一、配置Web认证

1.1 AAA简介

AAA是Authentication(认证)、Authorization(授权)、Accounting(计费)的简称,作用如下:

1、认证:验证用户身份;

2、授权:根据配置对用户授予一定权限;

3、计费:记录用户使用网络资源应付的费用。

认证服务器分为以下类型:

1、本地认证服务器;

2、Active Directory(活动目录)域服务器;

3、LDAP(轻量目录访问协议);

4、Radius(远程用户拨号认证系统);

除Local外,其他三类均需外部服务器,用户及密码信息存储在服务器,验证也是由服务器返回验证结果,WebAuth、SSL VPN对这五类AAA类型都支持,而802.1X、无线和拨号IPSec VPN只支持local和Radius类型。

1.2 Web认证(也可以通过手机短信的方式进行登录)

认证从用户角度出发,分为两种类型,一是企业内网用户访问互联网需要认证,二是互联网用户访问内网资源;

Web认证主要用于企业内网用户访问互联网时对用户身份的识别,以实现基于用户的资源控制。

从用户的角度出发,认证可分为:

---位于企业内网的用户通过认证访问互联网,该方式下的认证支持以下几种:Web认证、单点登录、802.1x认证、PKI;

--位于互联网的用户访问内网资源(通常使用VPN),可分为:SSL VPN、IPSec VPN、L2TP VPN

1.3 通过WebUI配置Web认证

1、配置Web认证

 2、编辑安全策略

如果需要基于用户做细化访问控制,可编辑安全策略,添加“角色/用户/用户组”的匹配项,具体如下:

上图中第一张图片最后一行代表认证完成以后直接可以上网,不用进行明确划分,第二张图片代表,认证过后会对用户进行详细的记录,如果第一张图片灭有第三条规则,用户在接入网络中后会一直处于认证死循环。

弹出用户认证窗口需要HTTP流量激活,对于DNS等非Web流量需要单独放行,因为不清楚DNS在外网还是内网,需要在基于用户策略上方添加一条UNKNOW角色的策略,行为是Web认证,用于用户登录认证,登录认证成功的用户,安全网关会记录该用户认证时所用IP,可基于“角色/用户/用户组”配置访问控制策略。

配置思路

1、DNS策略放行并置顶

2、添加本地用户

3、配置用户通行策略

3、创建用户账号

具体示意图如下:

只需要输入基本的名称和密码就可以,其他为可选项

二、配置Active Directory(AD)

2.1、 AD的作用

--服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。

--用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成)、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。

--资源管理:管理打印机、文件共享服务等网络资源。

--桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

--应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

简单的来说AD的意义在于:信息的安全性大大的增强、引入基于策略的管理,使系统的管理更加明朗、具有很强的扩展性、智能的信息复制能力、与DNS集成紧密、与其他目录服务具有互连性、具有灵活的查询。

2.2 通过命令行配置AD类型的AAA服务器

•SG-6000(config)# aaa-server  adtest  type active-directory

•SG-6000(config-aaa-server)# host 192.168.1.100

•SG-6000(config-aaa-server)# base-dn DC=training,DC=hillstonenet,DC=com(读取AD域的用户范围)(此命令行是读取所有区域的用户)(DC是英文输入状态)

•SG-6000(config-aaa-server)# login-dn cn=administrator,cn=users,DC=training,DC=hillstonenet,DC=com 和用户登录有关)(cn是指最边缘的支节点,在它之后没有用户,通常指一个单独的用户)(登录到AD服务器,进行数据同步,administrator即用户名,后面还要输入密码)

•SG-6000(config-aaa-server)# login-password password

•SG-6000(config-aaa-server)# exit

(DC:域组件、CN:普通名称、OU:组织单元、DN:区别名称)

 其中,Users为特殊容器,它的路径是CN,而不是OU

WebUI示意图如下:

在Web认证、SSL VPN中调用AD类型AAA服务器,可省去人工创建大量账号的操作

2.3 基于AD实现单点登录(不需要弹出Web认证页面)

单点登录(Single Sign On)认证方式是简化的Web认证流程,用户只要通过AAA服务器的认证,不需要打开认证界面,即可通过Web认证;

要求如下:Web认证的用户在Active Directory认证服务器,同时客户机加入域,这样客户机使用域账号登录将不需要二次认证即可被识别身份;

单点登录有四种实现方式,均可实现不输入用户名密码的认证,具体如下:

--Security Agent方式(在服务器或PC端安装)

--AD服务器上安装登录脚本方式

--基于AD服务器的SSO-NTLM方式(修改浏览器模式)

--SSO-Agent(对以上方式的优化)

SSO-Agent可实现将SSO-Agent、SSO-Ntlm、Webauth页面认证组合,三种作成一个先后认证的顺序,如果三个都是开启的,就是按SSO-Agent、SSO-Ntlm、Webauth页面这样的顺序做认证,其中SSO-Ntlm有一个fallback-to-webform就是指当sso-ntlm认证失败,会弹出webauth页面。

回顾:

1、哪几种AAA服务器类型支持Web认证?

