勾选启用复选框，并配置Radius认证和计费端口；另外，这里配置的 Radius端口不能与联动对接设置中Radius认证服务器冲突（AC内置两套Radius服务器，802.1X认证使用FreeRadius，联动对接设置中的Radius是在Portal对接中使用，两者端口不冲突的情况下可以同时开启）；若冲突，请修改联动对接设置中Radius认证服务器的端口，配置为其他端口。

步骤2.点击导航菜单中的[接入管理/接入认证/802.1X接入认证]，勾选启用按钮开始配置。在[认证服务器]启用[AD域账号]认证。如下图所示：

步骤3.设置AC设备加入域的计算机名，后四位固定为网关序号的后四位，前面的字段可以用户自己定义，只支持字母，数字以及连接符“-”，最多支持10个字节。域名为需要加入域的域名，设置域对应的DNS服务器IP地址。设置AC加入AD域使用的域账号和密码，该账号要具备Domain Admin的权限，不一定需要administrator账号。

步骤4.点击测试有效性，检测各个参数是否有效，测试通过后点击提交。如果域服务器是Windows Server 2000以前的版本，还需要在[高级选项/配置]这里设置下域名。

步骤5.对接交换机802.1X配置：

对应交换机启用802.1x功能，认证服务器选择radius，radius服务器指向AC，交换机配置请参考《交换机802.1x配置工具V2.0》。链接地址：https://bbs.sangfor.com.cn路径：自助服务/常用工具/交换机802.1x配置工具。

步骤6.使用户能在AC上线：可以通过交换机配置计费报文带IP或者镜像口方式，接入到AC镜像口，通过抓取ARP或者DHCP包获取mac，也可以通过SNMP获取MAC地址。

步骤7.配置SNMP服务器，需要交换机开启相关服务。

步骤8.认证助手配置（这里介绍通过手动安装MSI包来安装准入客户端）

到AC平台下载准入客户端，如下图。

步骤9.解压之后以管理员权限安装singress.msi，注意勾选开启准入认证客户端802.1X功能才会生成快捷方式。

步骤10.安装完成之后会在桌面生成快捷方式。

效果展示

使用域账号密码登录成功，会显示在线时长。

在[入网管理/在线用户管理]可以看得在线用户的情况和认证的方式。

：

PC配置了802.1X认证，但是认证不成功，可以用抓包工具来抓包，看数据是否发到交换机，筛选条件为eap||eapol认证助手只支持Windows客户端。

通过域下发登录脚本的单点登录

通过配置域服务器登录（logon.exe）和注销（logoff.exe）脚本，在用户登录或注销域时通过下发的域策略执行登录或注销脚本，执行脚本的同时完成用户在设备上的登录和注销。如图所示。

数据流的过程大致如下：

PC请求登录域。
域返回成功登录信息给PC。
PC运行logon.exe并上报成功登录域的信息给设备。

配置案例：要求对内网172.16.1.0/24网段的用户使用AD域单点登录的认证方式，认证成功后以域账号上线；并且删除将用户和IP进行自动绑定；当单点登录失败时跳转到认证页面通过手动输入AD域账号和密码进行认证。

操作步骤

步骤1.设置认证AD域服务器，点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置（参考LDAP服务器章节）。

步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]，点击新增认证策略，勾选启用，填写名称。

步骤3.设置认证范围，填写适用范围：172.16.1.0/24。设置认证方式，认证方式选择单点登录，单点登录失败的用户勾选密码认证，认证服务器选择LDAP。

步骤4.在[接入管理/接入认证/PORTAL认证/单点登录选项/微软AD域] 勾选[启用域单点登录]和[通过域自动下发，执行指定的登录脚本，获取登录信息]，并设置共享密钥。

步骤5.在[共享密钥]中输入共享密钥，共享密钥用于AD域服务器和设备的加密通讯，需要在登录脚本中设置相同的共享密钥。点击<下载域单点登录程序>下载登录注销脚本，下载脚本。

步骤6.在AD域服务器上配置登录脚本程序。

登录域服务器后，使用WIN+R在运行中输入gpmc.msc打开组策略管理，如下图。

策略管理页面如下所示。

在弹出的窗口中，右键选中组策略“Default Domain Policy”，点击<编辑>打开组策略管理编辑器。
在弹出的组策略编辑器中依次点击[用户配置/Windows设置/脚本(登录/注销)]。

