用戶認(rèn)證進(jìn)階高效培訓(xùn)

1、用戶認(rèn)證進(jìn)階高效培訓(xùn)培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)第三方服務(wù)器認(rèn)證1. 了解SSL VPN支持的第三方服務(wù)器認(rèn)證LDAP認(rèn)證1. 掌握SSL結(jié)合LDAP服務(wù)器認(rèn)證的配置步驟RADIUS認(rèn)證1. 掌握SSL結(jié)合RADIUS服務(wù)器認(rèn)證的配置步驟組映射和角色映射1、了解組映射和角色映射功能的作用2、掌握組映射和角色映射功能的配置方法LDAP導(dǎo)入用戶1、掌握LDAP導(dǎo)入用戶到本地功能的配置方法第三方CA認(rèn)證1. 掌握SSL結(jié)合第三方CA認(rèn)證的配置步驟WebService短信認(rèn)證1. 掌握SSL結(jié)合WebService做短信認(rèn)證的配置步驟SSL與第三方結(jié)合認(rèn)證功能介紹及配置組映射和角色映射功能介紹及配置LDAP導(dǎo)入用

2、戶到本地功能介紹及配置WebService短信認(rèn)證配置指導(dǎo)SANGFOR SSL第三方CA證書認(rèn)證配置指導(dǎo)第三方服務(wù)器認(rèn)證介紹 SANGFOR SSL VPN支持結(jié)合認(rèn)證的外部認(rèn)證服務(wù)器有LDAP認(rèn)證和RADIUS認(rèn)證。 外部認(rèn)證也是一種主要認(rèn)證方式，用戶名密碼認(rèn)證與外部認(rèn)證不能同時(shí)啟用。第三方服務(wù)器認(rèn)證介紹 LDAP認(rèn)證： 輕量級目錄訪問協(xié)議。 移動用戶接入SSL VPN，需要到LDAP服務(wù)器上去認(rèn)證，認(rèn)證成功后LDAP服務(wù)器會將校驗(yàn)信息返回給SSL設(shè)備，同時(shí)用戶登錄SSL VPN成功。SSL VPN支持所有使用標(biāo)準(zhǔn)LDAP協(xié)議的認(rèn)證服務(wù)器。 LDAP認(rèn)證常用端口：TCP 389第三方服務(wù)器

3、認(rèn)證介紹RADIUS認(rèn)證：遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)，是目前應(yīng)用最廣泛的AAA協(xié)議。認(rèn)證交互過程：1.用戶輸入用戶名和口令； 2.radius 客戶端(NAS)根據(jù)獲取的用戶名和口令，向radius 服務(wù)器發(fā)送認(rèn)證請求包（access-request）。 3.radius 服務(wù)器將該用戶信息與users 數(shù)據(jù)庫信息進(jìn)行對比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包（access-accept）發(fā)送給radius 客戶端；如果認(rèn)證失敗，則返回access-reject 響應(yīng)包。RADIUS認(rèn)證常用端口：UDP1812(認(rèn)證)、UDP1813(計(jì)費(fèi))。LDAP認(rèn)證配置介紹新建LDAP認(rèn)證服務(wù)器，

4、設(shè)置相關(guān)信息。添加域服務(wù)器的IP和端口域管理員Administrator在域服務(wù)器的Users文件夾下，管理員路徑填寫格式為：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理員的格式，需要添加域名！選擇用于認(rèn)證的LDAP用戶賬號所在路徑包含該路徑下所有子路徑的用戶賬號，不勾選則僅包含該路徑下的用戶賬號。支持的域服務(wù)器類型：MS ActiveDirectory：指微軟域用戶LDAP Server：指除微軟域以外的其他LDAPMS ActiveDirectory VPN：指微軟域內(nèi)帶有允許接入微軟VPN屬性的用戶當(dāng)沒有設(shè)置組映射關(guān)系時(shí)，自動匹配為某個(gè)組

5、的用戶RADIUS認(rèn)證配置介紹新建RADIUS認(rèn)證服務(wù)器，設(shè)置相關(guān)信息。添加RADIUS服務(wù)器的IP和認(rèn)證端口選擇RADIUS服務(wù)器對應(yīng)的認(rèn)證協(xié)議共享密鑰:與RADIUS服務(wù)器設(shè)置相同當(dāng)沒有設(shè)置組映射關(guān)系時(shí)，自動匹配為某個(gè)組的用戶組映射和角色映射功能介紹及配置組映射和角色映射功能介紹 LDAP組映射：將LDAP上的OU以用戶組的形式導(dǎo)入到SSL設(shè)備上，或者將OU一一映射給設(shè)備上的某個(gè)組。勾選需要映射的OU映射到本地的位置將LDAP服務(wù)器中的OU導(dǎo)入到SSL設(shè)備中，只導(dǎo)入用戶組，不導(dǎo)入用戶。可分別對用戶組設(shè)置不同的角色和策略，用戶通過認(rèn)證后獲得相應(yīng)組的權(quán)限組映射和角色映射功能介紹 LDAP角色映

