ISA控件方式可用于ISA服务器在内网,登录ISA的数据不经过设备的情况下,通过在ISA服务器上注册扩展插件,将PC登录ISA成功后的信息通过扩展的插件通知设备,来完成用户在设备上的登录。如图所示:
数据流的过程大致如下:
1、PC通过HTTP代理,通过ISA的PRXOY认证;
2、ISA将PC登录成功的信息发给AC设备;
3、AC设备自动将PC认证通过,放行PC上网数据。设置方法:
第一步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『portal认证』→『认证策略』→『新增认证策略』进行配置.
第二步:点击进入『portal认证』→『单点登录』→『Proxy』页面进行配置。勾选[启用Proxy单点登录]
勾选[通过Proxy执行指定的登录控件,获取登录信息],表示使用ISA控件方式实现单点登录。在[请输入共享密钥]中输入共享密钥,如下图所示:
第三步:在设备上下载ISA单点登录控件及示例,配置ISA服务器,注册插件并配置
SangforAC.ini。
插件MyAuthFilter.dll放到ISA安装目录下,如C:ProgramFiles\ISAserver\
运行regsvr32“C:ProgramFiles\ISAserver\MyAuthFilter.dll”注册插件
将示例配置文件SangforAC.ini放到C盘根目录下。下面是配置文件的说明:
[config]
ACip=192.168.0.1设备IP地址
key=123 登录ISA的数据包加密密钥,要跟设备上设置的一致
cycle=30每个IP地址发送登录数据包的最小间隔(单位:秒),作用是避免每个IP地址每发起一个新会话访问一个新网站,就发一次登录数据包,这样发送过于频繁。
logpath=调试日志路径,为空表示关掉日志,填写路径表示开启日志,默认关掉,请在有需要的时候再打开。另外,请保证NETWORKSERVICE用户对该文件所在目录具有可读写权限。
maxlogsize=1调试日志文件最大容量(单位:MB),日志文件到达上限值时,会自动清空。
charset=UTF-8支持编码有UTF-8、UTF-16、GB2312、GB18030、BIG5
在ISA插件面板确认“SangforISAAuthFilter”插件已启用。
第四步:PC登录Proxy服务器,登录成功后即可上网。
注意:1、每次修改SangforAC.ini文件后需要重新注册插件
2、ISA插件无法实现当域用户注销或关闭电脑时,让域用户自动从设备上注销。但可以通过在设备控制台上设置超时时间,让用户从设备上自动注销掉。如下图:
3、AC和ISA服务器密钥必须一致,且此密钥不要跟其他方式单点登录密钥相同。
4、ISA服务器要放通自身连接AC设备UDP1773端口的数据
5、如果Proxy服务器在ACWAN区域,则需要放通用户认证前访问Proxy服务器的权限。
如何放通权限?
在【认证策略】—【认证后处理】—【高级选项】中,勾选[认证前使用此组权限],并设置一个组。
在这个用户组的上网权限设置中放通Proxy服务器的IP和端口。
建议使用Chrome浏览器访问!