双击右边的<登录>选项，在弹出的登录脚本编辑窗口左下脚，点击<显示文件>，会

打开一个目录然后，将登录的脚本保存在该目录下。

在弹出的登录脚本编辑窗口中单击添加按钮，在添加脚本窗口中，点击<浏览>，选择保存的登录脚本文件(即logon.exe)，并在脚本参数中输入AC的IP，端口号(IPV4支持1773和1775端口，IPV6支持1775端口)，密钥(必须与AC端设置的密码一致)。每个参数以空格分隔，点击<确定>，依次关闭所有组策略属性页面配置。

步骤7.在LDAP上配置注销脚本程序。设置注销脚本的目的是在用户注销域的时候同时注销在设备上的登录账号。

在组策略管理编辑器的[用户配置/windows设置/脚本（登录、注销）]，操作配置可参考登录脚本程序的步骤，双击<注销>选项。

在弹出的注销脚本编辑窗口左下脚点击<显示文件>，将打开一个目录然后将注销脚本(即logff.exe)文件保存在该目录下，关闭该目录。

在弹出的注销脚本编辑窗口中单击添加按钮，在添加脚本窗口中，点击<浏览>，选择保存的AD注销脚本文件 (即logff.exe)，并在脚本参数中输入在配置注销脚本参数时输入的AC的IP，依次关闭所有的组策略属性页面配置。

配置完脚本后，依次点击桌面左下角的<开始>，点击<运行>，在弹出的运行窗口中输入：“gpupdate”并点击<确定>，生效配置完的组策略。

步骤8.用PC登录域，登录域成功后即可在AC上以单点登录方式上线并上网。

：

1．要求用户PC的首选DNS填写为域服务器的IP地址，否则会因无法解析域的IP而导致登录不了域服务器。

2．如果第一次用户登录域成功后，修改了DNS或者IP地址，此时可以用正确的密码登录到域，可以进入windows，但实际上没有登录到域，此时单点登录无效，用户上网时仍会弹出认证框要求输入用户名和密码，这个主要是因为windows可以记住上次输入的正确密码，没有登录到域也可以进入windows。

3．要求域服务器IP，设备IP以及用户PC能够相互通信。

4．6.x及以前的logon脚本只支持1773端口，11.x以及后面版本的logon支持1775端口(11.x的logon支持IPv4和IPv6)。

通过程序自动获取登录信息（免插件单点登录）

AC设备自带有ADSSO单点登录程序，这个程序可以定期连接AD域，从域服务器上获取PC登录域成功的状态，从而实现单点登录。

数据流过程大致如下：

PC登录域。
单点登录客户端程序从LDAP服务器获取成功登录域服务器的用户信息。
获取到用户信息后在AC上自动上线。

配置案例：要求对内网192.168.2.0/24网段的用户使用AD域单点登录的认证方式，认证成功后通过域账号上线；并且将用户和MAC进行自动绑定（跨三层）；当单点登录失败时用户可以不需要认证上线，以MAC作为用户名，但是只能作为临时用户，以“/限制组/”的权限上网，不能添加到组织结构。

操作步骤

步骤1.设置认证AD域服务器，点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置（参见LDAP服务器章节）。

步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略] 新增认证策略：

步骤3.设置认证范围，填写适用范围：192.168.2.0/24。

步骤4.设置认证方式，认证方式选择单点登录，勾选不需要认证，自动上线，用户名设置为自动获取：以MAC地址作为用户名。

步骤5.设置认证后处理：勾选自动录入绑定关系：绑定目的选择：限制登录，绑定对象选择绑定MAC，有效期：设置为永不过期。

步骤6.因为用户环境是跨三层环境，同时需要绑定MAC地址，需要配置跨三层取MAC的功能，在[接入管理/接入认证/PORTAL认证/认证高级选项/跨三层取MAC]页面进行配置。参考SNMP章节。

