6.2.1.3.1.微软AD域

如果用户的网络中已有一台微软AD域服务器做用户管理，内网用户登录电脑系统都是使用域账号登录，可以采用域单点登录的方式，在内网用户登录到域之后就通过设备的认证，即终端用户登录域即可上网，无需通过设备再次认证。域单点登录有四种办法可以实现：

• 通过域自动下发脚本登录：通过在域服务器上配置登录（logon.exe）和注销（logoff.exe）脚本，在用户登录域或注销域时通过下发的域策略执行登录或注销脚本，执行脚本的同时完成用户在设备上的登录和注销。

• 通过AC本身程序自动登录（ADSSO登录）：AC设备内置一个单点登录客户端程序ADSSO。启用这种方式时，主动检测AD域上终端用户登录域的事件日志（事件ID为672，540，4624），检测到有用户登录的日志后即自动通过AC认证。

• 集成windows身份登录（IWA登录）：在windows域环境下普遍支持的一种认证方式。通过这种方式实现的单点登录，需要先将AC设备和内网电脑都加入到域，当内网电脑打开网页时会自动访问AC并提交身份凭证，从而实现单点登录。

• 监听口监听登录信息登录：通过监听PC登录域服务器的数据，从监听到的数据中获取用户登录的信息，从而实现的单点登录。监听模式的单点登录无需在域服务器上安装任何组件，但要求内网电脑登录域的数据经过设备或者是通过监听口镜像到设备。且只能监听登录信息，不能监听注销信息。

以上几种方式可以单独使用，也可以同时使用，它们之间不冲突，同时使用也可以增加单点登录的成功率。具体配置参考接入认证AD域典型案例章节。

6.2.1.3.2.Radius

当用户环境中存在Radius服务器，并且Radius认证和计费的数据包经过AC设备时，可以启用Radius单点登录认证方式，认证成功以Radius的用户名上线。

当第三方Radius服务器认证和计费的数据包不经过AC，则需要通过交换机做镜像流量的方式将Radius计费报文镜像到AC的镜像口。当AC通过镜像流量抓取到Radius计费报文的目的IP后，PC通过Radius认证则成功通过AC认证，AC在线用户列表里可以看到认证的账号以及IP。

：

操作步骤

步骤1.在[接入管理/接入认证/PORTAL认证/认证策略]，点击<新增>认证策略，勾选启用，填写名称、描述和认证范围。

步骤2.认证方式选择单点登录，已开启单点登录方式：显示当前已开启的方式，可点击<配置单点登录>跳转到单点登录页面。单点登录失败的用户还能选择：不需要认证，自动上线、密码认证、跳转到提示页面、跳转到CAS服务器。推荐选择密码认证方式，也可根据实际需求选择。

步骤3.点击<配置单点登录>跳转到单点登录页面，勾选[启用Radius单点登录]。如果Radius认证和计费的数据包不经过AC，则需要在AC上设置镜像口，并把这部分数据通过镜像口镜像到AC上。

步骤4.在Radius服务器地址列表中填写Radius服务器的地址，如果AC作为Radius服务器，则服务器为AC的地址。

• 读取Radius属性，并自动赋值给用户的自定义属性：Radius用户存在一些属性值，AC上也可以设置用户的属性值，如果Radius用户认证的同时也需要把属性带到AC上，则需要勾选此项。

• Radius属性：设置需要读取的Radius属性。

• 赋值给用户的自定义属性：设置需要把上面的Radius属性赋值到AC的哪个自定义属性上。

步骤5.认证后处理，默认设置即可，点击<提交>配置完成。

步骤6.Radius计费包抓取成功，传递用户名至AC，AC在线用户列表显示用户名，认证方式单点登录。

6.2.1.3.3.Proxy

如果用户网络环境中已经部署代理服务器，并且内网用户使用代理服务器上网都有账号和密码，那么可以采用Proxy单点登录的方式，在内网用户通过代理服务器的验证之后就通过设备的认证，即终端用户连接到代理服务器即可上网，无需通过设备再次认证。Proxy单点登录分监听方式和执行指定登录控件两种。

启用Proxy单点登录：开启和关闭Proxy单点登录功能。

• 监听计算机登录Proxy的数据，获取登录信息：通过监听的方式获取用户登录proxy服务器的信息，如果用户登录代理服务器的数据不通过AC设备，需要设置监听镜像口。监听方式的Proxy单点登录配置请参见PROXY单点登录配置章节。

• 兼容Kerberos认证方式：若Proxy服务器为ISA服务器，并且ISA服务器采用“windows集成身份认证”方式，则需要勾选“兼容kerberos认证”方式以完成单点登录，并且该方式仅适用于登录数据包穿过AC设备的情况，不适用于镜像方式。

