20-单点登录
本章节下载: 20-单点登录 (436.05 KB)
单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其它系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。
AD域单点登录功能是指用户通过登录AD域服务器,实现windows 登录和上网的账号认证。当用户通过域账号登录到某个AD 域后,不需要再输入账号密码,自动通过ACG的上网认证,实现单点登录功能。
· AD域服务器配置组策略,加载ssologon脚本(登录脚本)及ssologoff(注销脚本),当用户以域账号正常登录AD域服务器时,获取到相应组策略,执行ssologon脚本向网关发送认证登录报文;当域用户从域中注销时,执行ssologff脚本向网关发送注销报文,AD域服务器首次配置完成后,整个认证登录、注销过程都不需要用户参与。
· 网关监听指定的udp端口,接收域用户通过登录脚本发送的域用户单点登录信息。
· 登录报文加密传输,且可防止回放攻击。
· 网关设备收到登录报文后,对报文信息进行校验,校验通过后对用户执行登录操作,若收到退出报文,则对用户执行注销操作。
单点登录配置、登录流程如下:
(1) 域管理员配置AD域服务器,加载用户上下线时需执行的脚本程序。
(2) 网关开启单点登录功能,配置通信密钥,配置单点登录认证策略。
(3) 域用户成功登录域服务器,执行登录脚本,向网关发送认证消息。
(4) 网关收到认证报文后,自动完成用户上网认证;收到注销报文,自动完成用户注销。
在导航栏中选择“用户管理 > 认证设置 > 单点登录”,进入单点登录全局参数配置页面,如图1-1所示
单点登录全局配置参数详细说明,如表1-1所示
标题 |
说明 |
启用 |
单点登录启用或禁用。 |
下载单点登录程序 |
PC自动下载登录程序失效时,可选择手动下载登录程序。 |
会话密钥 |
网关配置密钥,必须和AD域配置的密钥统一。 |
在导航栏中选择“用户管理 > 认证设置 > 单点登录”,单击下载脚本文件,如图1-2所示:
下载完成后的压缩包内文件如图1-3所示,配置AD域服务器时会使用到这些文件,包括登录、退出脚本、配置文件。
进入组策略:以windows 2008 server为例,登录到AD域服务器,“运行”中输入gpmc.msc。
选择“Default Domian Policy > 用户配置 > 脚本(登录/注销)”, 如图1-4所示。
双击“登录”选项,选择“显示文件”,将下载的ssologon.exe文件拷贝到此目录;双击“注销”选项,选择“显示文件”,将下载的ssologoff.exe文件拷贝到此目录, 如图1-5、图1-6所示。
返回“登录”属性窗口,单击“添加”,在弹出的窗口中设置脚本名以及脚本参数,脚本参数有以下三种配置方式,部署登录ssologon.exe和注销ssologon.exe操作类似,以部署登录ssologon.exe为例,当参数为空时,需要配置文件sso.ini。
参数为空,如图1-7所示。
配置文件为适应不同场景的应用需求,提供更全面的配置可选项,对多设备支持,域管理员可自行设置相应的值,sso.ini 放入和脚本相同的目录下,如图1-8是一个简单的配置文件sso.ini,表1-2列出详细的配置参数含义。
表1-2 AD域配置参数详解
参数 |
说明 |
EnableHeartBeat |
是否启动心跳功能(0:关闭 1:开启)。 |
EnableCopyStartup |
是否开启将程序拷贝到启动目录功能(0:关闭 1:开启)。 |
HeartBeatInterval |
发送心跳的时间间隔(正整数,范围[10, 50],默认值:30)。 |
LogPath |
打印日志到此配置路径,若用户没有配置路径的写入权限, 会使用默认日志路径%appdata%打印日志。 |
GWIP |
网关的IP。 |
SessionKey |
会话密钥(大小写敏感、支持特殊字符,最长32个字符)。 |
Port |
端口号(6622,不能改变)。 |
以“Value1 Value 2 Value 3”的形式带三个参数,参数间以空格隔开,三个参数缺一不可,如图1-9所示,其中:
Value 1:代表内网用户可访问到的设备网口IP;
Value 2:代表设备监听端口(固定为6622,不可改变);
Value 3:代表通信密钥(必须同设备侧单点登录全局参数设置的密钥统一)。
以“Title1=value1 Title 2=value2 …… Title15=value15”的形式带多个参数(1个到15个),参数间以空格隔开,图1-10所示:
更新组策略,为了使用更改的组策略立即生效,需要刷新组策略,刷新组策略命令为gpupdate.exe
刷新组策略后,域用户重新上线,即可生效。
在导航栏中选择“用户管理>认证策略”,进入认证策略显示页面,如图1-11所示。
单击“新建”按钮,进入认证策略配置页面,如图1-12所示,认证方式选择单点登录
单点登录用户策略配置参数说明,如表1-3所示。
参数 |
说明 |
源接口 |
单点登录用户的接口。 |
源地址 |
单点登录用户的IP范围。 |
认证方式 |
可以选择多种认证方式,如图可配置单点登录认证策略,当用户认证失败时,以下两种处理方案供用户选择: 不需要认证,用户直接上线。 跳过当前这条认证策略,匹配后面的策略。 |
时间 |
认证策略时间对象,时间对象有效期内策略生效,时间对象无效的时候认证策略为禁用状态。 |
用户录入 |
默认不选择用户组,第三方用户认证成功后不录入用户;选择用户组后,第三方用户认证成功后录入指定的用户组。 |
用户有效时间 |
用户有效期指的是第三方用户录入方式: · 永久录入:第三方用户认证成功后录入指定组,永久有效。 · 有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。 临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!