H3C SecPath ACG1000系列应用控制网关典型配置(R6616)-6W101

15-单点登录典型配置

1 简介

1.1 单点登录

单点登录全称Single Sign On（以下简称SSO），是指在多系统应用群中登录一个系统，便可在其他系统中得到授权而无需再次登录，包括单点登录与单点注销两部分。

单点登录功能是指用户通过登录AD域服务器，实现Windows 登录和上网的账号认证。当用户通过域账号登录到某个AD 域后，不需要再输入账号密码，自动通过设备的上网认证，实现单点登录功能。

单点登录原理：

AD域服务器配置组策略，加载sso_setup.exe脚本（登录脚本），当用户以域账号正常登录AD域服务器时，获取到相应组策略，执行sso_setup.exe脚本向网关发送认证登录报文；当域用户从域中注销时，执行sso_setup.exe脚本向网关发送注销报文，AD域服务器首次配置完成后，整个认证登录、注销过程都不需要用户参与。

网关监听指定的udp端口，接收域用户通过登录脚本发送的域用户单点登录信息。

登录报文加密传输，且可防止回放攻击。

网关设备收到登录报文后，对报文信息进行校验，校验通过后对用户执行登录操作，若收到退出报文，则对用户执行注销操作。

单点登录配置、登录流程如下：

域管理员配置AD域服务器，加载用户上下线时需执行的脚本程序。

网关开启单点登录功能，配置通信密钥，配置单点登录认证策略。

域用户成功登录域服务器，执行登录脚本，向网关发送认证消息。

网关收到认证报文后，自动完成用户上网认证；收到注销报文，自动完成用户注销。

1.2 AD域单点登录

设备的AD域单点登录功能不需要使用脚本方式实现用户的单点登录，是通过获取AD服务器上用户登录事件，获取登录日志的用户名和IP，设备根据获取的IP和用户名信息来完成用户认证上线，如果是AD域内的用户则不需要认证即可上线，实现单点登录功能。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解单点登录认证特性。

3 使用限制

3.1 单点登录使用限制

1. 单点登录功能目前仅支持AD域系统，不支持其他系统。

2. 支持的AD域服务器有Windows 2003 server、Windows 2008 server、Windows 2012 server、Windows 2016 server、Windows 2019 server。

3. 由于sso_setup.exe和ssoserver_setup.exe程序安装会在系统上添加自启动项，通过主流安全软件扫描有可能会被误阻断的现象，安装时需关注此项，如出现误阻断需要在杀毒软件上添加允许程序操作安装成功，但是也遇到过ssoserver_setup.exe程序安装设置允许程序操作时，程序进程还是会被阻断的情况，导致ssoserver的serve进程被隐藏无法启动，此时重新安装也无法启动serve进程（出现此情况卸载ssoserver程序然后重启服务器，将360安全软件退出再重新安装），最好是将360安全软件退出安装程序。

4. sso_setup.exe和ssoserver_setup.exe程序下载安装会受杀毒软件扫描（目前程序已提交微软、360杀毒、腾讯管家主流杀毒软件扫描，但是并不能完全保证杀毒软件不误识别的情况），杀毒软件有可能存在误识别病毒或木马的情况，如果存在此情况可先退出杀毒软件下载或者将软件添加信任。

3.2 AD域单点登录使用限制

1. AD域单点登录配置支持HA主备同步，不支持HA主主配置同步。

2. AD-log录入的用户超时时间默认为24小时，超时时间内，不管是否使用域账号登录，用户对应的IP只要有流量触发，匹配单点登录策略，就会单点登录上线。可以通过dynamic-bind-user ad-log timeout命令设置AD域用户超时时间，或no dynamic-bind-user ad-log NAME命令删除AD域录入用户。

3. 禁用或删除单条AD域单点登录配置时，不能区分用户是哪条AD域单点登录配置录入的，不会清除之前录入的用户；只有禁用或删除所有AD域单点登录配置，才会清除AD域录入的用户。

4. AD域单点登录录入IP+用户名之前，先检查相同的IP是否已经上线，如果上线则踢出之前的用户名，然后以新的用户名+IP上线；同一用户名对应不同IP时，都可以上线。

5. AD域单点登录不支持域用户从域中注销，单点登录认证上线的用户同时从设备端下线，可以通过无流量超时注销或强制登出注销用户。

6. 如果AD域在设备外网方向，PC通过设备无法正常加入到域，需要将AD域服务器IP地址配置为排除地址，未认证放行，确保PC和AD域能正常通信。

4 单点登录配置举例

4.1 组网需求

某公司为了减少员工访问内网和外网时的认证次数，简化认证流程，需要使用单点登录功能实现一次登录即可同时访问域内服务器和外网。

内部所有设备都已加入公司域，AD域服务器地址为10.1.163.41/24。

ACG作为出口网关以路由模式部署在网络出口，mgt0口的IP地址是10.1.163.54/24，ge0的地址是172.30.1.1/24。

域PC不使用域服务器的单点登录组策略仍要可以在设备进行单点登录。

图1 单点登录认证配置组网图

4.2 配置思路

1. 在设备端配置单点登录认证相关配置

2. 在AD域服务器上配置脚本参数

3. 在AD域服务器上安装ssoserver程序并配置相关参数

4.3 使用版本

本举例是在R6616版本上进行配置和验证的。

4.4 配置注意事项

AD域服务器脚本参数前面需要配置/S表示单点登录客户端静默安装。

4.5 配置步骤

4.5.1 设备端配置

1. 进入“用户管理->认证管理->认证方式->单点登录”页面，配置单点登录参数。

图2 单点登录配置

点击<提交>按钮，提交配置。

2. 单点登录认证策略配置，进入“用户管理->认证管理->认证策略”页面，点击<新建>按钮配置单点登录认证策略。

图3 单点登录认证策略配置

3. 再配置一条认证策略，认证方式选择APP认证（配置APP认证仅用来向未认证用户推送单点登录程序下载页面，实际并未用到APP认证功能）。

图4 APP认证策略配置

配置完之后两条认证策略如下所示。

图5 认证策略

4. APP认证参数配置，进入“用户管理->认证管理->认证方式->APP认证”页面，在页面勾选启用，服务器白名单添加域服务器IP为“10.1.163.41”（如果域PC和域服务器通信不经过设备可以不添加域服务器IP到白名单，根据实际情况配置），服务器白名单添加域名为 “www.msftconnecttest.com”、“edge.microsoft.com”（Win10登录后在单点登录程序还没有发送上线报文时，系统会探测网络可达性，如果不配置部分已安装单点登录程序的PC登录后，仍然会弹出APP认证页面。其他浏览器和系统网络可达的探测域名可根据实际情况添加到APP认证服务器白名单处），用户名提取规则配置为“&&&&”（配置APP认证仅用来向未认证用户推送单点登录程序下载页面，实际并未用到APP认证功能，提取规则可以随意配置），下载地址均配置为“http://www.sso.pub:880/sso_setup.exe”。然后单击“提交”确认配置。

图6 APP认证参数配置

5. 配置APP认证模板，替换APP认证模板背景图片为指导用户上网的背景图片。根据实际情况制作APP认证背景图片。

图7 APP背景图制作

6. 进入“用户管理 > 认证管理 > 认证方式>认证模板设置”页面单击“APP认证模板”的“编辑”。在APP认证模板配置页面修改背景图片为制作好的背景图片。按照实际情况填写标签页名称和欢迎词的内容并提交。

图8 APP认证模板配置

7. 修改用户识别范围，为用户认证网段。进入“用户管理->认证管理->高级选项”页面，修改用户识别范围，如图所示。

图9 修改用户识别范围

4.5.2 AD域服务器端脚本参数配置

进入组策略：以windows 2008 server为例，登录到AD域服务器，“运行”中输入gpmc.msc。

选择“Default Domian Policy > 用户配置 > 脚本（登录）”。

图10 组策略管理

双击“登录”选项，选择“显示文件”，将下载的sso_setup.exe文件拷贝到此目录。

图11 登录脚本设置

图12 显示文件

返回“登录”属性窗口，单击“添加”，在弹出的窗口中设置脚本名以及脚本参数，脚本参数有以下两种配置方式。

2. 格式1

以“/S Value1 Value 2 Value 3”的形式带四个参数，参数间以空格隔开，四个参数缺一不可，其中：

/S：代表程序静默安装（即自动安装），必须大写

Value 1：代表内网用户可访问到的设备网口IP；

Value 2：代表设备监听端口（固定为6622，不可改变）；

Value 3：代表通信密钥（必须同设备侧单点登录全局参数设置的密钥统一）。

图13 脚本参数，带4个参数

1. 格式2

以“/S Title1=value1 Title 2=value2 …… Title15=value15”的形式带多个参数，参数间以空格隔开，且参数的Title部分建议都大写。

