设为首页收藏本站
开启辅助访问

38

 您所在的位置:网站首页 h3c管理员登录界面 38

38

2023-05-16 13:56| 来源: 网络整理| 查看: 265

1  简介

本文档介绍ACG1000设备AD域单点登录配置举例。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

3  使用限制

需将启动脚本放置安全类软件白名单。

不同用户登录同一台域内测试pc,在线用户只显示一个账号,在线用户只识别第一次登录的账号,避免频繁出现账号切换,目前设备是基于IP来识别用户的,无法实现两个IP一样账号不一样的用户同时在线。

单点登录用户不支持HA主备:

HA主备单点登录配置支持HA同步,但在线用户不支持HA同步,如果发生HA切换,存在以下两种情形:

·     单点登录失败的用户,不需要认证,自动上线。

新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则以IP作为用户名直接上线。

·     单点登录失败的用户,继续匹配后续策略。

新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则会继续匹配设备上的后续认证策略,如果没有后续认证策略,则会丢弃在收到下个心跳报文之前的30s内的所有报文,后续收到心跳报文后则会重新上线。

4  配置举例 4.1  组网需求

·     HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet。

·     GE2接口ip :192.168.1.1。

·     内网存在AD域服务器、已加入AD域的PC。

如图1所示。

图1 组网图

 

4.2  配置思路

AD域登录成功后,用户自动上线。

4.3  使用版本

本举例是在F6610版本上进行配置和验证的。

4.4  配置注意事项

内网服务器存在至少两台同类型的服务器,此处以http server为例。

4.5  配置步骤 4.5.1  配置ACG1000系列产品 1. 登录Web网关

如图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击按钮。

图2 登录H3C ACG Web网管

 

 

2. 配置认证策略

在导航栏中选择“用户管理>认证策略”,进入认证策略的显示页面,如图3所示。

图3 认证策略界面

 

单击,配置源接口为GE2,认证方式为单点登录,登录失败的用户选择动作为不需要认证,自动上线。配置时间对象为always。如图4所示。

图4 配置认证策略界面

 

3. 单点登录配置

在导航栏中选择“用户管理>认证设置>单点登录”,启用单点登录,配置会话密钥(如:123456),如图5。

图5 单点登录配置界面

 

4. 单点登录脚本

下载域单点登录程序,并解压,如图6所示。

图6 单点登录配置脚本

 

5. 配置sso.ini

修改Gwip为GE2接口IP,修改seessionKey为之前配置的密码,如图7所示。

图7 脚本配置界面

 

6. 登录AD域控

进入组策略:AD域服务器“运行”输入“gpmc.msc”,选择“Default Domian Policy”,选择“用户配置>脚本(登录/注销)”,如图8所示。

图8 组策略配置界面

 

7. 导入登录脚本

如图9所示。

图9 组策略配置界面

 

将配置文件及脚本导入到启动目录,如图10所示。

图10 组策略脚本配置界面

 

在图9的界面上点击添加,选中登录脚本,并确定即可,如图11所示。

图11 组策略脚本配置界面

 

登录脚本导入完成,如图12所示。

图12 组策略脚本配置界面

 

8. 导入注销脚本

如图13所示。

图13 组策略脚本配置界面

 

9. 组策略更新

通过组策略下发给域用户域控中,运行“gpupdate.exe”,如图14所示。

图14 组策略更新界面

 

4.6  验证效果

如图15所示。使用正常加入域的PC,输入域账号登录,正常进入PC桌面后,查看设备在线用户,可以看到域用户已自动上线,可以正常访问网络。

图15 在线用户状态界面

 

4.7  配置文件

!user-group

!

!

!

!user-policy

!

user-policy ge2 any any any always sso-no-authen-ip enable sso no-record forever

!zone

!

!user-sso

!

user-adsso session-key kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN

5  相关原理资料

·     sso.ini

脚本配置文件,用于配置网关地址、会话密钥、心跳报文间隔时间等

网关地址:设置为ACG的地址

会话密钥:必须与ACG上配置的会话密钥一致

心跳报文间隔时间:默认为30s,登录脚本会定期向ACG发送心跳报文,如果超过3次未收到用户的心跳报文,ACG会将用户踢下线。使用命令user-adsso timeouts 可以修改心跳报文超时下线次数

其它参数全部默认即可,不需要修改。

·     ssologon.exe

登录脚本,域用户登录后,域服务器会将此登录脚本推送到域用户PC本地,然后脚本会自动运行,将上线用户的信息发送给ACG,ACG检查到此登录脚本发送的信息后,会将用户加入在线列表

·     ssologoff.exe

注销脚本,当域用户登录后,域服务器会将此注销脚本推送到域用户PC本地,当域用户注销后,注销脚本会将用户信息发送给ACG,ACG检查到此注销脚本发送的信息后,会将用户下线。



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3