25-单点登录
本章节下载: 25-单点登录 (2.36 MB)
单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其它系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。
AD域单点登录功能是指用户通过登录AD域服务器,实现windows 登录和上网的账号认证。当用户通过域账号登录到某个AD 域后,不需要再输入账号密码,自动通过设备的上网认证,实现单点登录功能。
· AD域服务器配置组策略,加载sso_setup.exe脚本(登录脚本),当用户以域账号正常登录AD域服务器时,获取到相应组策略,执行sso_setup.exe脚本向网关发送认证登录报文;当域用户从域中注销时,执行sso_setup.exe脚本向网关发送注销报文,AD域服务器首次配置完成后,整个认证登录、注销过程都不需要用户参与。
· 网关监听指定的udp端口,接收域用户通过登录脚本发送的域用户单点登录信息。
· 登录报文加密传输,且可防止回放攻击。
· 网关设备收到登录报文后,对报文信息进行校验,校验通过后对用户执行登录操作,若收到退出报文,则对用户执行注销操作。
单点登录配置、登录流程如下:
(1) 域管理员配置AD域服务器,加载用户上下线时需执行的脚本程序。
(2) 网关开启单点登录功能,配置通信密钥,配置单点登录认证策略。
(3) 域用户成功登录域服务器,执行登录脚本,向网关发送认证消息。
(4) 网关收到认证报文后,自动完成用户上网认证;收到注销报文,自动完成用户注销。
在导航栏中选择“用户管理 > 认证管理 > 认证方式 > 单点登录”,进入单点登录全局参数配置页面,如图1-1所示
单点登录全局配置参数详细说明,如表1-1所示
标题 |
说明 |
启用 |
单点登录启用或禁用,默认未启用。 |
单点登录程序 |
单点登录程序用于AD域服务器配置登录脚本,包括sso_setup.exe和ssoserver_setup.exe两个应用程序; sso_setup.exe应用程序:主要在域PC登录时通过AD域服务器下发自动安装,安装成功之后给设备发送指定的上下线报文的信息。 ssoserver_setup.exe应用程序:ssoserver为一个下载单点登录程序安装包的http/https服务器,此程序可根据实际需要安装,当域PC与AD域服务器通信出现异常无法通过域服务器自动安装sso_setup.exe程序时,可以安装ssoserver_setup.exe程序,将sso_setup.exe程序放到ssoserver程序安装的目录下,并在ssoserver安装目录下配置好对应的sso.ini文件,域PC通过访问http://www.sso.pub:880/sso_setup.exe下载程序手动安装,程序手动安装之后会通过8443端口自动到ssoserver上获取sso.ini文件里的配置信息。 |
会话密钥 |
网关配置密钥,与AD域服务器上脚本参数或者sso.ini文件里密钥配置保持一致,长度为1-31个字符,不允许输入字符<>+\^"?和空格。 |
单击“下载域单点登录程序”下载单点登录脚本文件,下载完成后的压缩包内文件如图1-2所示。
在导航栏中选择“用户管理 > 认证管理 > 认证策略”,进入认证策略显示页面,单击“新建”按钮,进入认证策略配置页面,如图1-3所示,认证方式选择单点登录。
单点登录用户策略配置参数说明,如表1-2所示。
参数 |
说明 |
源接口 |
单点登录用户的接口。 |
源地址 |
单点登录用户的IP范围。 |
认证方式 |
可以选择多种认证方式,如图可配置单点登录认证策略,当用户认证失败时,以下两种处理方案供用户选择: 不需要认证,用户直接上线。 跳过当前这条认证策略,匹配后面的策略。 |
时间 |
认证策略时间对象,时间对象有效期内策略生效,时间对象无效的时候认证策略为禁用状态。 |
用户录入 |
默认不选择用户组,第三方用户认证成功后不录入用户;选择用户组后,第三方用户认证成功后录入指定的用户组。 |
用户有效时间 |
用户有效期指的是第三方用户录入方式: · 永久录入:第三方用户认证成功后录入指定组,永久有效。 · 有效期至:第三方用户认证成功后录入指定组,设备运行时间到配置的时间当天23:59后,录入的用户状态变为不启用,认证策略也变为不启用。 临时录入:第三方用户认证成功后录入指定组,用户注销下线后,录入的用户组里用户自动删除。 |
进入组策略:以windows 2008 server为例,登录到AD域服务器,“运行”中输入gpmc.msc。
选择“Default Domian Policy > 用户配置 > 脚本(登录)”, 如图1-4所示。
双击“登录”选项,选择“显示文件”,将下载的sso_setup.exe文件拷贝到此目录。
返回“登录”属性窗口,单击“添加”,在弹出的窗口中设置脚本名以及脚本参数,脚本参数有以下两种配置方式。
以“/S Value1 Value 2 Value 3”的形式包含四个参数,参数间以空格隔开,四个参数缺一不可,其中:
· /S:代表程序静默安装(即自动安装),必须大写;
· Value 1:代表内网用户可访问到的设备网口IP;
· Value 2:代表设备监听端口(固定为6622,不可改变);
· Value 3:代表通信密钥(必须同设备侧单点登录全局参数设置的密钥统一)。
图1-7 配置脚本(4个参数)
以“/S Title1=value1 Title 2=value2 …… Title15=value15”的形式包含多个参数,参数间以空格隔开,且参数的Title部分建议都大写。
目前支持的参数有如下项:
· /S:表示静默安装单点登录程序;
· IP=192.168.1.1 :代表设备地址;
· PORT=6622 :代表设备监听端口;
· KEY=admin.123 :代表域PC与设备之间的通信密钥,与设备端配置需要保持一致;
· HB=1:代表心跳开关,默认开启,0表示关闭;
· HBI=30 :代表心跳时间间隔,默认30,单位秒,范围30-600之间的正整数;
· UDI=30 :代表配置更新时间间隔以及配置更新开关,不配置表示关闭,配置表示打开,默认30,单位秒,范围30-600之间的正整数。
更新组策略,为了使用更改的组策略立即生效,需要刷新组策略,刷新组策略命令为gpupdate.exe
刷新组策略后,域用户重新上线,即可生效。
当域PC加入AD域服务器后,如果与服务器通信异常时,无法通过AD域脚本参数推送单点登录程序自动安装,则需要通过其他方式下载单点登录程序客户端到域PC上安装。
· 方法一:可以直接通过设备上下载单点登录程序(但此项仅管理员有操作权限,普通用户无登录设备权限,普通用户只能通过管理员提供的单点登录程序安装)在域PC上安装,域PC上安装之后还需要将加密的配置文件(sso.ini)拷贝到sso_setup.exe程序安装的目录下,用户才可上线;
· 方法二:安装ssoserver_setup.exe程序,此程序安装之后拥有http和https方式下载服务,将sso_setup.exe程序放到ssoserver_setup.exe安装目录下,并在安装目录下配置好对应的sso.ini文件,域PC通过http://www.sso.pub:880/sso_setup.exe下载登录脚本程序手动安装,安装完之后域PC会通过https的8443端口自动到ssoserver上获取sso.ini文件。
(1) 双击ssoserver_setup.exe程序,安装前建议先将360安全软件退出再安装(原因是安装程序会设置开启自启动360安全软件会误阻断导致程序无法启动),点击安装,默认点击下一步。
图1-9 ssoserver程序安装
(2) 点击下一步,安装目录默认C盘(“C:\Users\Administrator\AppData\Roaming\sso_server”),也可指定到其他安装目录,此处需要记录一下对应的安装目录,便于安装完之后配置sso.ini文件和存放sso_setup.exe程序需要到此安装目录。
图1-10 ssoserver程序安装目录
(3) 点击安装,安装完成之后默认勾选“运行sso_server”和“开启自启动”,此选项不用修改,如果取消勾选,则程序不会自动运行,需要到安装目录去手动启用。点击“完成”安装,ssoserver安装完成。
图1-11 ssoserver程序安装完成
(4) 安装完成后可以在任务管理器里查看到serve.exe进程,表示ssoserver程序已运行。
图1-12 任务管理查看ssoserver程序进程
(5) 进入到ssoserver安装目录下(“C:\Users\Administrator\AppData\Roaming\sso_server”),将sso_setup.exe拷贝到如下目录。
图1-13 sso_setup.exe程序拷贝到ssoserver程序安装目录
(6) 在该目录下双击打开sso.ini文件,修改配置文件里的GWIP(设备的IP地址)和SessionKey(与设备单点登录会话密钥配置一致)信息,其他参数不用修改,并保存。
图1-14 修改ssoserver安装目录下sso.ini文件
表1-3 sso.ini配置文件参数说明
参数 |
说明 |
EnableHeartBeat |
是否启动心跳功能(0:关闭 , 1:开启),默认为1开启状态 |
UpdateInterval |
配置更新时间间隔,单位秒,默认30s,范围是30-600之间的正整数 |
HeartBeatInterval |
发送心跳的时间间隔(正整数,范围[30, 600],默认值:30) |
GWIP |
网关的IP |
SessionKey |
会话密钥(大小写敏感、支持特殊字符,最长32个字符) |
Port |
端口号(6622,不能改变) |
Ssoserver安装目录下还有一个config.ini文件,此文件用来更新sso_setup.exe程序。
图1-15 ssoserver安装目录下config.ini文件
表1-4 config.ini配置文件参数说明
参数 |
说明 |
VER |
代表sso_setup.exe的版本号,首次发布版本号为1.0,如果后续sso_setup.exe程序有更新,可以将程序版本号进行修改,并将对应程序放到此目录下。 |
FILE |
sso_setup.exe程序名称,此名称不支持修改,修改后下发给客户端会导致安装失败。 |
如果AD服务器有安全软件或开启了自带的防火墙,需要放通TCP的880和8443端口。因为PC使用880端口下载单点登录程序,单点登录程序安装后通过8443端口获取sso.ini文件中的配置参数。
ssoserver_setup.exe程序安装完之后,还需要配置DNS域名信息,具体配置如下:
(1) AD域服务器“开始菜单>管理工具>DNS”,打开DNS管理页面。
图1-16 DNS管理页面
(2) 在“正向查找区域”点右键,选择“新建区域”打开新建区域向导。
图1-17 右击新建区域
(3) 新建区域向导,点击“下一步”。
图1-18 新建区域向导
(4) 区域类型选择主要区域,点击“下一步”。
图1-19 区域类型
(5) Active Directory区域传送作用域,点击“下一步”。
图1-20 区域传送作用域
(6) 区域名称配置为“www.sso.pub”,点击“下一步”。
图1-21 区域名称配置
(7) 动态更新选择“不允许动态更新”,点击“下一步”。
图1-22 动态更新
正在完成新建区域向导,点击“完成”。
图1-23 新建区域配置完成
(8) DNS管理界面展开“正向查找区域>wwww.sso.pub”,在右侧空白处点击右键,选择“新建主机”。
图1-24 右击新建主机
(9) 弹出新建主机配置界面,IP地址配置为“10.1.163.41”即安装ssoserver这台服务器的IP地址(也就是AD域服务器地址),点击 “添加主机”。
图1-25 添加主机地址
点击“确定”后并点击“完成”,主机记录配置完成。
图1-26 点击确定
图1-27 点击完成
图1-28 配置完成后查看www.sso.pub主机地址
至此ssoserver_setup.exe所有配置完成。
域pc可通过http://www.sso.pub:880/sso_setup.exe下载单点登录程序包进行手动安装,如果无法访问,请检查AD域服务器上防火墙是否放通了880和8443端口。
· 单点登录功能目前仅支持AD域系统,不支持其他系统。
· 支持的AD域服务器有Windows 2003 server、Windows 2008 server、Windows 2012 server、Windows 2016 server、Windows 2019 server。
· 由于sso_setup.exe和ssoserver_setup.exe程序安装会在系统上添加自启动项,通过主流安全软件扫描有可能会被误阻断的现象,安装时需关注此项,如出现误阻断需要在杀毒软件上添加允许程序操作安装成功,如果ssoserver_setup.exe程序安装设置允许程序操作时,程序进程还是会被阻断的情况,导致ssoserver的serve进程被隐藏无法启动,此时重新安装也无法启动serve进程(出现此情况卸载ssoserver程序然后重启服务器,将360安全软件退出再重新安装),最好是将360安全软件退出安装程序。
· sso_setup.exe和ssoserver_setup.exe程序下载安装会受杀毒软件扫描(目前程序已提交微软、360杀毒、腾讯管家主流杀毒软件扫描,但是并不能完全保证杀毒软件不误识别的情况),杀毒软件有可能存在误识别病毒或木马的情况,如果存在此情况可先退出杀毒软件下载或者将软件添加信任。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!