15-单点登录典型配置
本章节下载: 15-单点登录典型配置 (3.59 MB)
目录
单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。
单点登录功能是指用户通过登录AD域服务器,实现Windows 登录和上网的账号认证。当用户通过域账号登录到某个AD 域后,不需要再输入账号密码,自动通过设备的上网认证,实现单点登录功能。
单点登录原理:
AD域服务器配置组策略,加载sso_setup.exe脚本(登录脚本),当用户以域账号正常登录AD域服务器时,获取到相应组策略,执行sso_setup.exe脚本向网关发送认证登录报文;当域用户从域中注销时,执行sso_setup.exe脚本向网关发送注销报文,AD域服务器首次配置完成后,整个认证登录、注销过程都不需要用户参与。
网关监听指定的udp端口,接收域用户通过登录脚本发送的域用户单点登录信息。
登录报文加密传输,且可防止回放攻击。
网关设备收到登录报文后,对报文信息进行校验,校验通过后对用户执行登录操作,若收到退出报文,则对用户执行注销操作。
单点登录配置、登录流程如下:
域管理员配置AD域服务器,加载用户上下线时需执行的脚本程序。
网关开启单点登录功能,配置通信密钥,配置单点登录认证策略。
域用户成功登录域服务器,执行登录脚本,向网关发送认证消息。
网关收到认证报文后,自动完成用户上网认证;收到注销报文,自动完成用户注销。
设备的AD域单点登录功能不需要使用脚本方式实现用户的单点登录,是通过获取AD服务器上用户登录事件,获取登录日志的用户名和IP,设备根据获取的IP和用户名信息来完成用户认证上线,如果是AD域内的用户则不需要认证即可上线,实现单点登录功能。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解单点登录认证特性。
1. 单点登录功能目前仅支持AD域系统,不支持其他系统。
2. 支持的AD域服务器有Windows 2003 server、Windows 2008 server、Windows 2012 server、Windows 2016 server、Windows 2019 server。
3. 由于sso_setup.exe和ssoserver_setup.exe程序安装会在系统上添加自启动项,通过主流安全软件扫描有可能会被误阻断的现象,安装时需关注此项,如出现误阻断需要在杀毒软件上添加允许程序操作安装成功,但是也遇到过ssoserver_setup.exe程序安装设置允许程序操作时,程序进程还是会被阻断的情况,导致ssoserver的serve进程被隐藏无法启动,此时重新安装也无法启动serve进程(出现此情况卸载ssoserver程序然后重启服务器,将360安全软件退出再重新安装),最好是将360安全软件退出安装程序。
4. sso_setup.exe和ssoserver_setup.exe程序下载安装会受杀毒软件扫描(目前程序已提交微软、360杀毒、腾讯管家主流杀毒软件扫描,但是并不能完全保证杀毒软件不误识别的情况),杀毒软件有可能存在误识别病毒或木马的情况,如果存在此情况可先退出杀毒软件下载或者将软件添加信任。
1. AD域单点登录配置支持HA主备同步,不支持HA主主配置同步。
2. AD-log录入的用户超时时间默认为24小时,超时时间内,不管是否使用域账号登录,用户对应的IP只要有流量触发,匹配单点登录策略,就会单点登录上线。可以通过dynamic-bind-user ad-log timeout命令设置AD域用户超时时间,或no dynamic-bind-user ad-log NAME命令删除AD域录入用户。
3. 禁用或删除单条AD域单点登录配置时,不能区分用户是哪条AD域单点登录配置录入的,不会清除之前录入的用户;只有禁用或删除所有AD域单点登录配置,才会清除AD域录入的用户。
4. AD域单点登录录入IP+用户名之前,先检查相同的IP是否已经上线,如果上线则踢出之前的用户名,然后以新的用户名+IP上线;同一用户名对应不同IP时,都可以上线。
5. AD域单点登录不支持域用户从域中注销,单点登录认证上线的用户同时从设备端下线,可以通过无流量超时注销或强制登出注销用户。
6. 如果AD域在设备外网方向,PC通过设备无法正常加入到域,需要将AD域服务器IP地址配置为排除地址,未认证放行,确保PC和AD域能正常通信。
某公司为了减少员工访问内网和外网时的认证次数,简化认证流程,需要使用单点登录功能实现一次登录即可同时访问域内服务器和外网。
内部所有设备都已加入公司域,AD域服务器地址为10.1.163.41/24。
ACG作为出口网关以路由模式部署在网络出口,mgt0口的IP地址是10.1.163.54/24,ge0的地址是172.30.1.1/24。
域PC不使用域服务器的单点登录组策略仍要可以在设备进行单点登录。
图1 单点登录认证配置组网图
1. 在设备端配置单点登录认证相关配置
2. 在AD域服务器上配置脚本参数
3. 在AD域服务器上安装ssoserver程序并配置相关参数
本举例是在R6616版本上进行配置和验证的。
AD域服务器脚本参数前面需要配置/S表示单点登录客户端静默安装。
1. 进入“用户管理->认证管理->认证方式->单点登录”页面,配置单点登录参数。
图2 单点登录配置
点击<提交>按钮,提交配置。
2. 单点登录认证策略配置,进入“用户管理->认证管理->认证策略”页面,点击<新建>按钮配置单点登录认证策略。
3. 再配置一条认证策略,认证方式选择APP认证(配置APP认证仅用来向未认证用户推送单点登录程序下载页面,实际并未用到APP认证功能)。
图4 APP认证策略配置
配置完之后两条认证策略如下所示。
图5 认证策略
4. APP认证参数配置,进入“用户管理->认证管理->认证方式->APP认证”页面,在页面勾选启用,服务器白名单添加域服务器IP为“10.1.163.41”(如果域PC和域服务器通信不经过设备可以不添加域服务器IP到白名单,根据实际情况配置),服务器白名单添加域名为 “www.msftconnecttest.com”、“edge.microsoft.com”(Win10登录后在单点登录程序还没有发送上线报文时,系统会探测网络可达性,如果不配置部分已安装单点登录程序的PC登录后,仍然会弹出APP认证页面。其他浏览器和系统网络可达的探测域名可根据实际情况添加到APP认证服务器白名单处),用户名提取规则配置为“&&&&”(配置APP认证仅用来向未认证用户推送单点登录程序下载页面,实际并未用到APP认证功能,提取规则可以随意配置),下载地址均配置为“http://www.sso.pub:880/sso_setup.exe”。然后单击“提交”确认配置。
图6 APP认证参数配置
5. 配置APP认证模板,替换APP认证模板背景图片为指导用户上网的背景图片。根据实际情况制作APP认证背景图片。
图7 APP背景图制作
6. 进入“用户管理 > 认证管理 > 认证方式>认证模板设置”页面单击“APP认证模板”的“编辑”。在APP认证模板配置页面修改背景图片为制作好的背景图片。按照实际情况填写标签页名称和欢迎词的内容并提交。
图8 APP认证模板配置
7. 修改用户识别范围,为用户认证网段。进入“用户管理->认证管理->高级选项”页面,修改用户识别范围,如图所示。
图9 修改用户识别范围
进入组策略:以windows 2008 server为例,登录到AD域服务器,“运行”中输入gpmc.msc。
选择“Default Domian Policy > 用户配置 > 脚本(登录)”。
图10 组策略管理
双击“登录”选项,选择“显示文件”,将下载的sso_setup.exe文件拷贝到此目录。
图11 登录脚本设置
图12 显示文件
返回“登录”属性窗口,单击“添加”,在弹出的窗口中设置脚本名以及脚本参数,脚本参数有以下两种配置方式。
以“/S Value1 Value 2 Value 3”的形式带四个参数,参数间以空格隔开,四个参数缺一不可,其中:
/S:代表程序静默安装(即自动安装),必须大写
Value 1:代表内网用户可访问到的设备网口IP;
Value 2:代表设备监听端口(固定为6622,不可改变);
Value 3:代表通信密钥(必须同设备侧单点登录全局参数设置的密钥统一)。
图13 脚本参数,带4个参数
以“/S Title1=value1 Title 2=value2 …… Title15=value15”的形式带多个参数,参数间以空格隔开,且参数的Title部分建议都大写。
图14 脚本参数,带多个参数
目前支持的参数有如下项:
/S:表示静默安装单点登录程序
IP=192.168.1.1 :代表设备地址
PORT=6622 :代表设备监听端口
KEY=admin.123 :代表域PC与设备之间的通信密钥,与设备端配置需要保持一致
HB=1:代表心跳开关,默认开启,0表示关闭
HBI=30 :代表心跳时间间隔,默认30,单位秒,范围30-600之间的正整数
UDI=30 :代表配置更新时间间隔以及配置更新开关,不配置表示关闭,配置表示打开,默认30,单位秒,范围30-600之间的正整数
更新组策略,为了使用更改的组策略立即生效,需要刷新组策略,刷新组策略命令为gpupdate.exe
刷新组策略后,域用户重新上线,即可生效。
当域PC域加入AD域服务器之后与与服务器通信异常时无法通过AD域脚本参数推送单点登录程序自动安装,则需要通过其他方式下载单点登录程序客户端到域PC上安装;方法一:可以直接通过设备上下载单点登录程序(但此项仅管理员有操作权限,普通用户无登录ACG设备权限,普通用户只能通过管理员提供的单点登录程序安装)在域PC上安装,域PC上安装之后还需要将加密的配置文件sso.ini拷贝到sso_setup.exe程序安装的目录下用户才可上线;方法二:安装ssoserver_setup.exe程序,此程序安装之后拥有http和https方式下载服务,将sso_setup.exe程序放到ssoserver_setup.exe安装目录下,并在安装目录下配置好对应的sso.ini文件,域PC通过http://www.sso.pub:880/sso_setup.exe下载登录脚本程序手动安装,安装完之后域PC会通过https的8443端口自动到ssoserver上获取sso.ini文件。
1、双机ssoserver_setup.exe程序,安装前建议先将360安全软件退出再安装(原因是安装程序会设置开启自启动360安全软件会误阻断导致程序无法启动),点击安装,默认点击下一步。
图15 ssoserver程序安装
2、点击下一步,安装目录默认C盘(“C:\Users\Administrator\AppData\Roaming\sso_server”),也可指定到其他安装目录,此处需要记录一下对应的安装目录,便于安装完之后配置sso.ini文件和存放sso_setup.exe程序需要到此安装目录。
图16 ssoserver程序安装目录
3、点击安装,安装完成之后默认勾选运行sso_server和开启自启动,此选项不用修改,如果勾选去掉了,则程序不会自动运行,需要到安装目录去手动启用。点击“完成”安装,ssoserver安装完成。
图17 ssoserver程序安装完成
4、安装完成后可以在任务管理器里查看到serve.exe进程,表示ssoserver程序已运行。
图18 任务管理查看ssoserver程序进程
5、进到到ssoserver安装目录下(“C:\Users\Administrator\AppData\Roaming\sso_server”),将sso_setup.exe拷贝到如下目录。
图19 sso_setup.exe程序拷贝到ssoserver程序安装目录
6、在该目录下双机打开sso.ini文件,修改配置文件里的GWIP(设备的IP地址)和SessionKey(与设备单点登录会话密钥配置一致)信息,其他参数不用修改,并保存。
图20 修改ssoserver安装目录下sso.ini文件
sso.ini配置文件参数说明
参数 |
说明 |
EnableHeartBeat |
是否启动心跳功能(0:关闭 , 1:开启),默认为1开启状态 |
UpdateInterval |
配置更新时间间隔,单位秒,默认30s,范围是30-600之间的正整数 |
HeartBeatInterval |
发送心跳的时间间隔(正整数,范围[30, 600],默认值:30) |
GWIP |
网关的IP |
SessionKey |
会话密钥(大小写敏感、支持特殊字符,最长32个字符) |
Port |
端口号(6622,不能改变) |
Ssoserver安装目录下还有一个config.ini文件,此文件用来更新sso_setup.exe程序的。
图21 ssoserver安装目录下config.ini文件
参数说明:
VER:代表sso_setup.exe的版本号,首次发布版本号为1.0,如果后续sso_setup.exe程序有更新,可以将程序版本号进行修改,并将对应程序放到此目录下;
FILE:sso_setup.exe程序名称,此名称不支持修改,修改后下发给客户端会导致安装失败。
如果AD服务器有安全软件或开启了自带的防火墙,需要放通TCP的880和8443端口(PC使用880端口下载单点登录程序,单点登录程序安装后通过8443端口获取sso.ini文件中的配置参数)。
ssoserver_setup.exe程序安装完之后,还需要配置DNS域名信息,具体配置如下:
