sangfor acsg 2012年度培训06单点登陆功能培训liaoyl

,SANGFOR AC&SG,单点登录功能培训,培训内容,培训目标,单点登录功能介绍,了解单点登录功能的应用场景和概念,掌握,AC/SG,设备支持的单点登录方式,单点登录功能实现方式,了解单点登录功能的七种实现方式,单点登录功能配置举例,掌握常见网络环境中,POP3,单点登录方式的部署和配置,单点登录功能介绍,单点登录功能实现方式,深信服公司简介,单点登录功能配置举例,练练手,SANGFOR,AC/SG,单点登录功能介绍,什么是单点登录功能：,当用户成功登录到第三方认证服务器时，自动通过,AC/SG,设备的认证，而无需再次输入用户名和密码。,单点登录功能的优点：,用户只需要输入一次账号和密码，即可自动通过,AC/SG,设备的认证，避免账号和密码的重复输入，降低密码泄露的风险。,AC/SG 设备支持的单点登录认证,AC/SG,设备支持的单点登录认证,LDAP,单点登录,POP3,单点登录,PROXY,单点登录,WEB,单点登录,第三方设备单点登录,数据库单点登录,PPPOE,单点登录,兼容,Kerberos,的认证方式,ISA,控件,普通账号密码认证方式,锐捷,Sam,系统,H3C cams,系统,支持,HTTP,单点登录的接口（如城市热点等）,（,Oracle,、,MS SQL,、,DB2,、,MYSQL,）,单点登录功能实现方式,AD,域单点登录组件模式：,通过在域控上添加登录和注销脚本来实现。当,PC,登录到域时，会从域上下发登录脚本，执行成功后，,PC,上报,AC/SG,认证成功的信息，从而通过,AC/SG,的认证。,同样，当,PC,从域上注销时会运行注销脚本，同时发注销信息给,AC/SG,设备，从而在,AC/SG,上注销原来的在线用户。,AD,域,安装登录和注销脚本,PC,只有微软,AD,的域单点登录才有组件模式。,单点登录功能实现方式,AD,域单点登录免插件模式：,在内网的一台电脑上安装单点登录客户端程序，通过单点登录客户端程序定时从域服务器上获取,PC,登录域成功的状态，并将获取的信息上报,AC/SG,设备来实现认证。,单点登录客户端也可以访问,PC,，检查,PC,是否从域注销，并将注销的信息发给,AC/SG,设备来实现同步注销用户。,PC,SERVER,安装单点登录客户端程序,AD,域,只有微软,AD,的域单点登录才有免插件模式。,单点登录功能实现方式,监听方式：,即,PC,提交账号和密码到外部认证服务器校验的时候，认证数据被,AC/SG,设备监听。如果认证成功，,AC/SG,设备把该用户加入到在线用户列表从而通过,AC/SG,的认证,。,LDAP,监听方式的单点登录和,POP3,单点登录，,PROXY,普通账号密码的单点登录，,WEB,单点登录均属于这种情况。,SERVER,单点登录功能实现方式,第三方设备锐捷,sam,系统：,锐捷,sam,系统是一套宽带网认证计费管理系统,，,每认证,/,注销一个用户，会在数据库相应表中作一次,insert/delete,操作,。,通过,在数据库中,生成,触发器，当指定表的指定字段有,insert/delete/update,时，,触发器利用,xp_cmdshell,执行,logon.exe,程序,通知,AC/SG,设备,，实现单点登录和注销,。,认证服务器,数据库服务器,Logon.exe,单点登录功能实现方式,H3C cams,系统：,H3C cams,系统,本身提供了二次开发接口，供其他厂商合作,。,AC/SG,设备,按照,H3C,cams提供的接口和它结合，定时从cams系统中获取用户信息,（在线用户,/,用户组织结构）,，并更新,设备,自己的在线用户列表/用户列表，以达到单点登录,的,效果。,认证服务器,单点登录功能实现方式,数据库认证,:,第三方认证系统，一般都是会有一个后台数据库来存储用户、认证信息，如果能明确数据库存储特点（表、字段信息）则不需要关心它前端认证系统，直接和后台数据库结合,实现,单点登录。,通过数据库单点登录设置，在,AC/SG,设备上设置获取用户列表,/,在线用户列表的,SQL,语句，来实现定时从数据库中获取,用户信息,（在线用户,/,用户组织结构）,，并更新,AC/SG,设备,的在线用户列表/用户列表,，完成单点登录。