图14 脚本参数，带多个参数

目前支持的参数有如下项：

/S：表示静默安装单点登录程序

IP=192.168.1.1 ：代表设备地址

PORT=6622 ：代表设备监听端口

KEY=admin.123 ：代表域PC与设备之间的通信密钥，与设备端配置需要保持一致

HB=1：代表心跳开关，默认开启，0表示关闭

HBI=30 ：代表心跳时间间隔，默认30，单位秒，范围30-600之间的正整数

UDI=30 ：代表配置更新时间间隔以及配置更新开关，不配置表示关闭，配置表示打开，默认30，单位秒，范围30-600之间的正整数

更新组策略，为了使用更改的组策略立即生效，需要刷新组策略，刷新组策略命令为gpupdate.exe

刷新组策略后，域用户重新上线，即可生效。

4.5.3 ssoserver程序安装及配置

当域PC域加入AD域服务器之后与与服务器通信异常时无法通过AD域脚本参数推送单点登录程序自动安装，则需要通过其他方式下载单点登录程序客户端到域PC上安装；方法一：可以直接通过设备上下载单点登录程序（但此项仅管理员有操作权限，普通用户无登录ACG设备权限，普通用户只能通过管理员提供的单点登录程序安装）在域PC上安装，域PC上安装之后还需要将加密的配置文件sso.ini拷贝到sso_setup.exe程序安装的目录下用户才可上线；方法二：安装ssoserver_setup.exe程序，此程序安装之后拥有http和https方式下载服务，将sso_setup.exe程序放到ssoserver_setup.exe安装目录下，并在安装目录下配置好对应的sso.ini文件，域PC通过http://www.sso.pub:880/sso_setup.exe下载登录脚本程序手动安装，安装完之后域PC会通过https的8443端口自动到ssoserver上获取sso.ini文件。

1. ssoserver_setup.exe程序安装

1、双机ssoserver_setup.exe程序，安装前建议先将360安全软件退出再安装（原因是安装程序会设置开启自启动360安全软件会误阻断导致程序无法启动），点击安装，默认点击下一步。

图15 ssoserver程序安装

2、点击下一步，安装目录默认C盘（“C:\Users\Administrator\AppData\Roaming\sso_server”），也可指定到其他安装目录，此处需要记录一下对应的安装目录，便于安装完之后配置sso.ini文件和存放sso_setup.exe程序需要到此安装目录。

图16 ssoserver程序安装目录

3、点击安装，安装完成之后默认勾选运行sso_server和开启自启动，此选项不用修改，如果勾选去掉了，则程序不会自动运行，需要到安装目录去手动启用。点击“完成”安装，ssoserver安装完成。

图17 ssoserver程序安装完成

4、安装完成后可以在任务管理器里查看到serve.exe进程，表示ssoserver程序已运行。

图18 任务管理查看ssoserver程序进程

5、进到到ssoserver安装目录下（“C:\Users\Administrator\AppData\Roaming\sso_server”），将sso_setup.exe拷贝到如下目录。

图19 sso_setup.exe程序拷贝到ssoserver程序安装目录

6、在该目录下双机打开sso.ini文件，修改配置文件里的GWIP（设备的IP地址）和SessionKey（与设备单点登录会话密钥配置一致）信息，其他参数不用修改，并保存。

图20 修改ssoserver安装目录下sso.ini文件

sso.ini配置文件参数说明

参数	说明
EnableHeartBeat	是否启动心跳功能（0：关闭， 1：开启），默认为1开启状态
UpdateInterval	配置更新时间间隔，单位秒，默认30s，范围是30-600之间的正整数
HeartBeatInterval	发送心跳的时间间隔（正整数，范围[30, 600]，默认值：30）
GWIP	网关的IP
SessionKey	会话密钥（大小写敏感、支持特殊字符，最长32个字符）
Port	端口号（6622，不能改变）