SANGFOR_AC__v11.0_脚本方式单点登录测试指导书

测试指导书SANGFOR_AC_v11.0_脚本方式单点登录测试指导书深信服科技有限公司目录1 介绍31.1 总体说明31.2 文档目的31.3 缩写和约定32 需求背景33 实现方式44 测试环境44.1 测试拓扑44.2 测试条件44.3 预期测试效果55 测试过程56 测试效果177 高级用法178 注意事项171 介绍1.1 总体说明完成该文档的过程中，不可删除文档结构，但撰写本文档时，可以自行进行内容和结构的扩展。无内容可写的章节，请保持现有斜体字描述。模板中现有的黑体字、非斜体字务必予以保留。1.2 文档目的 为了方便快速达到功能测试效果，减少现场测试出现问题机率。1.3 缩写和约定AD域：Windows Active DirectoryLogon：单点登录上线脚本Logoff：单点登录下线脚本Gpmc.msc：windows 2008 server 打开域组策略命令Gpupate.exe /force：刷新组策略命令，更改组策略后，需执行此命令使更改立即生效Rsop.msc：加入域的PC上执行，可以通过此命令查看PC是否获取到域组策略Gpresult.exe：加入域的PC上报告 ，可以通过此命令查看PC是否获取到域的组策略Logon及logoff脚本方式单点登录兼容以下操作系统：2 需求背景2.1. AD域单点登录适用于客户内网已有AD域统一管理内网用户，部署AC后，希望AC和AD域结合实现平滑认证（即终端PC开机通过域帐号登录AD域后自动通过AC认证上网，无需再次人为通过AC认证，对终端用户透明）2.2. 希望以域用户的身份实名上网，实名记录用户上网日志。3 实现方式脚本方式单点登录通过在域上配置组策略加载logon脚本（登录脚本）及logff（注销脚本），当域用户登录域时，获取到相应组策略，执行logon脚本向AC认证上线；当域用户从域中注销时，执行logff脚本向AC请求注销下线，整个过程对终端用户透明。PC开机使用域帐号登录AD域PC获取组策略PC执行logon登录脚本向AC发起上线认证4 测试环境4.1 测试拓扑常见的测试环境，设备路由或网桥部署，AD域部署在内网交换机，如下图所示。此文主要以此环境介绍脚本单点的登录的测试方法。脚本单点登录另一种使用场景是员工在总公司与分公司出差，实现平滑认证。具体需求是公司总部和分公司都有一台AC，总公司员工在总部时使用单点登录通过总公司AC上网，当出差到分公司时，仍然使用自己的域帐号登录到总部的域服务器，但上网是通过分公司的AC上网，所以希望出差员工登录到总部域时，也能够通过分支AC单点登录上网。这部分需求在此文档第7章节“高级用法”中介绍。 4.2 测试条件4.2.1. 需要确保内网测试电脑已成功登录域，且和AC通信正常（与AC udp 1773，udp 1775端口通信正常）4.2.2.准备好单点登录脚本并上传到AD域 上，脚本可从设备上下载并解压，如下图4.3 预期测试效果单点登录认证及注销正常，应该有如下效果4.3.1.用户开机登录域，自动通过AC认证，打开网页无法再次认证，且在线用户管理可以看到测试PC以域用户上线。4.3.2.PC上网，查看数据中心日志记录用户名为域用户。4.3.3.域用户从域中注销时，同时也从AC下线，即设备在线用户管理看不到测试机在线。5 测试过程5.1.AC上配置AC上的配置可以分为新建LDAP服务器，新建认证策略及配置单点登录3个步骤，具体如下：5.1.1. 新建LDAP服务器，如下图所示【注意】上图“新增外部认证服务器”页面，有个“测试有效性”，可以通过此功能测试域帐号的有效及修改域帐号的密码，如下图所示上图“新增外部认证服务器”页面，有“同步配置”和“高级选项”两个页面，AD域及sun域默认只配置“基本配置”即可，“同步配置”和“高级选项”保持默认，其它域按常规配置无法读取到域结构时，可以通过调整“同步配置”参数。如果客户的域环境是独立域，添加外部认证服务器时，认证端口填写389；如果是父子域，如父域,子域,等，且外部认证服务器配置的是父域的地址，则端口需要填3268。建好域服务器，域组织结构会自动同步至设备后台，默认1个小时触发一次自动同步，如果域中用户或OU结构变化，变化后的结构需要立即同步至设备，则点击下图的“立即同步所有LDAP”按钮5.1.2. 