山石网科防火墙SSLVPN结合AD域认证配置步骤

搭建AD域

第一步

准备一台Windows Server，这里我用的是2019版本，大同小异。搭建过程很简单，基本都是下一步。最重要的设置IP地址

域服务器DNS指向本机

第二步

服务器开机，进入服务器管理器，如下

这里安装完毕后，点击‘将此服务器提升为域控制器’

第三步

开始正式配置AD域服务器，选择添加新林，并定义根域名，尽量想好，定义后修改比较麻烦，下一步

输入目录还原模式密码，下一步

因为我们还没有创建DNS服务器，之后系统会自己创建DNS服务器，下一步

点击查看脚本，可以看到Windows PowerShell配置AD的参数，会看到自动安装DNS服务器，下一步

安装完成，需要重启计算机

安装了AD 域服务和DNS服务器之后的服务器管理器

第四步

创建组和用户

第五步

加域测试，这里配置切换到win10电脑

DNS指向AD域服务器

这里要输入AD域的管理员用户名和密码

下一步，然后重启，成功加入域

山石网科防火墙配置SSLVPN

先配置SSLVPN，不关联AD域，使用LOCAL

关联AD域做认证

这里有很多需要注意的地方

Base-dn 是指当前AD服务器搜索的路径起始点。以服务器域名为abc.xyz.com为例，Base-dn的输入格式是“dc=abc,dc=xyz,dc=com"

*这里标准写法是：dc=Monkey,dc=com

同步AD域服务器里所有的目录与用户

*在Base-dn目录里，5.5以后的版本加入了可以只过滤某一个用户组目录

写法是：ou=CHINAMSSP,dc=Monkey,dc=com

Login-dn当认证方式指定为明文时，需要配置Login-dn的属性值，即有权限读取用 户信息的AD服务器的用户名。输入格式是“cn=xxx, DC=xxx,...”，举例说 明：服务器的域名为abc.xyz.com,

AD服务器的管理员名为administrator，该管理员名位于“Users”路径下，那么login-dn应写为“cn=administrator,cn=users,dc=abc,dc=xyz,dc=com”

*这里标准写法是：cn=Administrator,cn=Users,dc=Monkey,dc=com

sAMAccountName

当认证方式指定为MD5时，需要配置sAMAccountName的属性值，即有权限读取用户信息的AD服务器的用户名。输入格式是“xxx”,举例说明：AD服务器的管理员名为administrator，那么sAMAccountName应写 为“administrator”。

认证方式

指定用户认证或用户同步方法，明文或MD5摘要。默认为MD5摘要。

指定使用MD5摘要方法后需要配置sAMAccountName属性值，如果没有配置，那么从服务器同步用户的过程中将使用明文方法，认证用户的过程 中将使用MD5摘要方法。

密钥

指定登录AD服务器的用户名所对应的密码。

我这里加了过滤条件，只同步CHINAMSSP里的用户

回到SSLVPN这里，先把之前配置的LOCAL服务器删除，然后选择Monkey.com，添加-

完成。测试一下VPN是否可以使用第三方服务器的用户登陆

了解更多