监听模式是通过监听PC登录域服务器的数据,从监听到的数据中获取用户登录的信息,从而实现的单点登录。监听模式的单点登录无需在域服务器上安装任何组件,但要求内网电脑登录域的数据经过设备或者是通过监听口镜像到设备。设备通过监听UDP 88端口的登录信息,如果用户成功登录域,则上网时无需再次通过我们设备的认证,可以直接上网。适用于域服务器在外网和内网情况。下面分两种情况介绍单点登录的设置。
第一种情况:域服务器在内网环境:
数据流过程如下:
操作步骤
步骤1.设置认证AD域服务器,点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置(参见LDAP服务器章节)。
步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略,在[PORTAL认证/认证策略] 新增认证策略。
步骤3.AC设备启用单点登录。在[接入管理/接入认证/PORTAL认证/单点登录/微软AD域]页面勾选[启用域单点登录] 和[监听计算机登录域的数据,获取登录信息],表示使用监听模式实现单点登录。在[监听的域控制器地址列表]中输入域服务器的IP和监听端口,如果有多个域服务器,则一行一个IP和端口,如下图所示。
步骤4.这种部署中,内网登录域服务器的数据不经过设备,需要通过设置镜像口,并将镜像口连接到转发登录数据的交换机镜像口上,点击<其它选项>,设置设备的镜像口。镜像口需要设置空闲网口,已经在使用的网口请不要设置成镜像网口。
步骤5.PC登录域,登录成功后即可上网。
第二种情况:域服务器在外
数据流过程如下:
操作步骤
步骤1.设置认证AD域服务器,点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置(参见LDAP服务器章节)。
步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略,在 [接入管理/接入认证/PORTAL认证/认证策略] 新增认证策略。
步骤3.因为LDAP服务器在设备的外网方向,用户认证前需要放通访问域服务器的权限,在[认证策略/认证后处理/高级选项/认证前使用此组权限]中设置一个认证前使用的组,并在上网策略中放通这个组访问域服务器的权限。
步骤4.AC设备启用单点登录。在[接入管理/接入认证/PORTAL认证/单点登录/微软AD域]页面勾选[启用域单点登录] ,勾选[监听计算机登录域的数据,获取登录信息],表示使用监听模式实现单点登录。在[监听的域控制器地址列表]中输入域服务器的IP和监听端口,如果有多个域服务器,则一行一个IP和端口。
步骤5.PC登录域,登录成功后即可上网。
:
监听模式只能监听到用户登录的信息,用户注销时没有数据,故无法监听到注销的状态,所以可能会出现PC已经注销了,但设备的在线用户列表中还没有注销此用户。
建议使用Chrome浏览器访问!