• Proxy代理服务器地址列表：填写代理服务器的IP地址。

通过Proxy执行指定的登录控件，获取登录信息：需要在代理服务器上配置一个登录脚本，用户登录Proxy服务器时会自动执行该脚本，发送登录数据包到AC设备，完成登录过程。

一般适用于用户使用Proxy代理上网的环境，并且每个用户均分配了代理服务器的账号。使用Proxy单点登录的认证方式时，当用户通过Proxy服务器的验证时，同时通过设备的认证。

使用监听模式

Proxy单点登录的监听模式，也是通过监听登录数据完成单点登录的。分为两种情况：

第一种情况：Proxy服务器在外网方向，如图所示。

数据流过程如下：

1. 用户通过Proxy服务器代理上网，设备监听PC和Proxy服务器的交互。
2. PC成功经过Proxy服务器认证的同时也经过设备的认证。

操作步骤

步骤1.设置认证策略，根据需要使用单点登录的用户的IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。

步骤2.因为Proxy服务器在设备的外网方向，用户认证前需要放通访问Proxy服务器的权限，在[认证策略/认证后处理/高级选项/认证前使用此组权限]中设置一个认证前使用的组，并在权限策略中放通这个组访问Proxy服务器的权限。

步骤3.点击进入[PORTAL认证/单点登录/Proxy]页面进行配置。

步骤4.勾选[启用Proxy单点登录]，勾选[监听计算机登录Proxy的数据，获取登录信息]。

步骤5.在[Proxy代理服务器地址列表]中输入Proxy服务器的IP和监听端口，如果有多个Proxy服务器，则一行一个IP和端口，此处的端口设置Proxy认证的端口即可，如下图所示。

步骤6.PC登录Proxy服务器，登录成功后即可上网。

：

第二种情况：Proxy服务器在内网方向，如图所示。

数据流过程如下：

1. 用户通过Proxy服务器代理上网，认证数据不经过AC转发；

2. 在交换机上设置镜像口，把PC到Proxy服务器的数据镜像到AC上；
3. PC成功经过Proxy服务器认证的同时也经过设备的认证。

操作步骤

步骤1.设置认证策略，根据需要使用单点登录的用户的IP或MAC设置认证策略，进入[接入管理/接入认证/PORTAL认证/认证策略/新增认证策略]进行配置。

步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/Proxy]页面进行配置。

步骤3.勾选启用Proxy单点登录，勾选监听计算机登录Proxy的数据，获取登录信息。

步骤4.在Proxy代理服务器地址列表中输入Proxy服务器的IP和监听端口，如果有多个Proxy服务器，则一行一个IP和端口，此处的端口设置Proxy认证的端口即可，如下图所示。

步骤5.如果登录数据不经过设备，需要通过设置镜像口，并将镜像口连接到转发登录数据的交换机镜像口上，点击<其他选项>，设置设备的镜像口。镜像口需要设置空闲网口，已经在使用的网口请不要设置成镜像网口。

步骤6.PC登录Proxy服务器，登录成功后即可上网。

使用ISA控件方式

ISA控件方式可用于ISA服务器在内网，登录ISA的数据不经过设备的情况下，通过在ISA服务器上注册扩展插件，将PC登录ISA成功后的信息通过扩展的插件通知设备，来完成用户在设备上的登录。

数据流的过程大致如下：

1. PC通过HTTP代理，通过ISA的PRXOY认证；
2. ISA将PC登录成功的信息发给AC设备；
3. AC设备自动将PC认证通过，放行PC上网数据。

操作步骤

步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略，点击[接入管理/接入认证/PORTAL认证/认证策略]，新增认证策略进行配置。

步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/Proxy]页面进行配置。

步骤3.勾选[启用Proxy单点登录]，勾选[通过Proxy执行指定的登录控件，获取登录信息]，表示使用ISA控件方式实现单点登录。在请输入共享密钥：输入共享密钥。

步骤4.在设备上下载ISA单点登录控件及示例，配置ISA服务器，注册插件并配置SangforAC.ini。

1. 插件MyAuthFilter.dll 放到ISA 安装目录下，如C:/Program Files/ISA server/

2. 运行 regsvr32 “C:/Program Files/ISA server/MyAuthFilter.dll” 注册插件

3. 将示例配置文件SangforAC.ini 放到C 盘根目录下。下面是配置文件的说明：

• ACIP=192.168.0.1 设备IP的地址。

• key=123 登录ISA的数据包加密密钥，要跟设备上设置的一致。

• cycle=30 每个IP 地址发送登录数据包的最小间隔（单位：秒），作用是避免每个IP 地址每发起一个新会话访问一个新网站，就发一次登录数据包，这样发送过于频繁。

• logpath=调试日志路径，为空表示关掉日志，填写路径表示开启日志，默认关掉，请在有需要的时候再打开。另外，请保证NETWORK SERVICE用户对该文件所在目录具有可读写权限。

