22
2022
03
17:16:18

USG6000 SSL VPN同时使用AD和本地认证的应用实践

1   应用场景概述

USG6000的SSL VPN功能,在实际应用中,经常碰到VPN用户使用AD域认证和本地认证相结合的应用场景。此场景又分为同一个域下同时使用AD+本地认证和不同域同时使用AD+本地认证(AD用户导入)两种方式,本文给出这两种认证方式的应用实践,可用于指导相关功能的交付和维护。

 

2   同一个域下同时使用AD+本地认证配置方法

2.1   创建对应的安全域,如下图:

f7d131fc82db3affc47c2940eb11fc98_download_uuid=4e9f24ac440a45afb4f037f08bb81c43.jpg


4c1514d5ff59b57b272e60890fcd1528_download_uuid=757da67b4192414a8f31dbfb5ccbaa4b.jpg


高级选项这里要注意,因为没有导入账号到设备,所以这里需要选择做为临时用户,默认是不允许新用户登录,这里不选择AD是无法认证成功的。

 

2.2   SSL VPN的配置:

9fa0ff15aa25454384b49f45fe6686cc_download_uuid=c930200a866545f7a6aee3c9c4eeea33.png

这里要选择认证域,其他的ssl vpn的配置参考手册标准配置

2.3   认证配置

下面的配置是重点,如果按照上面的配置,配置完成后的话,只有ad用户可以认证成功,本地用户是认证不成功的,日志会提示账号和密码错误,原因如下:

在一个认证方案中使用多种认证模式,可以避免单一认证模式无响应而造成的认证失败。例如:

配置为authentication-mode radius local时,当RADIUS认证服务器连接失败的时候,设备无法完成RADIUS认证,将跳转到本地认证模式,根据本地的用户信息进行认证。

配置为authentication-mode local radius时,如果用户输入的用户名在设备上存在,但输入的密码与设备上配置的密码不一致时,该用户认证失败;当该用户的用户名在设备上不存在时,将跳转到RADIUS认证模式,

根据对应的RADIUS服务器上的用户信息进行认证。

根据这个多种认证模式规则,AD账号不能导入到设备,才可以满足AD+本地用户同时都可以认证。

上面的配置完成后,设备的多认证模式的配置是这样的如下:

domain hw.tac.cn

  authentication-scheme admin_ad_local

  service-scheme webServerScheme1544685439600

  ad-server 192.16.1.252

  service-type internetaccess ssl-vpn l2tp ike

  internet-access mode password

  reference user current-domain

  new-user add-temporary group /hw.tac.cn auto-import hw.tac.cn

AD在前,local在后,现在需要我们手动的在命令行去修改下这个参数,修改后的配置如下:

authentication-scheme hw.tac.cn

  authentication-mode local ad

domain hw.tac.cn

  authentication-scheme hw.tac.cn

  service-scheme webServerScheme1544685439600

  ad-server 192.16.1.252

  service-type internetaccess ssl-vpn l2tp ike

  internet-access mode password

  reference user current-domain

  new-user add-temporary group /hw.tac.cn

2.4   验证结果:

16b75732b0d715c583cb3cf75a8774af_download_uuid=a80c906e753b4b42a22755f5e7401d72.jpg

2177f5153eefd645aaacc53f940fa236_download_uuid=c732e3747b3940738270240030489672.jpg


3   不同域同时使用AD+本地认证配置方法(AD用户导入)

3.1   在default域下创建本地账号,圈红为必选,如下图:

14ed9bd42a63242032ebb5ab8708e36a_download_uuid=e13a167f6eeb4f91821ac6e827c99421.jpg


3.2   SSL VPN虚拟网关配置处,不能选择认证域,要选择none,如下图:


725711a5a39303bd17a496aea318006d_download_uuid=3e39fac8bb58484b91f536d1ee41e34f.jpg


这种场景需要注意的就这两点,其他的配置按照手册标准示例配置即可。



推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/2125.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: