举例

4.1  组网需求

·     HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet。

·     GE2接口ip :192.168.1.1。

·     内网存在AD域服务器、已加入AD域的PC。

图1所示。

图1 组网图

 

4.2  配置思路

AD域登录成功后,用户自动上线。

4.3  使用版本

本举例是在R6608版本上进行配置和验证的。

4.4  配置注意事项

内网服务器存在至少两台同类型的服务器,此处以http server为例。

4.5  配置步骤

4.5.1  配置ACG1000系列产品

1. 登录Web网关

按照组网图组网,如图2

图2 组网图

 

2. 配置认证策略

在导航栏中选择“用户管理>认证策略”,进入认证策略的显示页面,如图3所示。

图3 认证策略界面

 

单击<新建>,配置源接口为GE2,认证方式为单点登录,登录失败的用户选择动作为不需要认证,自动上线。配置时间对象为always。如图4所示。

图4 配置认证策略界面

 

3. 单点登录配置

在导航栏中选择“用户管理>认证设置>单点登录”,启用单点登录,配置会话密钥(如:123456),如图5

图5 单点登录配置界面

 

4. 单点登录脚本

下载域单点登录程序,并解压,如图6所示。

图6 单点登录配置脚本

 

5. 配置sso.ini

修改Gwip为GE2接口IP,修改seessionKey为之前配置的密码,如图7所示。

图7 脚本配置界面

 

6. 登录AD域控

进入组策略:AD域服务器“运行”输入“gpedit.msc”,选择“Default Domian Policy”,选择“用户配置>脚本(登录/注销)”,如图8

图8 组策略配置界面

 

7. 导入登录脚本

图9所示。

图9 组策略配置界面

 

将配置文件及脚本导入到启动目录,如图10

图10 组策略脚本配置界面

 

在图4-9的界面上点击添加,选中登录脚本,并确定即可,如图11所示。

图11 组策略脚本配置界面

 

登录脚本导入完成,如图12所示。

图12 组策略脚本配置界面

 

8. 导入注销脚本

图13所示。

图13 组策略脚本配置界面

 

9. 组策略更新

通过组策略下发给域用户域控中,运行“gpupdate.exe”,如图14所示。

图14 组策略更新界面

 

4.6  验证效果

图15所示。使用正常加入域的PC,输入域账号登录,正常进入PC桌面后,查看设备在线用户,可以看到域用户已自动上线,可以正常访问网络。

图15 在线用户状态界面

 

4.7  配置文件

!user-group

!

!

!

!user-policy

!

user-policy ge2 any any any always sso-no-authen-ip 1

!zone

!

!user-sso

!

user-adsso session-key kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN

相关原理资料

·     sso.ini

脚本配置文件,用于配置网关地址、会话密钥、心跳报文间隔时间等

网关地址:设置为ACG的地址

会话密钥:必须与ACG上配置的会话密钥一致

心跳报文间隔时间:默认为30s,登录脚本会定期向ACG发送心跳报文,如果超过3次未收到用户的心跳报文,ACG会将用户踢下线。使用命令user-adsso timeouts <1-72>可以修改心跳报文超时下线次数

其它参数全部默认即可,不需要修改。

·     ssologon.exe

登录脚本,域用户登录后,域服务器会将此登录脚本推送到域用户PC本地,然后脚本会自动运行,将上线用户的信息发送给ACG,ACG检查到此登录脚本发送的信息后,会将用户加入在线列表

·     ssologoff.exe

注销脚本,当域用户登录后,域服务器会将此注销脚本推送到域用户PC本地,当域用户注销后,注销脚本会将用户信息发送给ACG,ACG检查到此注销脚本发送的信息后,会将用户下线。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们