6、射：將LDAP上的安全組以角色的形式導(dǎo)入到SSL設(shè)備上，或者將安全組一一映射給設(shè)備上的某個(gè)角色。勾選需要映射的安全組安全組的用戶通過認(rèn)證后，自動獲得相應(yīng)的角色資源訪問權(quán)限。組映射和角色映射功能介紹 RADIUS組映射：RADIUS用戶登錄SSL時(shí)，根據(jù)Class屬性字段進(jìn)行分組。填寫class屬性的值，和對應(yīng)的本地用戶組。移動用戶通過RADIUS賬號登陸SSL后，根據(jù)賬號的class屬性值，自動分配對應(yīng)用戶組的角色和策略。特殊案例：SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)行認(rèn)證 動態(tài)令牌是根據(jù)專門的算法生成一個(gè)不可預(yù)測的隨機(jī)數(shù)字組合，一個(gè)密碼使用一次有效，目前被廣泛運(yùn)用在網(wǎng)銀、網(wǎng)游、電信運(yùn)營商、電子政務(wù)、

7、企業(yè)等應(yīng)用領(lǐng)域。常見的我們SSL設(shè)備跟OTP飛天誠信動態(tài)令牌結(jié)合做認(rèn)證。 接下來介紹OTP Server認(rèn)證服務(wù)器的安裝配置、OTP管理平臺的安裝配置和深信服SSL設(shè)備的配置方法。SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)行認(rèn)證SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)行認(rèn)證，對于SSL設(shè)備來說就是radius認(rèn)證，在搭建好OTP服務(wù)器之后，SSL設(shè)備僅僅需要配置radius認(rèn)證部分即可。具體步驟如下：(1)安裝和配置數(shù)據(jù)庫系統(tǒng)，創(chuàng)建OTP Server數(shù)據(jù)庫和數(shù)據(jù)庫表(2)安裝、配置并運(yùn)行OTP Server認(rèn)證服務(wù)器，安裝過程中需要授權(quán)文件(3)安裝、配置并運(yùn)行OTP管理中心，安裝或配置過程中需要授權(quán)文件(4)令牌的

8、導(dǎo)入和與用戶帳號的綁定，在OTP管理中心中導(dǎo)入令牌種子(5)SSL上配置Radius認(rèn)證方式注：前4個(gè)步驟配置，請參考文檔OTP Server Radius應(yīng)用安裝配置手冊，本PPT重點(diǎn)講SSL設(shè)備上的配置以及測試效果。SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)行認(rèn)證1、點(diǎn)擊“SSL VPN設(shè)置-認(rèn)證設(shè)置 -Radius認(rèn)證-設(shè)置 ”新建一個(gè)radius認(rèn)證服務(wù)器 SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)行認(rèn)證2、將用戶映射到之前新建的“radius測試組”支持根據(jù)Class屬性字段進(jìn)行分組SSL結(jié)合飛天誠信動態(tài)令牌進(jìn)行認(rèn)證3、編輯radius用戶組，認(rèn)證選項(xiàng)“外部認(rèn)證”選擇otp,給該用戶組關(guān)聯(lián)資源完成配置。SSL結(jié)

9、合飛天誠信動態(tài)令牌進(jìn)行認(rèn)證效果展示：1、登錄用戶登錄頁面2、輸入此時(shí)手上令牌的密碼進(jìn)行登錄附認(rèn)證成功的系統(tǒng)日志如圖所示注意事項(xiàng)：1、登錄VPN后彈出挑戰(zhàn)認(rèn)證框，可能是Radius server啟用了challenge認(rèn)證方式。2、Radius里的chap支持支持v1、v2。3、PPTP不支持外部認(rèn)證，PPTP登錄的用戶不支持Radius認(rèn)證。想一想 1. 如果本地認(rèn)證存在用戶“test”，外部認(rèn)證服務(wù)器里也有同名的用戶“test”，那么移動用戶使用“test”這個(gè)賬號登錄SSL VPN時(shí)，會匹配本地認(rèn)證還是去外部認(rèn)證服務(wù)器認(rèn)證呢？ 如果本地認(rèn)證和外部認(rèn)證存在有相同的用戶名時(shí)，優(yōu)先匹配本地認(rèn)證，

