38 |
您所在的位置:网站首页 › h3c管理员登录界面 › 38 |
1 简介
本文档介绍ACG1000设备AD域单点登录配置举例。 2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 3 使用限制需将启动脚本放置安全类软件白名单。 不同用户登录同一台域内测试pc,在线用户只显示一个账号,在线用户只识别第一次登录的账号,避免频繁出现账号切换,目前设备是基于IP来识别用户的,无法实现两个IP一样账号不一样的用户同时在线。 单点登录用户不支持HA主备: HA主备单点登录配置支持HA同步,但在线用户不支持HA同步,如果发生HA切换,存在以下两种情形: · 单点登录失败的用户,不需要认证,自动上线。 新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则以IP作为用户名直接上线。 · 单点登录失败的用户,继续匹配后续策略。 新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则会继续匹配设备上的后续认证策略,如果没有后续认证策略,则会丢弃在收到下个心跳报文之前的30s内的所有报文,后续收到心跳报文后则会重新上线。 4 配置举例 4.1 组网需求· HostA 、HostB 均为内网用户,属于192.168.1.0/24网段,通过NAT的方式访问Internet。 · GE2接口ip :192.168.1.1。 · 内网存在AD域服务器、已加入AD域的PC。 如图1所示。 图1 组网图 4.2 配置思路 AD域登录成功后,用户自动上线。 4.3 使用版本本举例是在F6610版本上进行配置和验证的。 4.4 配置注意事项内网服务器存在至少两台同类型的服务器,此处以http server为例。 4.5 配置步骤 4.5.1 配置ACG1000系列产品 1. 登录Web网关如图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击按钮。 图2 登录H3C ACG Web网管
2. 配置认证策略 在导航栏中选择“用户管理>认证策略”,进入认证策略的显示页面,如图3所示。 图3 认证策略界面
单击,配置源接口为GE2,认证方式为单点登录,登录失败的用户选择动作为不需要认证,自动上线。配置时间对象为always。如图4所示。 图4 配置认证策略界面 3. 单点登录配置 在导航栏中选择“用户管理>认证设置>单点登录”,启用单点登录,配置会话密钥(如:123456),如图5。 图5 单点登录配置界面 4. 单点登录脚本 下载域单点登录程序,并解压,如图6所示。 图6 单点登录配置脚本 5. 配置sso.ini 修改Gwip为GE2接口IP,修改seessionKey为之前配置的密码,如图7所示。 图7 脚本配置界面 6. 登录AD域控 进入组策略:AD域服务器“运行”输入“gpmc.msc”,选择“Default Domian Policy”,选择“用户配置>脚本(登录/注销)”,如图8所示。 图8 组策略配置界面 7. 导入登录脚本 如图9所示。 图9 组策略配置界面
将配置文件及脚本导入到启动目录,如图10所示。 图10 组策略脚本配置界面
在图9的界面上点击添加,选中登录脚本,并确定即可,如图11所示。 图11 组策略脚本配置界面
登录脚本导入完成,如图12所示。 图12 组策略脚本配置界面 8. 导入注销脚本 如图13所示。 图13 组策略脚本配置界面 9. 组策略更新 通过组策略下发给域用户域控中,运行“gpupdate.exe”,如图14所示。 图14 组策略更新界面 4.6 验证效果 如图15所示。使用正常加入域的PC,输入域账号登录,正常进入PC桌面后,查看设备在线用户,可以看到域用户已自动上线,可以正常访问网络。 图15 在线用户状态界面 4.7 配置文件 !user-group ! ! ! !user-policy ! user-policy ge2 any any any always sso-no-authen-ip enable sso no-record forever !zone ! !user-sso ! user-adsso session-key kTgxl5p34DqlzzT+XZ0R14cv6Qal7urj9YogDjQGHYyVxSLYIpmOxTPwro4b0aN 5 相关原理资料· sso.ini 脚本配置文件,用于配置网关地址、会话密钥、心跳报文间隔时间等 网关地址:设置为ACG的地址 会话密钥:必须与ACG上配置的会话密钥一致 心跳报文间隔时间:默认为30s,登录脚本会定期向ACG发送心跳报文,如果超过3次未收到用户的心跳报文,ACG会将用户踢下线。使用命令user-adsso timeouts 可以修改心跳报文超时下线次数 其它参数全部默认即可,不需要修改。 · ssologon.exe 登录脚本,域用户登录后,域服务器会将此登录脚本推送到域用户PC本地,然后脚本会自动运行,将上线用户的信息发送给ACG,ACG检查到此登录脚本发送的信息后,会将用户加入在线列表 · ssologoff.exe 注销脚本,当域用户登录后,域服务器会将此注销脚本推送到域用户PC本地,当域用户注销后,注销脚本会将用户信息发送给ACG,ACG检查到此注销脚本发送的信息后,会将用户下线。 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |