更新时间:2022-01-24
AC设备自带有ADSSO单点登录程序,这个程序可以定期连接AD域,从域服务器上获取PC登录域成功的状态,从而实现单点登录。
数据流过程大致如下:
-
PC登录域
-
单点登录客户端程序从LDAP服务器获取成功登录域服务器的用户信息
-
获取到用户信息后在AC上自动上线
配置案例:要求对内网192.168.2.0/24网段的用户使用AD域单点登录的认证方式,认证成功后以域账号上线;并且绑定将用户和MAC进行自动绑定(跨三层);当单点登录失败时用户可以不需要认证上线,以MAC作为用户名,但是只能作为临时用户,以“/限制组/”的权限上网,不能添加到组织结构。
第一步:设置认证AD域服务器,点击进入『用户认证』→『外部认证服务器』进行设置(参见章节3.5.2.2)。
第二步:设置认证策略,根据需要使用单点登录的用户的IP或MAC设置认证策略,点击『用户认证』→『认证策略』→『新增认证策略』进行配置:
设置认证范围:
认证方式:
认证后处理:
第三步:因为客户环境是跨三层环境,同时需要绑定MAC地址,所以需要配置跨三层取MAC的功能,点击进入『用户认证』→『认证高级选项』→『跨三层取MAC』页面进行配置。参考章节:3.5.4.4
第四步:在设备上启用单点登录,设置域服务器的IP地址。点击进入『用户认证』→『单点登录』→『微软AD域』页面进行配置。勾选[启用域单点登录]
勾选[域监控单点登录]
点击新增,添加AD域服务器:
第五步:检查和确认AD域服务器的相关配置是否已经启用:
1. 确保AD域服务器上的RPC远程调用服务正常启用运行:
2. 确保AD域服务器上Kerberos的DES加密是启用状态:
如果禁用了Kerberos的DES加密,可能导致单点登录客户端软件在运行的情况下,无法正常的登录到域服务器上(排除网络,用户名等其他因素)。
具体的修复措施为:运行gpedit.msc,选择计算机配置〉Windows设置〉安全设置〉本地策略〉安全选项〉网络安全:配置Kerberos,默认的加密类型选中DES_CBC_CRC和DES_CBC_MD5,如下图所示:
3. Evenlog方式获取用户的配置:1)开启AD域的Eventlog审计进入控制面板,选择“管理工具”:编辑“组策略管理”
编辑“DefaultDomainControllersPolicy”
开启“审核登录事件”和“审核账户登录事件”
4. NetSession方式获取用户的配置:
修改AD域的组策略,如果仅对指定组开启单点登录,则修改对应组的组策略即可:
修改用户登录注销脚本设置,选择"用户配置"-->"windows设置"-->"脚本(登录/注销)"-->"登录"
点击"显示文件",弹出如下文件夹:
在上述文件夹中新建一个"logon.bat"脚本(非空脚本,推荐脚本内容如下图):
保存和关闭组策略设置:
刷新组策略: