如果客户的网络中已有一台微软 AD 域服务器做用户管理,并且客户内网用户登录计算机系统都是使用域账号登录的,那么可以采用域单点登录的方式,在内网用户登录到域之后就通过设备的认证,即终端用户登陆域即可上网,无需通过设备再次认证。域单点登录可以采用域脚本下发或监听登录域的数据包两种方式实现。域单点登录只适用于微软 AD 域(MS Active Directory)。
通过配置域服务器登录(logon.exe)和注销(logoff.exe)脚本,在用户登陆或注销域时通过下发的域策略执行登录或注销脚本,执行脚本的同时完成用户在设备上的登录和注销。
如图所示:
数据流的过程大致如下:
1、PC 请求登陆域
2、域返回成功登陆信息给 PC
3、PC 运行 logon.exe 并上报 成功登陆域的信息给设备设置方法:
第一步:设置认证 AD 域服务,点击进入『用户认证』→『认证选项』→『外部认证服务器』进行设置(参见章节 3.7.2.3)
第二步:在设备上启用单点登录,选择单点登录模式并设置共享密钥。点击进入『用户认证』→『认证选项』→『单点登录选项』→『域单点登录』编辑页面。
勾选[启用单点登录]启用域单点登录功能;
勾选[通过域自动下发。执行指定的登录脚本,获取登录信息],表示使用域脚本下发模式实现单点登录。在[请输入共享密钥]中输入共享密钥,如下图所示:
共享密钥用于 AD 域服务器和设备的加密通讯,需要在登录脚本中设置相同的共享密钥。在[域单点登录程序]处点击此处下载按钮用于下载登录注销脚本,
下载脚本用于第三四步的设置。
注意:1、此处支持 AC11.0R2 及以上版本,同步认证信息到 AF,端口为 1775。
第三步:在 AD 域服务器上配置登录脚本程序。
1.登陆域服务器后,打开“管理您的服务器”菜单,如下图:
2.选择“管理 Active Directory 中的用户和计算机”选项,如图:
3.在弹出的窗口中右键所要监控的域,选择属性:
4.在弹出的窗口中,点击组策略选项,在组策略窗口中,双击其中的组策略“Default Domain Policy”
5.在弹出的组策略编辑器中依次点击“用户配置-Windows 设置-脚本(登陆/注销)”
6.双击右边的“登陆”选项,在弹出的登陆脚本编辑窗口左下脚点击“显示文件”,将打开一个目录然后将登陆脚本文件保存在该目录下,关闭该目录。
7.在弹出的登陆脚本编辑窗口中单击添加按钮,在添加脚本窗口中,点击浏览,选择保存的登陆脚本文件(即 logon.exe),并在脚本参数中输入 IP(IP 是属于设备端的 IP),端口号(固定是 1775),密钥(必须与设备端设置的密码一致)。注意每个参数以空格分隔,后点击应用后点击确定,依次关闭所有组策略属性页面布局。
第四步:在 LDAP 上配置注销脚本程序。设置注销脚本的目的是在用户注销域的时候同时注销在设备上的登录账号。
1.依次操作配置登陆脚本程序的步骤,在第六步时双击“注销”选项
2.在弹出的注销脚本编辑窗口左下脚点击“显示文件”(在此为 Show File),将打开一个目录然后将注销脚本(即 logoff.exe)文件保存在该目录下,关闭该目录。
3.在弹出的注销脚本编辑窗口中单击添加按钮,在添加脚本窗口中,点击浏览,选择保存的 AD 注销脚本文件 (即 logff.exe),并在脚本参数中输入在配置登陆脚本参数时输入的 AF 的 IP,依次关闭所有的组策略属性页面布局。
4.配置完脚本后,依次点击桌面左下角的“开始”,点击“运行”,在弹出的运行窗口中输入:“gpupdate”并点击确定,生效配置完的组策略。
第五步:设置认证策略,根据需要使用单点登录的用户的 IP 或 MAC 设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置(参见章节 3.7.2.1.3)。
第六步:用 PC 登录域,登录域成功后即可上网。
注意:
1、要求用户 PC 的第一 DNS 填写为域服务器的 IP 地址,否则会因无法解析域的 IP 而导致登录不了域服务器。
2、如果第一次用户登录域成功后,修改了 DNS 或者 IP 地址,此时可以用正确的密码登陆到域,可以进入 windows,但实际上没有登录到域,此时单点登录无效,用户上网时仍会弹出认证框要求输入用户名和密码,这个主要是因为windows 可以记住上次输入的正确密码,没有登录到域也可以进入 windows。
3、要求域服务器 IP,设备 IP 以及用户 PC 能够相互通信。
4、AF 和与服务器通信使用的是 1775 端口
通过 AF 设备本身的程序自动获取登录信息:AF 设备内置一个单点登录客户端程序 ADSSO。启用这种方式时,程序会定时从域服务器上获取 PC 登录域成功的状态,并将获取的信息上报 AF 设备来实现单点登录。
AF 上需要做的单点登录配置: 勾选[启用域单点登录]
勾选[域监控单点登录]
点击新增,添加域服务器:
[域 DNS 服务器]:填写域 DNS 服务器和域名,域 DNS 服务器要能解析域名,点击域名解析按钮,可自动解析出所有的域控制器的 IP 地址。
