更新时间:2022-06-17
通过配置域服务器登录(logon.exe)和注销(logoff.exe)脚本,在用户登陆或注销域时通过下发的域策略执行登录或注销脚本,执行脚本的同时完成用户在设备上的登录和注销。
数据流的过程大致如下。
PC请求登陆域。
域返回成功登陆信息给PC。
PC运行logon.exe并上报成功登陆域的信息给防火墙设备。
配置步骤
设置认证AD域服务,点击进入[用户认证/认证选项/外部认证服务器]进行设置。
在设备上启用单点登录,选择单点登录模式并设置共享密钥。点击进入[用户认证/认证选项/单点登录选项/域单点登录]编辑页面。
勾选[启用单点登录]启用域单点登录功能;
勾选[通过域自动下发。执行指定的登录脚本,获取登录信息],表示使用域脚本下发模式实现单点登录。在请输入共享密钥:输入共享密钥,如下图所示。
共享密钥用于AD域服务器和设备的加密通讯,需要在登录脚本中设置相同的共享密钥。在[域单点登录程序]处<点击此处下载>按钮用于下载登录注销脚本,下载脚本用于步骤3,步骤4的设置。
:
此处支持AC11.0R2及以上版本,同步认证信息到AF,端口为1775。
在AD域服务器上配置登录脚本程序。
登陆域服务器后,打开“管理您的服务器”菜单,如下图所示。
选择“管理Active Directory中的用户和计算机”选项。
在弹出的窗口中右键所要监控的域,选择属性。
在弹出的窗口中,点击组策略选项,在组策略窗口中,双击其中的组策略“Default Domain Policy”。
在弹出的组策略编辑器中依次点击“用户配置-Windows设置-脚本(登陆/注销)”。
双击右边的“登陆”选项,在弹出的登陆脚本编辑窗口左下脚点击“显示文件”,将打开一个目录然后将登陆脚本文件保存在该目录下,关闭该目录。
在弹出的登陆脚本编辑窗口中单击添加按钮,在添加脚本窗口中,点击浏览,选择保存的登陆脚本文件(即logon.exe),并在脚本参数中输入IP(IP是属于设备端的IP),端口号(固定是1775),密钥(必须与设备端设置的密码一致)。注意每个参数以空格分隔,后点击应用后点击确定,依次关闭所有组策略属性页面布局。
在LDAP上配置注销脚本程序。设置注销脚本的目的是在用户注销域的时候同时注销在设备上的登录账号。
依次操作配置登陆脚本程序的步骤,在第六步时双击“注销”选项。
在弹出的注销脚本编辑窗口左下脚点击“显示文件”(在此为Show File),将打开一个目录然后将注销脚本(即logoff.exe)文件保存在该目录下,关闭该目录。
在弹出的注销脚本编辑窗口中单击添加按钮,在添加脚本窗口中,点击浏览,选择保存的AD注销脚本文件 (即logff.exe),并在脚本参数中输入在配置登陆脚本参数时输入的AF的IP,依次关闭所有的组策略属性页面布局。
配置完脚本后,依次点击桌面左下角的开始,点击<运行>,在弹出的运行窗口中输入:“gpupdate”并点击确定,生效配置完的组策略。
设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击[用户认证/认证策略/新增认证策略]进行配置。
用PC登录域,登录域成功后即可上网。
要求用户PC的第一DNS填写为域服务器的IP地址,否则会因无法解析域的IP而导致登录不了域服务器。
如果第一次用户登录域成功后,修改了DNS或者IP地址,此时可以用正确的密码登陆到域,可以进入windows,但实际上没有登录到域,此时单点登录无效,用户上网时仍会弹出认证框要求输入用户名和密码,这个主要是因为windows可以记住上次输入的正确密码,没有登录到域也可以进入windows。
要求域服务器IP,设备IP以及用户PC能够相互通信。
AF和与服务器通信使用的是1775端口。