新建单点登录认证策略，如下图所示【注意】上图“单点登录失败的用户”有三种处理方式，分别为“不需要认证，自动上线”、“密码认证”及“跳转到”，三种处理方式分别对应着三种不同的场景。当用户对认证失败比较敏感，即使认证失败了，也不希望内网用户上网需要密码认证，则选择“不需要认证，自动上线”，如果单点登录失败，则不需要认证上线，对终端用户完全透明；当用户对认证要求严格，即用户产生的所有上网日志必须要准确记录到具体域用户上，则选择“密码认证”，如果单点登录失败，则采用用户名密码认证；当用户对认证要求严格，即用户产生的所有上网日志必须要准确记录到具体域用户上，也可以选择“跳转到”提示页面，如选择“跳转到内置提示页面”，则单点登录不成功的用户打开网页重定至如下图页面，从图中链接下载“身份认证工具（logon）”双击进行手动认证。5.1.3. 配置单点登录如下图，启用单点登录，并配置共享密钥，此密钥和后面介绍的AD上配置logon脚本时的密钥要保持一致。5.2.AD域上配置以windows 2008 server为例，AD域的配置主要有新建组策略配置logon登录脚本，配置logoff注销脚本，强制刷新组策略。5.2.1. 新建组策略并配置logon登录脚本，以实现用户开机登录域时，自动通过AC认证AD域服务器“运行”输入gpmc.msc，打开组策略编辑器，如下图。右建需要测试单点登录的OU，并选择“在这个域中创建GPO并在此处链接”，如下图，新建名称为“脚本单点登录”的组策略右键选中新建的单点登录组策略“脚本单点登录”，并编辑，如下图配置logon脚本参数，配置格式如下图，点击“浏览”添加脚本。logon脚本参数最简单的配置只有三个参数，即 acip， 端口为UDP 1775， 密钥（需要和AC控制台上配置 密钥保持一致），三个参数间通过空格隔开，如 10.10.10.4 1775 sangfor。 至此，logon脚本配置完毕【注意】AC11.0的logon脚本参数配置时只支持udp 1775端口。AC11.0同时也兼容老版本的logon，如果使用老版本的logon，则使用udp 1773端口。如果是在IPv6环境，只支持使用11.0的logon，不支持使用11.0之前老版本的logon5.2.2. 按相同的方法配置logoff脚本，以实现用户从域中注销时，可以自动从AC下线，如下图配置logoff参数，点击“浏览”添加logoff脚本。logoff参数只配置ACIP地址即可，如下图至此，logoff脚本配置完毕5.2.3. 刷新组策略为了使用更改的组策略立即生效，需要刷新组策略，刷新组策略命令为gpupdate.exe /force，如下图【注意】因为脚本单点登录需要修改域组策略，且脚本会下发到客户端PC，所以测试阶段建议只针对需要测试的OU配置logon和logoff脚本，不要整个域配置logon，logoff脚本。经和客户协商后，如果全域用户都需要单点登录，则只需要修改配置logon和Logoff脚本即可实现所有域用户单点登录。6 测试效果单点登录认证及注销正常，效果如下6.1.用户开机登录域，自动通过AC认证，打开网页无法再次认证，且在线用户管理可以看到测试PC以域用户上线，如下图。6.2.PC上网，查看数据中心日志记录用户名为域用户，如下图。6.3.域用户从域中注销时，同时也从AC下线，即设备在线用户管理看不到测试机在线。6.4. Logon默认启用了首次执行将Logon复制到PC启动项中，当下次同一个域帐号再次登录域时，即使登录域失败（如离线登录域），也会不影响正常单点登录认证，开机启动时会执行启动项中上次下发的Logon。所以测试电脑启动项中，会看到logon已下发，运行中输入“%appdata%MicrosoftWindowsStart MenuProgramsStartup”，打开windows启动项，如下图。6.5.logon默认启用了常驻内存功能，常驻内存功能实时检测PC IP变化，当地址发生变化，则立即将变化后的IP地址单点登录上线，以实现IP变化实现认证平滑切换。所以在任务管理器中，可以看到Logon.exe一直在运行。7 高级用法在第5章节测试过程中，我们介绍了logon脚本参数配置的基本方法，也是最常用的方法。这里介绍logon脚本参数的另外两种高级用法，可以实现更多的功能。7.1. 