10、當(dāng)本地認(rèn)證不通過時(shí)，返回用戶名密碼錯(cuò)誤的提示。2. 如下圖所示，在同一個(gè)LDAP服務(wù)器設(shè)置中添加兩個(gè)域服務(wù)器的IP和端口，和分別添加兩個(gè)LDAP服務(wù)器，認(rèn)證過程是否相同？ 圖2的設(shè)置方法： 如果這兩個(gè)服務(wù)器上都存在相同用戶名時(shí)，按照外部認(rèn)證服務(wù)器的順序進(jìn)行認(rèn)證匹配，直到找到第一個(gè)認(rèn)證成功的外部認(rèn)證服務(wù)器，如果所有外部認(rèn)證服務(wù)器都認(rèn)證失敗，才返回用戶名密碼錯(cuò)誤的提示。想一想圖1的設(shè)置方法：用于多個(gè)LDAP服務(wù)器群做主備的情況。當(dāng)設(shè)備連接不上第一個(gè)服務(wù)器時(shí)，再去連接第二個(gè)服務(wù)器。如果第一個(gè)服務(wù)器能連接上，返回認(rèn)證失敗信息，則不會再連接第二個(gè)服務(wù)器。練練手某公司購買了SANGFOR SSL VPN設(shè)

11、備給公網(wǎng)移動用戶提供安全接入實(shí)現(xiàn)訪問公司內(nèi)網(wǎng)資源，由于客戶內(nèi)網(wǎng)已有LDAP服務(wù)器來管理用戶，需要實(shí)現(xiàn)的功能如下：1. 公網(wǎng)移動用戶接入SSL VPN時(shí)到LDAP服務(wù)器上去認(rèn)證，認(rèn)證成功后允許接入SSL VPN。在LDAP服務(wù)器上創(chuàng)建一個(gè)名為“ALL”的OU，在“ALL”的OU下創(chuàng)建一個(gè)子OU“support”和直屬用戶“test1”，在子OU“support”下創(chuàng)建兩個(gè)用戶：test2和test3。要求將“ALL”的OU結(jié)構(gòu)映射到SSL的根組下，為“ALL”用戶組和“support”用戶組關(guān)聯(lián)不同的資源，組織結(jié)構(gòu)下的用戶接入后可以正常訪問對應(yīng)的資源。第三方CA證書認(rèn)證 配置指導(dǎo)CA簡介CA(C

12、ertificate Authority)認(rèn)證中心是權(quán)威、公正的第三方機(jī)構(gòu)，專門負(fù)責(zé)發(fā)放并管理數(shù)字證書。CA主要用于證書頒發(fā)、證書更新、證書吊銷、證書狀態(tài)的在線查詢，證書認(rèn)證等。CA通常建立多個(gè)層次的證書頒發(fā)機(jī)構(gòu)X509標(biāo)準(zhǔn)規(guī)定建立分層的、呈樹狀結(jié)構(gòu)的CA組織模式。SSL VPN除了支持自建CA外，同時(shí)也支持結(jié)合第三方CA做證書認(rèn)證。數(shù)字證書根證書：根證書是CA認(rèn)證中心給自己頒發(fā)的證書，是信任鏈的起始點(diǎn)。根證書是一份特殊的證書，它的簽發(fā)者是它本身，下載根證書表示對該根證書以下所簽發(fā)的證書都表示信任。用戶證書：由CA中心頒發(fā)的個(gè)人證書，用于終端用戶登錄各種應(yīng)用系統(tǒng)，可存于KEY等介質(zhì)。數(shù)字證書就

13、是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，它由CA機(jī)構(gòu)心發(fā)行，用來識別對方的身份。設(shè)備證書：也稱服務(wù)器證書，該證書將安裝在服務(wù)器端(SSL設(shè)備)，向嘗試建立連接的客戶端提供服務(wù)器身份、證書和公鑰信息，使用證書和公鑰在客戶端和SSL VPN之間建立一條安全、加密的通道，將客戶端與SSL設(shè)備之間傳輸數(shù)據(jù)進(jìn)行加密。SANGFOR SSL VPN結(jié)合第三方CA使用時(shí)與自建CA的區(qū)別是根證書、服務(wù)器證書和用戶證書都是由第三方CA頒發(fā)的。SSLVPN結(jié)合第三方CA認(rèn)證流程用戶證書登錄過程證書申請下發(fā)過程第三方CA認(rèn)證配置指導(dǎo)配置步驟：1、SSL VPN設(shè)備生成證書請求，保存下來提交給第三方CA。2、