• maxlogsize=1调试日志文件最大容量（单位：MB），日志文件到达上限值时，会自动清空。charset=UTF-8支持编码有UTF-8、UTF-16、GB2312、GB18030、BIG5。

4. 在ISA 插件面板确认“Sangfor ISA Auth Filter”插件已启用。

步骤5.PC登录Proxy服务器，登录成功后即可上网。

：

6.2.1.3.4.POP3

如果用户网络环境中已经部署POP3邮件服务器，并且内网用户登录邮件服务器都有各自的账号和密码，那么可以采用POP3单点登录的方式，内网用户通过POP3服务器的验证之后就通过设备的认证上网。

• 启用POP3单点登录：开启和关闭POP3单点登录功能。

• 邮件服务器地址列表：填写邮件服务器的IP地址。

用户网络中有邮件服务器，用户信息存放在POP3服务器上，在上网之前，用户使用Outlook、Foxmail之类的客户端登录POP3服务器收发一次邮件，设备通过监听模式监听到用户登录的信息，则设备会自动识别并认证通过，此时用户可以直接上网，而不需要再次输入用户名密码。同时适用POP3服务器在内网和外网情况。下面分两种情况讲述POP3单点登录的设置。

第一种情况：POP3服务器在内网

数据流过程如下：

1. 用户通过邮件客户端和POP3服务器通讯，设备监听整个通信过程。

2. 邮件客户端成功登录POP3服务器的同时，设备自动认证用户，上网不需要再次需入密码。
3. 由于数据交互是在内网，内网登录POP3服务器的数据不经过设备，需要在设备上设置监听口。

操作步骤

步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]，点击新增认证策略进行配置。

步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/POP3]页面进行配置。

步骤3.勾选[启用POP3单点登录]。

步骤4.在[邮件服务器地址列表]中输入POP3服务器的IP和监听端口，如果有多个POP3服务器，则一行一个IP和端口，此处的端口设置POP3认证的端口（默认是TCP110），如下图所示。

步骤5.此例中登录数据不经过设备，需要通过设置镜像口，并将镜像口连接到转发登录数据的交换机镜像口上，点击<其它选项>，设置设备的镜像口。镜像口需要设置空闲网口，已经在使用的网口请不要设置成镜像网口。

步骤6.PC通过邮件客户端接收一次邮件，登录POP3成功后即可上网。

第二种情况：POP3服务器在外网：

数据流过程如下：

1. PC登录POP3服务器是穿透设备。
2. 设备的内网接口同时作为监听口，无需再设置监听口。

操作步骤

步骤1.根据需要使用单点登录用户的IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。

步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/POP3]页面进行配置。

步骤3.勾选[启用POP3单点登录]，在[邮件服务器地址列表]中输入POP3服务器的IP和监听端口，如果有多个POP3服务器，则一行一个IP和端口，此处的端口设置POP3认证的端口（默认是TCP110），如下图所示。

步骤4.PC通过邮件客户端收发一次邮件，登录POP3成功后即可上网。

：

6.2.1.3.5.Web

如果用户网络环境中已经部署WEB服务器，并且内网用户登录WEB服务器都有各自的账号和密码，那么可以采用WEB单点登录的方式，在内网用户通过WEB服务器的验证之后就通过设备的认证上网。配置界面如下图所示。

启用Web单点登录：开启和关闭Web单点登录的开关。

Web认证服务器：设置Web服务器的IP地址。

类型：可以选择Cookie值、POST提交的表单、URL请求中的参数，三种方式适用于不同的web认证服务器。

• Cookie值：用户认证成功后，web服务器返回一个Cookie值可以通过这个Cookie值判断是否成功登录。

• Cookie名：填写认证成功后，服务器返回的Cookie名。

• POST提交的表单：Web认证时通过POST方式提交用户名时，需要使用这种类型。

用户表单名称：填写Web认证时，向服务器提交用户名表单名称，支持正则表达式。

支持启用/禁用认证关键字；禁用则表示认证时无需校验关键字。

认证成功关键字：用来识别Web登录是否成功的关键字。返回结果中，如果包含了设定的关键字，则判断为Web单点登录成功。

认证失败关键字：回结果中，如果包含设定的关键字，则判断为Web单点登录失败。

URL请求中的参数：当Web认证是通过http get请求提交认证信息时引用。

URL参数名：填写URL请求中认证字段对应的参数名。

指定表单编码类型：如果出现乱码，则可尝试指定编码类型，否则无需设定，设备会自动识别选用的编码类型。

场景案例

Web单点登录一般适用于客户有自己的Web服务器，且账号信息均保存在Web服务器上，客户想要实现内网用户上网前通过自己Web服务器的认证同时也通过AC设备的认证。Web服务器在内外网都支持。