1、AD域服务器“开始菜单>管理工具>DNS”,打开DNS管理页面。
图22 DNS管理页面
2、在“正向查找区域”点右键,选择“新建区域”打开新建区域向导。
图23 右击新建区域
3、新建区域向导,点击“下一步”。
图24 新建区域向导
4、区域类型选择主要区域,点击“下一步”。
图25 区域类型
5、Active Directory区域传送作用域,点击“下一步”。
图26 区域传送作用域
6、区域名称配置为“www.sso.pub”,点击“下一步”。
图27 区域名称配置
7、动态更新选择“不允许动态更新”,点击“下一步”。
图28 动态更新
正在完成新建区域向导,点击“完成”。
图29 新建区域配置完成
8、DNS管理界面展开“正向查找区域>wwww.sso.pub”,在右侧空白处点击右键,选择“新建主机”。
图30 右击新建主机
9、弹出新建主机配置界面,IP地址配置为“10.1.163.41”即安装ssoserver这台服务器的IP地址(也就是AD域服务器地址),点击 “添加主机”。
图31 添加主机地址
点击“确定”后并点击“完成”,主机记录配置完成。
图32 点击确定
图33 10、点击完成
图34 11、配置完成后查看www.sso.pub主机地址
至此ssoserver_setup.exe所有配置完成。
域pc可通过http://www.sso.pub:880/sso_setup.exe下载单点登录程序包进行手动安装,如果无法访问,请检查AD域服务器上防火墙是否放通了880和8443端口。
1、域pc重启后使用域账号登录系统
图35 Win7系统域pc使用域账号登录
登录上去等待1分钟左右,查看任务管理器有两个sso.exe进程,表明单点登录程序已自动安装好。
图36 查看任务管理器sso进程
在登录设备web页面,进入“数据中心->系统监控->在线用户”页面,查看在线用户,用户名为win7test1。
图37 查看在线用户
2、域pc已经登录了没有重启,此时访问外网时会弹出如下认证页面
图38 域pc未重新登录访问外网被重定向到APP认证页面
点击PC客户端下载,手动安装sso_setup.exe程序
图39 手动在域pc下载sso_setup.exe客户端
图40
直接默认下一步到最后完成,sso程序会默认开启启动,并且安装完自动运行,此项都使用默认选项,不能将勾选项去掉,否则会影响单点登录用户上线。
图41 手动安装sso_setup.exe程序
查看pc任务管理器sso.exe进程也是有两个。
图42 查看任务管理sso进程
查看设备在线用户win7test2上线。
图43 查看在线用户
图44
此时pc再次访问外网,可以正常打开网页。
图45 域pc访问外网
图46
3、win10和xp系统分别通过加入域或者通过下载sso_setup.exe上线均正常。
图47 查看在线用户
域pc在电脑端直接注销或重新启动,查看在线用户win7test1会下线。
图48 域pc注销
查看在线用户,win7test1用户已下线
图49 在线用户
查看用户上下线日志,进入“数据中心->日志中心->终端日志->用户上下线日志”页面,也会有对应的用户注销日志记录。
图50 用户上下线日志
· PC和AD域在同一局域网内,属于192.168.210.1/24网段,通过NAT的方式访问外网。
· ge4接口IP:192.168.210.124,mgt0接口IP:10.203.8.2。
· 内网存在AD域服务器,AD域服务器地址为192.168.210.129。
· 通过已加入AD域的PC,使用域账号登录AD域服务器后,不需要再输入账号密码,自动通过设备的上网认证,实现单点登录。
1. 配置AD域单点登录。
2. 配置单点登录认证策略。
3. PC加入域,用户单点登录认证成功。
本举例是在R6616版本上进行配置和验证的。
在导航栏中选择“用户管理>认证管理>认证策略”,进入认证策略配置页面,单击<新建>,配置源接口为ge4,认证方式为单点登录,登录失败的用户选择动作为“不需要认证,自动上线”。如图52所示。
在导航栏中选择“用户管理>认证管理>认证方式>单点登录>AD域单点登录”,配置AD域单点登录,如图53所示。
图53 AD域单点登录配置界面
如图54所示。使用加入域的PC,输入域账号登录PC桌面后,查看设备在线用户,可以看到域用户已自动上线,并可以正常访问网络。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!