AC设备自带有ADSSO单点登录程序,这个程序可以定期连接AD域,从域服务器上获取PC登录域成功的状态,从而实现单点登录。
数据流过程大致如下:
配置案例:要求对内网192.168.2.0/24网段的用户使用AD域单点登录的认证方式,认证成功后通过域账号上线;并且将用户和MAC进行自动绑定(跨三层);当单点登录失败时用户可以不需要认证上线,以MAC作为用户名,但是只能作为临时用户,以“/限制组/”的权限上网,不能添加到组织结构。
操作步骤
步骤1.设置认证AD域服务器,点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置(参见LDAP服务器章节)。
步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略,在[接入管理/接入认证/PORTAL认证/认证策略] 新增认证策略:
步骤3.设置认证范围,填写适用范围:192.168.2.0/24。
步骤4.设置认证方式,认证方式选择单点登录,勾选不需要认证,自动上线,用户名设置为自动获取:以MAC地址作为用户名。
步骤5.设置认证后处理:勾选自动录入绑定关系:绑定目的选择:限制登录,绑定对象选择绑定MAC,有效期:设置为永不过期。
步骤6.因为用户环境是跨三层环境,同时需要绑定MAC地址,需要配置跨三层取MAC的功能,在[接入管理/接入认证/PORTAL认证/认证高级选项/跨三层取MAC]页面进行配置。参考SNMP章节。
步骤7.在设备上启用单点登录。在[接入管理/接入认证/PORTAL认证/单点登录/微软AD域]页面勾选[启用域单点登录]和[域监控单点登录]。
步骤8.点击<新增>,添加AD域服务器,设置域服务器的IP地址。
步骤9.检查和确认AD域服务器的相关配置是否已经启用。
步骤10.确保AD域服务器上的RPC远程调用服务正常启用运行,在[任务管理器/服务]找到Remote Procedure CALL(RPC)服务,点击<启用>。
步骤11.Eventlog方式获取用户的配置:
1)开启AD 域的Eventlog 审计。
2)在AD域服务器中进入[控制面板/系统和安全/管理工具]页面。
3)点击<组策略管控>页面编辑“Default Domain Controllers Policy”。
4)在计算机配置的[策略/域名解析策略/安全设置/审核策略]中,开启“审核登录事件”和“审核账户登录事件”。
5)使用WIN+R在运行中输入cmd运行窗口,输入“gpupdate”“gpupdate / force” 刷新策略。
建议使用Chrome浏览器访问!