AC支持从POST值、Cookie值和URL参数中提取登录Web服务器的用户名，具体选择哪种方式取决于用户登录Web服务器时提交用户名所用的方式。

当用户使用POST提交用户名登录Web服务器时，Web服务器会依据登录成功或者失败的结果返回对应的值，所以可以根据Web服务器的返回值（关键字）来确定用户是否登录成功，从而决定该用户是否在AC上线。

通过Cookie和URL这两种方式提交用户名时，Web服务器不会有回应，所以无法判断是否登录成功，只能实现抓取到用户名就立即上线。

本次示例均为POST的方式提交用户名。

场景一：Web服务器在AC设备的LAN口区域，且用户访问Web服务器的流量不会经过AC设备。

操作步骤

步骤1.在[接入管理/接入认证/PORTAL认证/单点登录]界面启用Web单点登录。

在[Web认证服务器]栏填写Web服务器的域名或者IP地址。

类型：选择“POST提交的表单”。

用户表单名称：是用户登录Web服务器时提交的用户名所对应的表单。

启用认证关键字：是为了判断该用户提交用户名和密码后是否成功登录了Web服务器，从而决定该用户是否在AC上线。

表单名和认证关键字均需要依据实际情况填写，如果不清楚可通过抓包获取该信息。

步骤2.确认表单名和认证关键字。使用抓包工具抓取用户登录Web服务器的交互过程从而确认表单名和关键。如下图所示：

通过抓包工具抓取用户登录Web服务器的数据包，在POST表单里可以看到提交用户名的表单名为：pwuser

通过比对登录失败和登录成功的数据包，能够发现登录成功的POST返回值里面携带了Location，获取认证失败关键词同理。

登录成功返回值

登录失败返回值

步骤3.在[单点登录/其他选项]界面勾选[启用镜像网口]并选择对应的镜像网口名，然后点击<提交>保存配置。在本场景下用户登录的Web服务器在内网且流量不会经过AC，所以需要通过镜像流量来监听用户登录Web服务器的数据包从而获取用户名等信息。

步骤4. 在[接入管理/接入认证/PORTAL认证]新增认证策略。[认证方式]选取单点登录，在[认证范围]根据需求配置进行单点登录的认证范围。

步骤5.用户成功登录Web服务器，同时在 AC上线获取对应的外网访问权限。

场景二：Web服务器在AC设备的WAN口区域，当用户访问Web服务器的流量经过AC设备。

步骤1.配置用户认证前网络访问权限。因为Web服务器在AC的WAN口区域，所以用户在完成认证上线前需要能够访问Web服务器，否则无法完成认证。

步骤2. 通过配置[认证前使用此组权限]的功能可以使用户在未认证前能够访问有限的网络资源。目前只有密码认证（包括单点登录失败后匹配密码认证）的认证策略支持设置“认证前使用此组权限”的功能。

步骤3.在[接入管理/本地组用户]点击<新增>添加一个用户组，以该组的身份配置用户认证前的需要访问的网络权限。当用户认证失败就会匹配此用户组的访问访问权限。

步骤4.自定义URL或者自定义应用。在某些场景下需要开放企业内部私有的应用或者URL，此时则需要在AC上自定义企业内部的一些应用或者URL。此处以自定义应用为例：在[系统管理/对象定义/自定义应用]界面点击<新增>按钮，配置应用相关参数。

步骤5.在[行为管理/访问权限策略]界面点击<新增>按钮，添加[访问权限策略]用于配置认证前的网络访问权限。

步骤6.勾选[应用控制]，并在应用控制栏内先添加一条拒绝所以的策略，然后再添加一条放通策略。该放通策略用于放通认证前需要访问的应用，比如步骤2自定义的内网应用。

在[适用对象]页面勾选认证前的组对象，最后点击<提交>即可。

步骤7.配置认证策略。在[接入管理/接入认证/PORTAL认证]界面点击<新增>按钮配置密码认证策略，并根据实际需求配置认证策略适用范围。如“10.68.10.3/24”。

步骤8.在[认证方式]栏选择密码认证。（如果认证方式为“单点登录”但配置了失败后匹配密码认证，也支持设置“认证前使用此组权限”的功能）

、

步骤9.启用[认证前适用此组权限]。在认证后处理栏点击<高级选项>，然后勾选[认证前适用此组权限]并配置好相应的组名。配置如下图所示。

步骤10.在[接入管理/接入认证/PORTAL认证/单点登录]界面启用Web单点登录。

• Web认证服务器：填写Web服务器的域名或者IP地址；

• 类型：选择“POST提交的表单”。

• 用户表单名称：是用户登录Web服务器时提交的用户名所对应的表单。

• 启用认证关键字：是为了判断该用户提交用户名和密码后是否成功登录了Web服务器，从而决定该用户是否在AC上线。

• 表单名和认证关键字均需要依据实际情况填写，也可通过抓包获取该信息。

步骤11.确认表单名和认证关键字。使用抓包工具抓取用户登录Web服务器的交互过程从而确认表单名和关键。

通过抓包工具抓取用户登录Web服务器的数据包，在POST表单里可以看到提交用户名的表单名为：pwuser。

通过比对登录失败和登录成功的数据包，能够发现登录成功的POST返回值里携带了Location，获取认证失败关键词同理。登录成功返回值和登录失败返回值请参靠案例一的图。

