单点登录功能介绍:

当用户成功登录到第三方认证服务器时,自动通过AC的认证,而无需再次输入用户名和密码。

优点:

用户只需要输入一次账号和密码,即可自动通过AC的认证,避免账号和密码的重复输入,降低密码泄露的风险。

 

LDAP域单点登录应用背景

LDAP单点登录功能适用于客户内网已有一台域控制器做桌面管理,部署AC设备后,希望实现用户登录域即可上网,无需通过AC再次认证,并且AC上记录用户的行为记录和域用户名对应。

LDAP单点登录有组件模式和监听模式两种方式。只有微软 AD支持新组件单点登录模式。

LDAP域新组件单点登录模式

Sangfor上网行为管理单点登录配置_第1张图片

LDAP域单点登录监听模式

环境一:

Sangfor上网行为管理单点登录配置_第2张图片

环境二:

Sangfor上网行为管理单点登录配置_第3张图片

 

 

域新组件单点登录配置示例

 

某公司内网有一台AD域服务器,域名为123.com,IP地址为192.168.1.24。 要求内网域用户成功登录域之后,直接通过AC设备的认证上网。同时要求将AD域中组织结构的OU“train”,及其子OU和用户同步到AC设备的 “MSAD域用户组”,AD域中新增的用户单点登录成功后触发AD域自动同步并加到组织结构。

配置思路:

  1. 新增用户组
  2. 新增认证策略
  3. 新增外部认证服务器,填写AD域服务器信息
  4. 设置AD域自动同步策略
  5. 启用LDAP单点登录,并设置组件模式单点登录信息
  6. AD域服务器配置登录和注销脚本

Sangfor上网行为管理单点登录配置_第4张图片

Sangfor上网行为管理单点登录配置_第5张图片

 

Sangfor上网行为管理单点登录配置_第6张图片

Sangfor上网行为管理单点登录配置_第7张图片

Sangfor上网行为管理单点登录配置_第8张图片

Sangfor上网行为管理单点登录配置_第9张图片

Sangfor上网行为管理单点登录配置_第10张图片

第三步:新增外部认证服务器,配置AD域服务器。

Sangfor上网行为管理单点登录配置_第11张图片

Sangfor上网行为管理单点登录配置_第12张图片

Sangfor上网行为管理单点登录配置_第13张图片

第四步:设置AD域自动同步

Sangfor上网行为管理单点登录配置_第14张图片

选择要同步的OU

Sangfor上网行为管理单点登录配置_第15张图片

Sangfor上网行为管理单点登录配置_第16张图片

配置完成后,点击“立即同步”

Sangfor上网行为管理单点登录配置_第17张图片

Sangfor上网行为管理单点登录配置_第18张图片

同步完成后后可以在“组/用户”中查看是否同步成功

Sangfor上网行为管理单点登录配置_第19张图片

第五步:设备启用LDAP单点登录,并设置组件模式单点登录信息。

Sangfor上网行为管理单点登录配置_第20张图片

第六步:服务器配置登录和注销脚本

先将单点登录程序下载到本地

Sangfor上网行为管理单点登录配置_第21张图片

打开组策略

Sangfor上网行为管理单点登录配置_第22张图片

Sangfor上网行为管理单点登录配置_第23张图片

Sangfor上网行为管理单点登录配置_第24张图片

 

点击“显示文件”,将logon.exe放进去,然后关闭窗口

Sangfor上网行为管理单点登录配置_第25张图片

脚本名添logon.exe,具体参数见下图

Sangfor上网行为管理单点登录配置_第26张图片

Sangfor上网行为管理单点登录配置_第27张图片

接下来配置注销脚本,双击“注销”,参照下图配置,设备的IP是sangfor设备的IP,设置完成后用户注销或关机时,自动在设备中注销。

Sangfor上网行为管理单点登录配置_第28张图片

测试一下

域组织结构OU“train”下的新用户user3登录域之后,成功通过AC的认证,可以直接上网,并且触发了AD域自动同步,user3被添加到“AD域用户组”中 对应的域结构下。

认证成功后,用户出现在“在线用户列表”中

Sangfor上网行为管理单点登录配置_第29张图片

 

Sangfor上网行为管理单点登录配置_第30张图片

认证成功后,用户出现在“在线用户列表”中

Sangfor上网行为管理单点登录配置_第31张图片