步骤7.在设备上启用单点登录。在[接入管理/接入认证/PORTAL认证/单点登录/微软AD域]页面勾选[启用域单点登录]和[域监控单点登录]。

步骤8.点击<新增>，添加AD域服务器，设置域服务器的IP地址。

步骤9.检查和确认AD域服务器的相关配置是否已经启用。

步骤10.确保AD域服务器上的RPC远程调用服务正常启用运行，在[任务管理器/服务]找到Remote Procedure CALL(RPC)服务，点击<启用>。

步骤11.Eventlog方式获取用户的配置：

1)开启AD 域的Eventlog 审计。

2)在AD域服务器中进入[控制面板/系统和安全/管理工具]页面。

3)点击<组策略管控>页面编辑“Default Domain Controllers Policy”。

4)在计算机配置的[策略/域名解析策略/安全设置/审核策略]中，开启“审核登录事件”和“审核账户登录事件”。

5)使用WIN+R在运行中输入cmd运行窗口，输入“gpupdate”“gpupdate / force” 刷新策略。

使用集成Windows身份认证方式实现单点登录

通过在AC设备上开启集成Windows身份认证功能，AC设备和内网电脑都加入到AD域。内网用户成功登录域并访问网页，即可在AC设备上自动通过认证。

操作步骤

步骤1.设置认证AD域服务器，点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置（参见LDAP服务器章节）。

步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略/]新增认证策略。

步骤3.AC设备启用单点登录。在[接入管理/接入认证/PORTAL认证/单点登录/微软AD域]页面勾选[启用域单点登录]和[启用集成Windows身份验证]，设置域服务器的IP地址。

步骤4.点击测试有效性，会显示测试结果。

步骤5.点击<提交>，保存和生效配置，大概一分钟左右，右下角小喇叭会有提示是否加入域成功。

步骤6.成功登录域后的PC打开网页，查看AC设备的在线用户列表，即可显示认证成功的用户。

使用监听模式实现单点登录

监听模式是通过监听PC登录域服务器的数据，从监听到的数据中获取用户登录的信息，从而实现的单点登录。监听模式的单点登录无需在域服务器上安装任何组件，但要求内网电脑登录域的数据经过设备或者是通过监听口镜像到设备。设备通过监听UDP 88端口的登录信息，如果用户成功登录域，则上网时无需再次通过我们设备的认证，可以直接上网。适用于域服务器在外网和内网情况。下面分两种情况介绍单点登录的设置。

第一种情况：域服务器在内网环境：

数据流过程如下：

PC登录域的数据不经过AC，在内网转发；
在交换机上设置镜像口，把PC登录域的数据镜像到AC上；
如果用户登录域成功，则自动通过设备认证。

操作步骤

步骤1.设置认证AD域服务器，点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置（参见LDAP服务器章节）。

步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略，在[PORTAL认证/认证策略] 新增认证策略。

步骤3.AC设备启用单点登录。在[接入管理/接入认证/PORTAL认证/单点登录/微软AD域]页面勾选[启用域单点登录] 和[监听计算机登录域的数据，获取登录信息]，表示使用监听模式实现单点登录。在[监听的域控制器地址列表]中输入域服务器的IP和监听端口，如果有多个域服务器，则一行一个IP和端口，如下图所示。

步骤4.这种部署中，内网登录域服务器的数据不经过设备，需要通过设置镜像口，并将镜像口连接到转发登录数据的交换机镜像口上，点击<其它选项>，设置设备的镜像口。镜像口需要设置空闲网口，已经在使用的网口请不要设置成镜像网口。

步骤5.PC登录域，登录成功后即可上网。

第二种情况：域服务器在外

数据流过程如下：

PC登录域是穿透设备的；

设备的内网接口同时作为监听口，无需再设置监听口。

操作步骤

步骤1.设置认证AD域服务器，点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置（参见LDAP服务器章节）。

步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略，在 [接入管理/接入认证/PORTAL认证/认证策略] 新增认证策略。

步骤3.因为LDAP服务器在设备的外网方向，用户认证前需要放通访问域服务器的权限，在[认证策略/认证后处理/高级选项/认证前使用此组权限]中设置一个认证前使用的组，并在上网策略中放通这个组访问域服务器的权限。

步骤4.AC设备启用单点登录。在[接入管理/接入认证/PORTAL认证/单点登录/微软AD域]页面勾选[启用域单点登录] ，勾选[监听计算机登录域的数据，获取登录信息]，表示使用监听模式实现单点登录。在[监听的域控制器地址列表]中输入域服务器的IP和监听端口，如果有多个域服务器，则一行一个IP和端口。

步骤5.PC登录域，登录成功后即可上网。

：

监听模式只能监听到用户登录的信息，用户注销时没有数据，故无法监听到注销的状态，所以可能会出现PC已经注销了，但设备的在线用户列表中还没有注销此用户。