步骤12.在[接入管理/接入认证/PORTAL认证]界面为需要进行单点登录的用户配置认证策略。[认证方式]选取单点登录，在[认证范围]根据需求配置进行单点登录的认证范围。

：

需要配置“单点登录的用户失败后匹配密码认证”，否则[认证前使用此组权限]的功能不会生效，导致无法访问Web服务器。

步骤13.用户成功登录Web服务器，同时在 AC上线获取对应的外网访问权限。

：

截止到本文发布为止， Web单点登录暂时不支持https的Web应用登录。

6.2.1.3.6.第三方设备

某些网络环境中已经存在其他的第三方认证系统作为用户认证和组织结构的管理，此时设备能够跟这些第三方的认证系统结合使用，做单点登录。目前设备支持的其他第三方厂商的认证系统有锐捷Sam系统、HTTP单点登录接口、H3C CAMS系统、城市热点和H3C IMC系统和华为Agile Controller。

锐捷Sam系统结合认证

锐捷Sam系统是一套宽带上网认证计费管理系统，常用于高校及二级运营商用户，用户上网前必须通过锐捷Sam系统的身份认证，用户通过Sam系统的认证/注销后，自动在AC上完成认证/注销。如图所示。

数据流的过程如下：

1. PC通过锐捷Sam系统认证服务器的认证/注销。
2. 锐捷Sam系统数据库服务器通知AC设备认证/注销用户，实现单点登录和注销。

操作步骤

步骤1.设置认证策略，根据需要使用单点登录的用户的IP或MAC设置认证策略，点击[接入管理/接入认证/PORTAL认证/认证策略]新增单点登录认证方式的认证策略。

步骤2.点击进入[接入管理/接入认证/PORTAL认证/单点登录/第三方设备]页面进行配置。

步骤3.启用锐捷Sam系统并设置共享密钥。

步骤4.在设备上下载锐捷Sam单点登录程序，在Sam系统的数据库服务器上配置，使得pc登录到Sam系统时，数据库服务器向AC发送用户认证信息。

以锐捷Sam系统数据库为Sql Server2005为例，说明锐捷Sam系统数据库服务器需要做的设置：

1. 在[接入管理/接入认证/PORTAL认证/单点登录/第三方设备/锐捷Sam系统]下载rjsam.zip（内含logon.exe和触发器sql脚本)到服务器上。解压后，得到如下内容。

2. 将触发器所需调用的应用程序logon.exe 拷到SAM 服务器对应目录下。
3. 文件夹2005中存放了为sql server 2005定制的触发器sql语句，以logon_trigger.sql为例，打开此文件，将内容全选复制后，粘贴到sql server 查询管理器中，根据实际情况修改如下配置（logout_trigger.sql和update_trigger.sql的修改同logon_trigger.sql）：

4. 由于上述3个触发器都调用了master 数据库的xp_cmdshell 命令，该命令默认被SQL SERVER 2005 禁止调用。这需要执行下图的xp_cmdshell.sql 来解除禁用。在[ Sql Server 2005 Management Studio]中打开该文件，按[执行]按钮执行。

5. 打开Sql Server 2005 Management Studio，找到SAMDB 数据库。

6. 找到[ONLINE_USER]表，点击触发器文件夹图标，右边[对象资源管理器详细信息]空白区域没有任何条目，没有新建任何针对“ONLINE_USER”表的触发器。

7. 打开文件夹2005目录，双击步骤3描述的三个文件，它们被打开在“Sql Server 2005 Management Studio”中，点击工具条上的<执行>按钮，当前激活tab 页对应的触发器被安装，切换tab 页，对另外两个触发器也执行同样的安装操作。

8. 切换到“对象资源管理器详细信息”tab 页，刷新空白区域，可看到触发器完成安装。

9. 如果需要删除触发器，则在[Sql Server 2005 Management Studio]的[对象资源管理器详细信息]中点击对应触发器，可以看到弹出菜单中有删除项，点击该项将弹出删除对象对话框，点击该对话框的确定键，即可删除对应触发器。

