AC设备自带有ADSSO单点登录程序，这个程序可以定期连接AD域，从域服务器上获取PC登录域成功的状态，从而实现单点登录。

数据流过程大致如下：

1. PC登录域

2. 单点登录客户端程序从LDAP服务器获取成功登录域服务器的用户信息

3. 获取到用户信息后在AC上自动上线

   配置案例：要求对内网192.168.2.0/24网段的用户使用AD域单点登录的认证方式，认证成功后以域账号上线；并且绑定将用户和MAC进行自动绑定（跨三层）；当单点登录失败时用户可以不需要认证上线，以MAC作为用户名，但是只能作为临时用户，以“/限制组/”的权限上网，不能添加到组织结构。

第一步：设置认证AD域服务器，点击进入『用户认证』→『外部认证服务器』进行设置（参见章节3.5.2.2）。

第二步：设置认证策略，根据需要使用单点登录的用户的IP或MAC设置认证策略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置：

设置认证范围：

认证方式：

认证后处理：

第三步：因为客户环境是跨三层环境，同时需要绑定MAC地址，所以需要配置跨三层取MAC的功能，点击进入『用户认证』→『认证高级选项』→『跨三层取MAC』页面进行配置。参考章节：3.5.4.4

第四步：在设备上启用单点登录，设置域服务器的IP地址。点击进入『用户认证』→『单点登录』→『微软AD域』页面进行配置。勾选[启用域单点登录]

勾选[域监控单点登录]

点击新增，添加AD域服务器：

第五步：检查和确认AD域服务器的相关配置是否已经启用：

1. 确保AD域服务器上的RPC远程调用服务正常启用运行：

2. 确保AD域服务器上Kerberos的DES加密是启用状态：

如果禁用了Kerberos的DES加密，可能导致单点登录客户端软件在运行的情况下，无法正常的登录到域服务器上（排除网络，用户名等其他因素）。

具体的修复措施为：运行gpedit.msc，选择计算机配置〉Windows设置〉安全设置〉本地策略〉安全选项〉网络安全：配置Kerberos，默认的加密类型选中DES_CBC_CRC和DES_CBC_MD5，如下图所示：

3. Evenlog方式获取用户的配置：1）开启AD域的Eventlog审计进入控制面板，选择“管理工具”：编辑“组策略管理”

编辑“DefaultDomainControllersPolicy”

开启“审核登录事件”和“审核账户登录事件”

4. NetSession方式获取用户的配置：

修改AD域的组策略，如果仅对指定组开启单点登录，则修改对应组的组策略即可：

修改用户登录注销脚本设置，选择"用户配置"-->"windows设置"-->"脚本（登录/注销）"-->"登录"

点击"显示文件"，弹出如下文件夹：

在上述文件夹中新建一个"logon.bat"脚本（非空脚本，推荐脚本内容如下图）：

保存和关闭组策略设置：

刷新组策略：