AC设备支持当前在线的用户名和IP地址同步给深信服的其他设备,实现用户同步。
深信服设备之间的用户认证信息共享,包括:本地密码认证,外部密码认证,手机短信验证,单点登录,Dkey认证信息。
AC设备还能够同第二台AC/SG设备结合做认证,相当于用户网络环境中部署了两台深信服设备,其中一台设备作认证,另外一台设备作审计控制,只要用户通过了认证设备的认证后,审计控制设备就能够同步认证设备的用户信息,对用户进行审计控制。
勾选[接收其他深信服设备转发的认证信息]:则设备接收其他设备发来的认证信息,并自动添加认证用户,需要设置和转发设备一致的共享密钥。
勾选转发认证信息到其他深信服设备:将本设备的认证信息发给其他设备。
转发策略:用于设置接收认证信息设备策略。
对源IP的控制:%转发IP% ,表示转发范围是全部,必须要有两个% 分隔。
书写格式:适用范围%目标设备%策略描述。
适用范围:支持IP和控制器名称,多条件用分号隔开。
目标设备:支持IP或IP:端口。多条件用分号隔开。
共享密钥:于设置发送认证信息时加密的密钥,接收设备和发送设备需要保持一致。
示例如下:
%192.200.244.96%基础情况。
%192.200.244.97:1775%加端口。
%2003::22%IPv6(上述1的IPv6场景)。
%[2003::22]:1773%IPv6加端口(上述2的IPv6场景)。
sxf%192.200.244.16%对控制器限制(指定某些控制器认证信息转发给指定设备)。
10.10.10.20%192.200.244.96%对源IP限制(指定源IP认证信息转发给指定设备)。
20.20.20.10;sangfor%172.16.12.1;172.16.12.4%多条件用分号隔开。
AC设备还能够同第二台AC/AC设备结合做认证,相当于用户网络环境中部署了两台深信服设备,其中一台设备作认证,另外一台设备作审计控制,只要用户通过了认证设备的认证后,审计控制设备就能够同步认证设备的用户信息,对用户进行审计控制,如图所示(AC设备A作认证,AC设备B作审计控制)。
数据流的过程如下:
PC通过AC设备A的认证/注销。
A通知AC设备B认证/注销用户,实现对用户进行审计控制。
设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,进入[portal认证/认证策略],新增认证策略进行配置。
点击进入[portal认证/单点登录/深信服设备]页面进行配置。
对于深信服设备B,勾选接收其他深信服设备的认证信息并设置共享密钥。
深信服设备B就可以接收深信服设备A转发过来的认证信息。保持和深信服设备A的认证信息相同。
4.对于网桥部署的深信服设备A,启用[转发认证信息到其他深信服设备]并设置相应的设备IP和共享密钥。
这样深信服设备A就可以将所有认证信息发送给设备B,旁路部署的设备B,就可以看到在线用户和设备A同步了。如果B是旁路部署的深信服上网优化设备,用户访问某些数据必须通过代理才能访问,代理服务器是使用深信服上网优化设备B有做代理设置和用户认证,这样用户只需要通过设备A的认证,就可以自动通过设备B的认证,使用代理方式来访问某些应用了,因为此时A和B的在线用户信息是相同的。
建议使用Chrome浏览器访问!