步骤5.用户通过锐捷SAM认证的同时通过设备的认证上网。

1. 触发器在Sql Server2000 锐捷服务器上的安装过程与2005 版类似，不同的是要选择在2000 目录下的触发器安装，若存储过程xp_cmdshell已启用，则不需要执行xp_cmdshell.sql。
2. 若锐捷sam系统数据库名不是samdb，则将触发器sql语句第一行 use SAMDB的[SAMDB]修改成实际的数据库名，若表名和字段名跟示例不同，也需要酌情修改。
3. 注意trigger语句中的如下字段，如果多个用户可能同时登录或注销，需要根据用户机构上网人数将@i允许的值改大，一般建议修改最大不要超过2000（高端设备最多支持3000），若保持默认不修改，则用户环境若有两个用户同时登录，则AC只认证一个用户，导致另外一个用户无法上网。

4. 如下，修改成可以支持最多10个用户同时登录或者注销。

5. 注意trigger语句中的如下字段，当logon.exe向AC发送认证信息时，为保护服务器性能，默认是不开启日志的，如果需要开启日志，则将上一段置换如下，即带-l参数表示启用日志。

6. 这样在数据库服务器用户主目录下会产生日志如下。

7. 设备和trigger脚本中配置的密钥一致，且此密钥不要与其他方式单点登录密钥相同。
8. 要求设备和锐捷Sam服务器能互相通讯，锐捷SAM服务器连接设备UDP：1773端口发送认证信息，不要求用户登录Sam系统的数据经过设备。
9. 此方法不限于锐捷SAM系统，适用于所有后台数据库为MS SQL SERVER 2000/2005的数据库系统，需要酌情修改SQL脚本，使得相关库名 、表名、字段名与实际使用环境匹配。

支持HTTP单点登录的接口结合认证

设备提供的HTTP 单点登录接口，可以向任何第三方认证设备，提供基于HTTP(S)协议，GET 方法的单点登录/注销功能。

数据流的过程如下：

1.  PC通过http/https方式访问认证服务器，并通过认证服务器的认证/注销。
2.  认证服务器认证/注销页面做处理，使得能通知AC设备上线/注销对应用户，完成单点登录。PC通过AC认证，正常上网。

操作步骤

步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。

步骤2.在[接入管理/接入认证/PORTAL认证/单点登录/第三方设备]进行单点登录配置。

步骤3.勾选[启用支持HTTP单点登录的接口]，设置允许使用该接口的设备IP。

步骤4.点击下载示例说明，其中包含了Logon.js和Logon.html，修改Logon.html，并配置提供认证的服务器。

步骤5.PC通过http/https服务器的认证/注销后自动在设备上通过认证/注销。

：

H3C CAMS系统结合认证

H3C CAMS系统同锐捷sam系统，也是一套宽带上网认证计费管理系统，常用于高校及二级运营商用户，AC设备根据H3C CAMS提供的接口与之完成对接，定时从CAMS系统中获取用户信息，并更新自己的在线用户列表/用户列表，以完成单点登录。

数据流的过程如下：

1. PC通过H3C CAMS系统的认证。
2. 设备定时同步H3C CAMS系统上的组织结构和在线用户。
3. PC以AC设备取到的在线用户的身份上网。

操作步骤

步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。

步骤2.设置H3C CAMS 服务器，点击进入[接入管理/接入认证/PORTAL认证/认证服务器]，进行设置（参见第三方设备单点登录）。

步骤3.进入[接入管理/接入认证/PORTAL认证/单点登录/第三方设备]页面进行配置。

步骤4.勾选[H3C CAMS系统]，选择在外部认证服务器中设置的CAMS服务器。

步骤5.用户通过H3C CAMS系统的认证后，即可通过设备上网。

H3C IMC结合认证

客户环境中已经有了H3C IMC认证服务器，需要实现终端通过H3C IMC认证后不需要再进行AC入网认证，同时在AC上能看到终端以H3C IMC上用户名上线。

数据流的过程如下：

1.  终端通过H3C IMC系统上/下线后，IMC系统会向AC发送报文。

2. AC收到IMC发送的终端上/下线报文后，会解析出上/下线终端的用户名和IP，然后通过单点登录流程实现终端上/下线。

操作步骤

步骤1.配置单点登录。在AC设备[接入管理/接入认证/PORTAL认证/单点登录/第三方设备]选择H3C IMC 并填写H3C IMC服务器地址，点击<提交>，如下图所示。

步骤2.配置认证策略。根据内网的需求设置认证范围，认证方式选择单点认证，单点登录失败选项。可以根据客户需求设置，如下图所示。

步骤3.在H3C IMC系统上配置[用户上下线通知参数配置]，如下图所示。（注意：不同版本的IMC服务器配置界面可能有所不同。）

步骤4.服务器IP地址配置为开启了单点登录的AC设备的IP地址，服务器端口为：61442。共享密钥暂可忽略不计，无影响。

城市热点结合认证

城市热点是一套认证计费管理系统，广泛应用于教育、电信、广电、政府等各个领域，不管城市热点使用的B/S认证还是C/S认证，AC设备都能够与之结合进行用户认证。用户上网前必须通过城市热点系统的身份认证，用户通过城市热点系统的认证/注销后，自动在AC上完成认证/注销。