Radius、LDAP、AD、本地认证服务器、tacs+

2、Web认证对哪些协议流量可以做认证?

HTTP80\HTTP8080、DNS、HTTPS443

3、Web认证模式有哪几类?

HTTP、HTTPS、SSO-NTLM、无

HCSA-07 配置Web认证、配置Active Directory(AD)相关推荐

  1. 【逗老师带你学IT】Kiwi Syslog Web Access与Active Directory集成认证

    Kiwi Syslog Server是一款应用于Windows系统的系统日志守护进程,能够接收并记录系统日志,各种设备的SYSLOG消息,内置丰富的日志记录选项,能详细记录各种防火墙日志,并进行筛选分 ...

  2. php radius web认证,内置WEB认证配置(radius认证)

    本帖 * 后由 浪天涯星仔 于 2016-1-9 20:14 编辑 功能介绍: Web认证是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏 ...

  3. 无线 配置ldap 认证服务器,在无线局域网控制器wlcs上使用ldap的web认证配置示例-cisco.pdf...

    在无线局域网控制器wlcs上使用ldap的web认证配置示例-cisco 在无线局域网控制器(WLCs)上使用LDAP的 Web认证配置示例 目录 简介 先决条件 要求 使用的组件 背景信息 规则 W ...

  4. datazen Active Directory AD 配置

    今天苦心经营的datazen 链接AD,文档已经无法吐槽了简单的几句话,根本不够用. 先说一下链接AD 的好处吧, 1 首先免去设置密码的麻烦,因为直接用AD账号的密码. 2 更安全,因为客户可不想自 ...

  5. USG 授权认证为Active Directory的问题总结

    一.试验环境 IP地址 备注 Win server 2019 2.2.2.2 AWS上的一台Active Directory域主机 USG6300 1.1.1.1 华为USG 防火墙 以上IP地址1. ...

  6. Java连接微软ad_Java:连接到Active Directory(AD)?

    我正在尝试与AD联系.我试图用这个代码来连接,但它似乎并没有连接.我很抱歉不能比这更具体,但这只是我所知道的.什么都没发生.我已经删除了我认为是这个类的非必要部分,在那里处理结果,因为在这一点上根本没 ...

  7. portal无线认证服务器,无线AC配置portal认证功能portal 认证服务器问题

    看了下官方portal认证的介绍,关于portal认证服务器和portal web服务器的配置如下: 配置Portal认证 # 配置Portal认证服务器,名称为newpt,IP地址为192.168. ...

  8. SpringMVC4零配置--web.xml

    servlet3.0+规范后,允许servlet,filter,listener不必声明在web.xml中,而是以硬编码的方式存在,实现容器的零配置. ServletContainerInitiali ...

  9. AD RMS (一) Active Directory Rights Management Services (AD RMS) 的新增功能

    此文章是转载:转载地址 https://msdn.microsoft.com/zh-cn/library/hh831554(v=ws.11).aspx Windows Server 2012 中 AD ...

  10. Active Directory管理

    ​​每位IT管理员都面临着许多Active Directory管理挑战,包括几乎每天在Active Directory中管理用户帐户.手动配置用户属性极为耗时.烦人和容易出错,尤其是在大型.复杂的Wi ...

最新文章

  1. 初接触php,遇到一个低级问题
  2. python 运行日志logging代替方案
  3. 【python】内存相关
  4. python import logging日志
  5. 热部署Devtools
  6. linux安装mysql_Linux学习笔记-安装MySQL
  7. 微信功能栏Android代码,微信隐藏代码合集 你不知道的微信隐藏代码功能
  8. CronTrigger(重要,非常强大)
  9. SPSS学习笔记(二)T检验
  10. vscode设置eclipse快捷键
  11. ios 扫描本地音乐_iOS如何获取本地的音乐歌曲mp3的信息数据
  12. cout和cin后面跟指针的问题
  13. 那些年,Java程序员用过的开发工具
  14. JS逆向寻找生成bid变量的加密算法,一顿操作猛如虎,结果发现原来是混淆代码
  15. card样式 layui_layui后台模板
  16. GD32VF103_定时器中断
  17. html页面中访问外站资源的时候协议的问题
  18. 『WEB』web学习
  19. 2020-12-16 今日学习 StringBuilder类
  20. 一如职场深似海,怎样避开人际关系的冰山?

热门文章

  1. MWC 2018前瞻:三星华为诺基亚们会展示这些黑科技!
  2. 美食杰-菜谱大全(二)
  3. 二十三 Python分布式爬虫打造搜索引擎Scrapy精讲—craw母版l创建自动爬虫文件—以及 scrapy item loader机制...
  4. markdown写html笔记,为知笔记 用markdown语言记漂亮的笔记
  5. 中国哲学史(先秦部分)-------简答
  6. Only fullscreen activities can request orientation异常解决
  7. 温度转换 python
  8. matlab的雷劈数算法,寻找雷劈数
  9. Java 之未支付订单30分钟后自动取消
  10. 解密七种html网页加密解密法