监听模式是通过监听PC登录域服务器的数据，从监听到的数据中获取用户登录的信息，从而实现的单点登录。监听模式的单点登录无需在域服务器上安装任何组件，但要求内网电脑登录域的数据经过设备或者是通过监听口镜像到设备。设备通过监听UDP88端口的登录信息，如果用户成功登录域，则上网时无法再次通过我们设备的认证，可以直接上网。适用于域服务器在外网和内网情况。下面分两种情况介绍单点登录的设置。

第一种情况：域服务器在内网环境：

数据流过程如下

1、PC登录域的数据不经过AC，在内网转发

2、在交换机上设置镜像口，把PC登录域的数据镜像到AC上

3、如果用户登录域成功，则自动通过设备认证。设置方法：

第一步：设置认证AD域服务器，点击进入『用户认证』→『外部认证服务器』进行设置（参见章节3.5.2.2）。

第二步：设置认证策略，根据需要使用单点登录的用户的IP或MAC设置认证策略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置.

第三步：在设备上启用单点登录，设置域服务器的IP地址。点击进入『用户认证』→『单点登录』→『微软AD域』页面进行配置。勾选[启用域单点登录]

勾选[监听计算机登录域的数据，获取登录信息]，表示使用监听模式实现单点登录。在[监听的域控制器地址列表]中输入域名服务器的IP和监听端口，如果有多个域名服务器，则一行一个IP和端口，如下图所示：

第四步：这种部署中，内网登录域服务器的数据不经过设备，需要通过设置镜像口，并将镜像口连接到转发登录数据的交换机镜像口上，点击其他选项，设置设备的镜像口。镜像口需要设置空闲网口，已经在使用的网口请不要设置成镜像网口。

第五步：PC登录域，登录成功后即可上网。第二种情况：域服务器在外网：

数据流过程如下：

1、PC登录域是穿透设备的

2、设备的内网接口同时作为监听口，无需再设置监听口。

设置方法：

第一步：设置认证AD域服务器，点击进入『用户认证』→『外部认证服务器』进行设置（参见章节3.5.2.2）。

第二步：设置认证策略，根据需要使用单点登录的用户的IP或MAC设置认证策略，点击『用户认证』→『认证策略』→『新增认证策略』进行配置。

因为LDAP服务器在设备的外网方向，用户认证前需要放通访问域服务器的权限，在

『认证策略』→『认证后处理』→『高级选项』→『认证前使用此组权限』中设置一个认证前使用的组，并在上网策略中放通这个组访问域服务器的权限。

第三步：在设备上启用单点登录，设置域服务器的IP地址。点击进入『用户认证』→『单点登录』→『微软AD域』页面进行配置。勾选[启用域单点登录]

勾选[监听计算机登录域的数据，获取登录信息]，表示使用监听模式实现单点登录。在[监听的域控制器地址列表]中输入域名服务器的IP和监听端口，如果有多个域名服务器，则一行一个IP和端

第四步：PC登录域，登录成功后即可上网。

1、监听模式只能监听到用户登录的信息，用户注销时没有数据，故无法监听到注销的状态，所以可能会出现PC已经注销了，但设备的在线用户列表中还没有注销此用户。

1. PROXY单点登录配置案例

一般适用于用户使用Proxy代理上网的环境，并且每个用户均分配了代理服务器的账号。使用Proxy单点登录的认证方式时，当用户通过Proxy服务器的验证时，同时通过设备的认证。