下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","域脚本下发模式配置")}}

域脚本下发模式配置

更新时间:2023-06-06

通过配置域服务器登录(logon.exe)和注销(logoff.exe)脚本,在用户登陆或注销域时通过下发的域策略执行登录或注销脚本,执行脚本的同时完成用户在设备上的登录和注销。

数据流的过程大致如下。

  1. PC请求登陆域。
  1. 域返回成功登陆信息给PC
  2. PC运行logon.exe并上报成功登陆域的信息给防火墙设备。

配置步骤

步骤1.设置认证AD域服务,点击进入[用户认证/认证选项/外部认证服务器]进行设置。

步骤2.在设备上启用单点登录,选择单点登录模式并设置共享密钥。点击进入[用户认证/认证选项/单点登录选项/域单点登录]编辑页面。

勾选[启用单点登录]启用域单点登录功能;

勾选[通过域自动下发。执行指定的登录脚本,获取登录信息],表示使用域脚本下发模式实现单点登录。在请输入共享密钥:输入共享密钥,如下图所示。

共享密钥用于AD域服务器和设备的加密通讯,需要在登录脚本中设置相同的共享密钥。在[域单点登录程序]<点击此处下载>按钮用于下载登录注销脚本,下载脚本用于步骤3,步骤4的设置。

:

此处支持AC11.0R2及以上版本,同步认证信息到AF,端口为1775

步骤3.AD域服务器上配置登录脚本程序。

  1. 登陆域服务器后,打开“管理您的服务器”菜单,如下图所示。

  1. 选择“管理Active Directory中的用户和计算机”选项。

  1. 在弹出的窗口中右键所要监控的域,选择属性。

  1. 在弹出的窗口中,点击组策略选项,在组策略窗口中,双击其中的组策略“Default Domain Policy”。

  1. 在弹出的组策略编辑器中依次点击“用户配置-Windows设置-脚本(登陆/注销)”。

  1. 双击右边的“登陆”选项,在弹出的登陆脚本编辑窗口左下脚点击“显示文件”,将打开一个目录然后将登陆脚本文件保存在该目录下,关闭该目录。

  1. 在弹出的登陆脚本编辑窗口中单击添加按钮,在添加脚本窗口中,点击浏览,选择保存的登陆脚本文件(logon.exe),并在脚本参数中输入IP(IP是属于设备端的IP),端口号(固定是1775),密钥(必须与设备端设置的密码一致)。注意每个参数以空格分隔,后点击应用后点击确定,依次关闭所有组策略属性页面布局。

  1. LDAP上配置注销脚本程序。设置注销脚本的目的是在用户注销域的时候同时注销在设备上的登录账号。
  2. 依次操作配置登陆脚本程序的步骤,在第六步时双击“注销”选项。

  1. 在弹出的注销脚本编辑窗口左下脚点击显示文件”(在此为Show File),将打开一个目录然后将注销脚本(logoff.exe)文件保存在该目录下,关闭该目录。

  1. 在弹出的注销脚本编辑窗口中单击添加按钮,在添加脚本窗口中,点击浏览,选择保存的AD注销脚本文件 (logff.exe),并在脚本参数中输入在配置登陆脚本参数时输入的AFIP,依次关闭所有的组策略属性页面布局。

  1. 配置完脚本后,依次点击桌面左下角的开始,点击<运行>,在弹出的运行窗口中输入:“gpupdate”并点击确定,生效配置完的组策略。

步骤4.设置认证策略,根据需要使用单点登录的用户的IPMAC设置认证策略,点击[用户认证/认证策略/新增认证策略]进行配置。

步骤5.PC登录域,登录域成功后即可上网。

  1. 要求用户PC的第一DNS填写为域服务器的IP地址,否则会因无法解析域的IP而导致登录不了域服务器。
  2. 如果第一次用户登录域成功后,修改了DNS或者IP地址,此时可以用正确的密码登陆到域,可以进入windows,但实际上没有登录到域,此时单点登录无效,用户上网时仍会弹出认证框要求输入用户名和密码,这个主要是因为windows可以记住上次输入的正确密码,没有登录到域也可以进入windows
  3. 要求域服务器IP,设备IP以及用户PC能够相互通信。
  4. AF和与服务器通信使用的是1775端口。