多个参数组合使用，实现更多功能以“Title1=value1 Title 2=value2 Title15=value15”的形式带多个参数（1个到15个），参数间以空格隔开，如下图配置表示客户端电脑所有IP都单点登录，其中ac_ip及key两个参数必须配置，其它参数可选。可以定义的参数及适用场景见下表所示。命令行参数名sinforIP配置文件参数名合法值单位默认值有效范围适用场景en_runAlEnableRunAlways0、1-10、1是则启动常驻内存功能，否则运行一次后退出。常驻内存功能实时检测IP变化，当IP变化时，立即重新单点登录，对终端用户无感知，一般用于DHCP环境，从一个位置移动到另一个位置，IP变化后自动平滑单点登录。en_ckSignEnableSignature0、1-00、1是否启动检验数字签名功能（鉴别进程唯一性）。防止内网某些同名进程和logon冲突，导致误杀logonen_repeatLEnableRepeatLogon0、1-00、1是否启动重复登录功能。适用于解决AC启用心跳功能后，局域网故障导致AC错误的注销用户。en_copyStartEnableCopyStartup0、11 0、1是否开启将程序拷贝到启动目录功能。将logon拷贝到本地启动目录，用户下次如果离线登录域，则可以直接从本机运行，解决离线登录域的问题，提高单点登录成功baklogPBaklogPath空串或合法路径 -空串空串或合法路径Logon运行日志默认保存在%appdata%目录，如果此目录没有读写权限，可以将日志打印到指定路径(指定的路径最多包含一层新文件夹，当指定路径没权限写时，会恢复默认日志路径)en_heartBEnableHeartBeat0、1-00、1是否启动心跳功能。当注销脚本运行失败时，可以通过心跳功能实现注销en_responseEnableResponse0、1、2-20、1、2启动、关闭或者自动配置回包功能en_logon_AIPLogonALLIP0、1-00、1是否启动登录所有IP功能。如果 PC有多个IP地址，单点登录上报的IP是随机的，可以启用此功能将所有IP上报单点登录en_logoff_OIPLogoffOldIP0、1-00、1是否启动注销旧IP功能（是即在PC从IP_A变化到IP_B时，是否注销掉IP_A）ac_ipsinforIP合法IP-3.4.5.60.0.0.0255.255.255.255AC的IPkeyshareKey任意ASCII码字符 -123最长23个字符共享密钥（大小写敏感、支持特殊字符）portPort1773、1775-1775IPv4支持udp 1773及UDP1775IPv6只支持udp 1775reLogon_IRepeatLogonInterval正整数秒18010,1000重复登录时间间隔heart_beatIHeartBeatInterval正整数秒3010,50发送心跳的时间间隔checkIP_ICheckIPInterval正整数秒101,100检测IP变化的时间间隔timeoutResponseTimeOut正整数秒51,50等待回包的超时时间retry_timesRetryTimes正整数次31,20一次性发送登录包的次数【注意】logon多个参数组合的方式，ac_ip及key两个参数必须配置，其它参数可选。通常情况是通过进程名、用户名、以及进程签名来鉴定进程唯一性的，但是通过“跳转至内置提示页面”下载Logon.exe会导致签名无效，所以通过设置参数en_ckSign，来决定是否要检验数字签名（缺省不检验）如果使logon.exe心跳开启有效，则AC也要开启心跳检测，AC上开启方法如下IP检测的时间间隔必须小于等于重复登录的时间间隔（否则自动调整为 （reLogon_I-1, IP检测的时间间隔的下限）的最大值）； 发送心跳的时间间隔必须小于等于重复登录的时间间隔（否则自动调整（reLogon_I-1, 发送心跳的时间间隔的下限）的最大值）logoff脚本没有此用法，只有第6章节介绍的基本用法7.2.通过sinforIP配置文件控制logon参数前面介绍的通过命令行控制logon参数的方法一般适用在登录域时，通过一台AC单点登录。如果需求登录域时同时通过多台AC单点登录，则无法实现，下面介绍Logon的另一种用法，通过sinforIP配置文件控制logon参数，实现登录时同时通过多台AC认证。