数据流的过程如下：

1. PC通过城市热点认证服务器的认证/注销。
2. 城市热点认证服务器通知AC设备认证/注销用户，实现单点登录和注销。

操作步骤

步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。

步骤2.在[接入管理/接入认证/PORTAL认证/单点登录/第三方设备] 勾选<城市热点>并设置设备IP地址。

步骤3.配置城市热点系统。有关城市热点的配置请联系相应厂商，此处不再举例。

华为Agile Controller结合认证

华为Agile Controller是一个基于用户与应用的网络资源自动化控制系统，支持准入控制、访客管理、业务随行、业务编排，作为园区网络的集中化控制核心，全局控制园区网络的用户、业务与安全等策略。企业已经部署Agile Controller，并启用准入控制功能（MAC、802.1x、Portal、SACG），实现终端用户通过Agile Controller认证后不需要再进行AC入网认证，同时在AC上能看到终端以Agile Controller上的用户名上线。

数据流的过程如下：

3. 终端通过Agile Controller上/下线后，Agile Controller会向AC发送报文。
4. AC收到Agile Controller发送的终端上/下线报文后，会解析出上/下线终端的用户名、IP、MAC和用户组，然后通过单点登录流程实现终端上/下线。

操作步骤

步骤4.华为Agile Controller已经完成部署，并启用准入控制功能（MAC、802.1x、Portal、SACG）。

步骤5.在华为Agile Controller设备中进入[系统/服务器配置/上网行为管理设备配置]，点击<增加>新建上网行为管理设备，设置联动深信服AC相关参数，配置完成后点击<确定>。

IP地址：深信服AC设备的IP地址。

设备名称：深信服AC设备的名称，用于标识设备，方便管理。

端口：深信服AC设备使用该端口与 Agile Controller 进行联动， 默认端口为8001， 需要与深信服AC 配置的端口保持一致。

接入密码：与深信服AC设备侧配置的共享密钥保持一致。

加密算法：设置Agile Controller与深信服AC设备之间通信的加密算法。AC 目前只支持AES128加密算法。

终端IPv4地址列表：输入需要单点登录到上网行为管理的终端用户IPv4地址或网段。AgileController只会发送属于该列表的用户登录/注销消息给深信服AC。一个 IP 地址或IP地址段占一行。IP地址段的格式为“IP1-IP2”或“IP/掩码长度”。IP 地址段遵循少而精的原则，因为包含的IP 地址数量越多，AC设备的运行效率会降低。例如，网段192.168.10.1/24中只有192.168.10.1-192.168.10.10 十台终端主机，则不要配置192.168.10.1/24，而配置 192.168.10.1-192.168.10.10。

终端 IPv6 地址列表：启用 IPv6 后，输入需要单点登录到上网行为管理的终端用户 IPv6 地址或网段。Agile Controller 只会发送属于该列表的用户登录/注销消息给深信服AC。一个IP地址或IP地址段占一行。IP 地址段的格式为“IP/掩码长度”。IP 地址段遵循少而精的原则，因为包含的IP地址数量越多，AC设备的运行效率会降低。

步骤6.在深信服AC设备导航栏进入[接入管理/接入认证/PORTAL/单点登录]，选择“第三方设备”，勾选“华为Agile Controller”，配置相关参数后点击<提交>。

设备地址：配置华为Agile Controller设备地址。

共享密钥：与华为Agile Controller设备侧配置的接入密码保持一致。

对接端口：深信服AC设备使用该端口与华为Agile Controller 进行联动，默认端口为514，需要与华为Agile Controller配置的端口保持一致。

步骤7.配置单点登录认证策略。在[接入管理/接入认证/PORTAL/认证策略]新建认证策略，在“认证范围”填入需要单点登录的用户IP地址或网段，在“认证方式”选择单点登录，已开启单点登录方式显示“Agile Controller”，“认证后处理”选择单点登录用户上线的用户组，最后点击<提交>。

步骤8.用户在华为Agile Controller通过认证后发送上线报文到深信服AC，用户信息同步在深信服AC上线。

6.2.1.3.7.深信服设备

AC设备支持当前在线的用户名和IP地址同步给深信服的其他设备，实现用户同步。

深信服设备之间的用户认证信息共享，包括：本地密码认证，外部密码认证，手机短信验证，单点登录，Dkey认证信息。

AC设备能够和第二台AC/SG设备结合做认证，用户网络环境中部署了两台深信服设备，其中一台设备作认证，另外一台设备作审计控制，只要用户通过了认证设备的认证后，审计控制设备就能够同步认证设备的用户信息，对用户进行审计控制。