,数据库服务器,单点登录功能实现方式,PPPOE,单点登录：,在,AC/SG,设备上,利用协议剥离识别出,PPPOE,协议,，然后监听,PPPOE,通讯数据包，提取出用户名，,实现单点登录,认证,和,注销,。,单点登录功能配置,以,POP3,单点登录配置为例,POP3,单点登录应用背景,用户信息存放在,POP3,服务器上，在上网之前，用户使用,Outlook,、,Foxmail,之类的客户端登录,POP3,服务器收邮件，,AC,认证系统会自动识别并认证通过该用户，此时用户可以直接上网，而不需再次输入用户名密码。同时适用,POP3,服务器在内网和外网情况。,常见部署模式及配置思路,POP3,服务器,1. POP3,服务器在,AC,的,LAN,口下,配置思路：,1,、建立用户组,2,、建立用户,3,、设置认证策略,4,、设置,POP3,单点登录选项,5,、设置监听口,由于邮件服务器部署在内网，客户端与邮件服务器通信不通过,AC,，认证数据无法被,AC,截获。,这种情况下，需要在,AC,上设置一个监听口，同时连接邮件服务器的交换机设置镜像口，通过监听口和镜像口相连，,AC,才能监听到邮件服务器的认证数据。,POP3,服务器,常见部署模式及配置思路,2. POP3,服务器,AC,的,WAN,口方向,配置思路：,1,、建立用户组,2,、建立用户,3,、设置认证策略,4,、设置,POP3,单点登录选项,邮件服务器部署在,AC,的,WAN,口方向，邮件客户端和服务器通信数据通过,AC,，能被,AC,捕获到认证成功的数据,。,POP3,单点登录配置举例,某公司在外网有自己的邮件服务器，服务器,IP,地址为,211.154.132.84,。要求内网,192.168.1.0/24,网段的用户通过邮件客户端接收邮件后可以直接上网，不需要,AC,上再次认证。如果单点登录不成功，用户还可以手动输入邮件服务器的账号密码认证上网。,POP3单点登录配置举例,配置思路：,新增用户组,设置认证策略，并开启新用户认证策略，添加到本地用户组。,设置外部认证服务器。单点登录不成功的用户，进行外部认证。,配置,POP3,单点登录认证选项,POP3单点登录配置举例,第一步：新建用户组，,”,POP3,认证用户组“,POP3单点登录配置举例,第二步：新建认证策略。,单点登录不成功，则输入邮件服务器的账号密码上网,POP3单点登录配置举例,第三步：新建外部认证服务器。,POP3单点登录配置举例,第四步：设置,POP3,单点登录选项,填入邮件服务器的,IP,和端口,POP3,单点登录配置举例,用户,zjn,通过,Foxmail,客户端成功登录,后可以正常访问外网，设备在线用户列表可以看到用户,zjn,是以单点登录的方式登录，并且是以新用户认证的方式加入“,POP3,认证用户组”,。,POP3单点登录配置举例（续）,如果公司的邮件服务器邮箱迁移到了内网，,IP,地址为,192.168.1.254,，在设备的配置上除了前面设置的步骤，需要修改,POP3,单点登录选项中邮件服务器的,IP,，还需要设置监听镜像口。设置完后需要用网线连接,AC,的该网口和内网交换机的镜像口。,启用镜像网口，并使用,AC,设备上的空闲口作为监听口。,其他单点登录功能配置,本,PPT,中以,POP3,单点登录配置为例，其他监听方式的域单点登录，,PROXY,普通账号密码的单点登录配置与,POP3,单点登录配置类似，不同的是设置域单点登录选项和,PROXY,单点登录选项。,域单点登录功能的介绍和配置在,“,LDAP,单点登录功能培训,PPT,”,中详细介绍。,PPPOE,单点登录功能的介绍和配置在,“协议剥离与,PPPOE,单点登录功能培训,PPT,”,中详细介绍。,其他类型的单点登录功能的配置不要求渠道技术人员掌握，如需进一步了解，请联系,800,技术支持中心，或关注公网技术论坛提供的专题配置文档。,练练手,公司的邮件服务器在公网，,IP,为,202.96.137.75,，要求内网,192.168.1.0/24,网段的用户通过邮件客户端登录邮件服务器接收邮件后可以直接上网，自动通过,AC,的认证。并且内网所有单点登录成功的新用户都自动添加到“,pop,”组。,请问如何配置实现呢？,问题思考,1.,请简述,LDAP,域单点登录组件方式的实现过程？,2. AC/SG,设备支持哪些单点登录方式？,3.,是否可以实现发送邮件也能自动通过,AC,的认证？,