7.2.1.适用场景公司总部和分公司都有一台AC，总公司员工在总部时使用单点登录通过总公司AC上网，当出差到分公司时，仍然使用自己的域帐号登录到总部的域服务器，但上网是通过分公司的AC上网，所以希望出差员工登录到总部域时，也能够通过分支AC单点登录上网。7.2.2.实现方式通过sinforIP配置文件定义多台AC，如同时定义总公司和分公司两台AC，将sinforIP和logon通过域组策略下发给用户，当终端用户登录域时，logon从sinforIP中读取AC地址，向两台AC发起认证，从而实现同时向多台AC认证的功能。7.2.3.配置步骤配置步骤包括AC上配置，AD域上配置（logon配置，logoff配置，刷新组策略），其中AC上的配置及AD域上logoff配置和前面章节介绍一样，这里只介绍AD域上logon配置（1） 配置sinforIP配置文件，如下图sinforIP配置文件，logon及logoff脚本都可以从设备上直接下载，下载说明参考4.2章节。下图为sinforIP配置文件说明，根据此说明配置好必要的sinforIP配置文件。（2） 将配置好的sinforIP配置文件，logon及logoff传到AD域服务器，并配置logon，如下图配置logon参数，如下图。点击“浏览”，添加logon脚本。脚本参数填写“-a”或留空。填写“-a”表示向所有AC发3次登录信息不等待回复，留空表示向所有AC发送retry_times次登录信息（retry_times可配，参考7.1章节中的表格说明），且等待AC回包。推荐脚本参数写“-a”。至此，logon通过sinforIP控制参数的高级用法已介绍完比，其它的配置，如logoff（logoff不能通过sinforIP控制参数），刷新组策略以及效果的测试全部和第5章节中介绍的一样。8 注意事项8.1.如果客户有多个独立的域都和AC结合认证，且域中有同名用户，为了区分是不同域中的用户，需要启用下图配置。启用此配置，AC会给用户名自动加上域后缀，如support，如下图8.2. 单点登录认证，终端必须有上网流量经过设备才可以从AC上线（在线用户管理才可以看到），程序会10分钟检测一次，如果一直没有流量，在线用户管理看不到用户上线。8.3. 客户实际场景中使用最多的是logon常规用法，即第5章节中介绍的测试过程。8.4. AC11.0同时监听udp 1773 及udp 1775端口。如果使用11.0的Logon，则脚本参数配置1775；11.0同时兼容老版本logon，如果使用老版本的logon，则脚本参数配置1773端口；如果是在IPv6环境，只支持使用11.0的logon，不支持使用11.0之前老版本的logon8.5. 如果AD域在AC外网方向，终端PC开机无法正常登录到域，需要将AD域服务器IP地址添加到AC全局排除地址，未认证放行和AD通信。8.6.当logon单点登录不成功，可以通过以下几步简单排查8.6.1.打开PC任务管理器，查看有没有Logon.exe进程在运行，或打开启动菜单（运行中输入%appdata%MicrosoftWindowsStart MenuProgramsStartup）查看有没有logon，如果都没有，则PC上执行rsop.msc是看是否能正常获取域组策略，如果获取不到，则在AD域及PC上执行gpupdate.exe /force强制刷新组策略，最后重启PC登录域。8.6.2.如果任务管理器或启动项下有logon，则直接双击启动项中的Logon观察单点登录是否成功。如果仍不成功，需要查看logon运行日志定位问题，logon运行时，会在PC上产生日志，在运行输入%appdata%，打开.logon目录即是logon运行日志logoff运行时，也会在PC上产生日志，在运行输入%userprofile%，如下图6.4. Logon默认启用了首次执行将Logon复制到PC启动项中，当下次同一个域帐号再次登录域时，即使登录域失败（如离线登录域），也会不影响正常单点登录认证，开机启动时会执行启动项中上次下发的Logon。6.5.logon默认启用了常驻内存功能，常驻内存功能实时检测PC IP变化，当地址发生变化，则立即将变化后的IP地址单点登录上线，以实现IP变化实现认证平滑切换。所以在任务管理器中，可以看到Logon.exe一直在运行。深信服公司版权所有 第27页，共27页