[域名]:填写域服务器对应的域名
[域控制器 IP]:填写域服务器对应的 IP 地址
[域账号]:填写具有域管理员权限的账号(本身是管理员,或者加入管理员组)
[域账号密码]:填写对应域账号的密码
点击测试有效性,提示域控制器测试的结果。
点击提交,保存配置。
[集成 windows 身份验证]:简称 IWA 认证,是在 windows 域环境下普遍支持的一种认证方式。通过这种方式实现的单点登录,需要先将 AF 设备和内网电脑都加入到域,当内网电脑打开网页时会自动访问 AF 并提交身份凭证,从而实
现单点登录。
AF 上需要做的单点登录配置: 勾选[启用域单点登录]
勾选[启用集成 windows 身份验证]
[计算机名]:设置 AF 设备加入域的计算机名,后四位固定为网关序号的后四位,前面的字段可以用户自己定义,只支持字母,数字以及连接符“-”,最多支持 10 个字节。
[域名]:设置 AF 需要加入域的域名。
[域 DNS 服务器]:设置域对应的 DNS 服务器 IP 地址。
[域账号]:设置 AF 加入域时使用的域账号。
[域账号密码]:设置域账号密码。
点击测试有效性,检测各个参数是否有效,测试通过后点击提交。
高级选项:
[认证失败后的重定向间隔]:设置 IWA 单点登录失败后隔多久再做重定向, 重新认证
[windows 2000 以前版本域名]:如果域服务器是 windows server 2000 以前的版本,还需要在这里设置下域名。
注意:
1、在域上使域账户过期或者禁用,已登录的 PC 还是可以 kerberos认证成功攻击展示 UI 优化
2、手机代理上网不支持 iwa 认证(启用 iwa 认证后,手机设置代理不会弹认证框)
3、kerberos 认证不会踢密码认证的用户。
4、含有`~!#$%^&*+\|{};:“‘,/<>?等特殊字符的域账号登陆时,不支持认证(仅 AF 不支持)
监听模式是通过监听 PC 登录域服务器的数据,从监听到的数据中获取用户登录的信息,从而实现的单点登录。监听模式的单点登陆无需在域服务器上安装任何组件,但要求内网计算机登陆域的数据经过设备或者是通过监听口镜像到设备。设备通过监听 UDP 88 端口的登陆信息,如果用户成功登陆域,则上网时无法再次通过我们设备的认证,可以直接上网。适用于域服务器在外网和内网情况。下面分两种情况介绍单点登录的设置。
第一种情况:域服务器在内网环境:
数据流过程如下
1、PC 登陆域整个过程被设备监听到
2、如果用户登陆域成功,则自动通过设备认证。设置方法:
第一步:设置认证 AD 域服务,点击进入『用户认证』→『认证选项』→『外部认证服务器』进行设置(参见章节 3.7.2.3)
第二步:在设备上启用单点登录,选择监听模式并设置域服务器的 IP 地址。点击进入『用户认证』→『认证选项』→『单点登录选项』→『域单点登录』页面进行配置。
勾选[启用单点登录]启用域单点登录功能;
勾选[监听计算机登录域的数据,获取登录信息],表示使用监听模式实现单点登录。在[监听的域控制器地址列表]中输入域服务器的 IP 和监听端口,如果有多个域服务器,则一行一个 IP 和端口,如下图所示:
第三步:如果登录数据不经过设备,需要通过设置镜像口,并将镜像口连接到转发登录数据的交换机镜像口上,点击其他选项,设置设备的镜像口。镜像口需要设置空闲网口,已经在使用的网口请不要设置成镜像网口。
第四步:设置认证策略,根据需要使用单点登录的用户的 IP 或 MAC 设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置(参见章节 3.7.2.1.3)。
第五步:PC 登录域,登录成功后即可上网。第二种情况:域服务器在外网:
数据流过程如下:
1、PC 登陆域是穿透设备的
2、设备的内网接口同时作为监听口,无需再设置监听口。设置方法:
第一步:设置认证 AD 域服务,点击进入『用户认证』→『认证选项』→『外部认证服务器』进行设置(参见章节 3.7.2.3)
第二步:在设备上启用单点登录,选择监听模式并设置域服务器的 IP 地址。点击进入『用户认证』→『认证选项』→『单点登录选项』→『域单点登录』页面进行配置。
勾选[启用单点登录]启用域单点登录功能;
勾选[监听计算机登录域的数据,获取登录信息],表示使用监听模式实现单点登录。在[监听的域控制器地址列表]中输入域服务器的 IP 和监听端口,如果有多个域服务器,则一行一个 IP 和端口,如下图所示:
第三步:设置认证策略,根据需要使用单点登录的用户的 IP 或 MAC 设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置(参见章节 3.7.2.1.3)。
第四步:PC 登录域,登录成功后即可上网。
注意:1、监听模式只能监听到用户登录的信息,用户注销时没有数据,故无法监听到注销的状态,所以可能会出现 PC 已经注销了,但设备的在线用户列表中还没有注销此用户。
建议使用Chrome浏览器访问!