14、將第三方CA頒發(fā)的根證書、設(shè)備證書導(dǎo)入SSL VPN設(shè)備（設(shè)備證書可不導(dǎo)入），并配置相關(guān)配置。3、從第三方CA申請用戶證書。4、配置證書認(rèn)證用戶、資源、角色等，然后登錄進(jìn)行測試。第三方CA認(rèn)證配置指導(dǎo)1、在【系統(tǒng)設(shè)置】配置界面下選擇【系統(tǒng)配置】，再選中【設(shè)備證書】選項(xiàng)，生成一個(gè)證書請求，填寫相關(guān)參數(shù)，并將證書請求保存下來：2、將證書請求提交給第三方CA，申請根證書、服務(wù)器證書（即設(shè)備證書）、用戶證書第三方CA認(rèn)證配置指導(dǎo)3、將獲得的CA根證書和設(shè)備證書導(dǎo)入SSL VPN設(shè)備導(dǎo)入根證書導(dǎo)入服務(wù)器證書注:如不導(dǎo)入第三方服務(wù)器證書，則由SSL設(shè)備本身的設(shè)備證書建立加密隧道第三方CA認(rèn)證配置指導(dǎo)4、配

15、置證書認(rèn)證用戶進(jìn)行登錄，兩種創(chuàng)建方式：方法1：通過批量導(dǎo)入用戶方式建立用戶帳號（或手動建立用戶）注：使用這種方法導(dǎo)入用戶，需要勾選“信任該CA簽發(fā)的所有證書用戶”第三方CA認(rèn)證配置指導(dǎo)方法2：通過導(dǎo)入用戶證書建立證書認(rèn)證用戶注：對比方法1，方法2需要先拿到用戶證書并導(dǎo)入才能創(chuàng)建用戶。推薦使用方法1。WebService短信認(rèn)證配置指導(dǎo)WebService簡介短信認(rèn)證的WebService，其原理是向某個(gè)URL地址傳遞一些參數(shù)，WebService短信網(wǎng)關(guān)的接口接收到這些參數(shù)后就會根據(jù)參數(shù)發(fā)送短信。在配置WebService的過程中，需要用到wsdl文件。wsdl文件是描述WebService的

16、接口信息的文件，里面包含了WebService短信網(wǎng)關(guān)發(fā)短信、收短信等接口的xml信息。我們設(shè)備上可以通過此wsdl文件生成短信模板，將文件中發(fā)短信的接口的xml剝離出來，后續(xù)設(shè)備發(fā)短信的時(shí)候就會根據(jù)這個(gè)xml來向指定的URL傳遞參數(shù)。SSL設(shè)備VPN可以通過WebService短信網(wǎng)關(guān)的接口，結(jié)合做短信認(rèn)證。WebService配置指導(dǎo)1、配置WebService 基本信息（從客戶獲取WebService接口文檔進(jìn)行配置）2、配置WebService發(fā)送短信模板（將客戶提供的wsdl文件導(dǎo)入）WebService配置指導(dǎo)3、根據(jù)客戶提供的WebService接口文檔，結(jié)合我們的參數(shù)變量，對各

17、參數(shù)進(jìn)行修正，將模板中的固定值替換成我們設(shè)備規(guī)定的參數(shù)變量。替換參數(shù)變量4、點(diǎn)擊測試，確認(rèn)能否收到短信，如果還不行則需檢查參數(shù)是否正確，根據(jù)系統(tǒng)調(diào)試日志，和第三方短信廠商溝通確認(rèn)參數(shù)是否正確。WebService配置指導(dǎo)如果客戶使用的是http get或者h(yuǎn)ttp post方式的短信認(rèn)證，如IE瀏覽器里面輸入如下的信息便可發(fā)送短信的方式：11/GsmsHttp?username=10002:suncy&password=888&tocontent=hello其中：11/GsmsHttp? 為發(fā)短信的網(wǎng)站10002:suncy 為用戶名888 為密為接收短信的手機(jī)號碼Hello 為短信的內(nèi)容如果是上訴方式，則按以下進(jìn)行步驟配置即可：1、URL 地址一般取上述發(fā)送短信URL“？”之前部分，編碼和請求類型按實(shí)際情況填寫。2、把URL的后半部