勾选[接收其他深信服设备转发的认证信息]：则设备接收其他设备发来的认证信息，并自动添加认证用户，需要设置和转发设备一致的共享密钥。

勾选转发认证信息到其他深信服设备：将本设备的认证信息发给其他设备。

转发策略：用于设置接收认证信息设备策略。

对源IP的控制：%转发IP% ，表示转发范围是全部，必须要有两个% 分隔。

书写格式：适用范围%目标设备%策略描述。

适用范围：支持IP和控制器名称，多条件用分号隔开。

目标设备：支持IP或IP：端口。多条件用分号隔开。

共享密钥：于设置发送认证信息时加密的密钥，接收设备和发送设备需要保持一致。

示例如下：

1. %192.200.244.96%基础情况。
2. %192.200.244.97:1775%加端口。
3. %2003::22%IPv6（上述1的IPv6场景）。
4. %[2003::22]:1773%IPv6加端口（上述2的IPv6场景）。
5. sxf%192.200.244.16%对控制器限制（指定某些控制器认证信息转发给指定设备）。
6. 10.10.10.20%192.200.244.96%对源IP限制（指定源IP认证信息转发给指定设备）。
7. 20.20.20.10;sangfor%172.16.12.1;172.16.12.4%多条件用分号隔开。

使用场景

AC设备能够和第二台AC/SG设备结合做认证，用户网络环境中部署了两台深信服设备，其中一台设备作认证，另外一台设备作审计控制，只要用户通过了认证设备的认证后，审计控制设备就能够同步认证设备的用户信息，对用户进行审计控制，如图所示（设备A作认证，设备B作审计控制）。

数据流的过程如下：

1. PC通过设备A的认证/注销。
2. 设备A通知设备B认证/注销用户，实现对用户进行审计控制。

操作步骤

步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。

步骤2.在深信服设备B[接入管理/接入认证/PORTAL认证/单点登录/深信服设备] 勾选接收其他深信服设备的认证信息并设置共享密钥。

步骤3.对于网桥部署的深信服设备A，只需要启用[转发认证信息到其他深信服设备]并设置相应的设备IP和共享密钥。

这样深信服设备A就可以将认证信息发送给设备B，旁路部署的设备B可以接收深信服设备A转发过来的认证信息，保持和深信服设备A的认证信息相同。如果B是旁路部署的深信服上网优化设备，用户访问某些数据必须通过代理才能访问，代理服务器是使用深信服上网优化设备B有做代理设置和用户认证，这样用户只需要通过设备A的认证，就可以自动通过设备B的认证，使用代理方式来访问某些应用了，因为此时A和B的在线用户信息是相同的。

6.2.1.3.8.数据库认证

当网络环境中已有一套数据库系统存储并管理用户认证信息、组织结构的情况下，深信服AC设备支持配置SQL查询语句，查询该数据库系统中的用户列表和已认证用户，并同步到设备的组织结构和在线用户列表中，从而支持和数据库系统结合的单点登录，实现用户通过数据库认证后，即通过AC设备的用户认证，同时用户从数据库认证系统中注销，也自动完成在设备上的注销。目前支持的数据库类型有Oracle，mssql server，db2和mysql几种。

数据流的过程如下：

1. PC通过认证服务器的认证，在数据库服务器中更新PC的认证信息。
2. 设备定时查询数据库服务器中在线用户，并更新设备自身的在线用户列表。
3. PC使用AC设备获取到的在线用户身份上网。

操作步骤

步骤1.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]新增认证策略。

步骤2.设置数据库服务器，点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置（参见数据库认证章节）。

在[接入管理/接入认证/PORTAL认证/单点登录/数据库认证]页面勾选[启用数据库认证单点登录]，选择数据库服务器并设置SQL查询语句。

数据库服务器：选择步骤1设置好的数据库服务器。

获取已认证用户列表的sql语句：设置可以查询到在线用户的select语句，设备通过该select语句查询数据库中的用户信息表来获取在线用户。

：

sql语句返回的结果集不能超过2列，第一列为用户名，第二列为IP地址，能查询的记录数不能超过200000条。

获取已认证用户列表的时间间隔：默认值是30s，指用户通过认证服务器认证到通过AC认证之间的最大时间间隔。

点击<测试有效性>列出可以获取的信息。

：

6.2.1.3.9.其他选项

其他选项用于登录服务器的数据不经过网关，则需要设定监听镜像网口，监听登录的数据，勾选一个空闲接口进行监听。这个监听口在域单点登录监听模式、Radius单点登录、POP3单点登录以及Web单点登录等方式时均可以设置。

此处的监听口还可以用于设备旁路部署模式下，监听镜像上网数据。