https://forum.huawei.com/enterprise/zh/thread-242723.html
举例:上网用户+AD单点登录(插件方式)
介绍了NGFW作为企业的出口网关时,配合AD服务器对上网用户进行管理和认证的举例。插件方式下需要在AD监控器(AD域中任意一台计算机,包括AD域控制器)上安装程序。
组网需求
如图1所示,某企业在网络边界处部署了NGFW作为出口网关,连接内部网络与Internet。具体情况如下:
内部网络中已经部署了AD身份认证机制,AD服务器上存放了用户和组的信息。
内部网络中的访问者角色包括研发部员工和市场部员工。
图1 上网用户+AD单点登录组网图
企业的网络管理员希望利用NGFW提供的用户管理与认证机制,将内部网络中的IP地址识别为用户,为实现基于用户的网络行为控制和网络权限分配提供基础。具体需求如下:
在NGFW上存储用户和部门的信息,体现公司的组织结构,供策略引用。
研发部员工和市场部员工使用域账号和密码登录AD域后,无需再进行认证就可以访问网络资源。研发部员工和市场部员工的身份标识就是其登录AD域时使用的用户名。
对于新入职的员工,可能已经在AD服务器上创建了用户信息,但是没有在NGFW上存储该用户。对于这类用户,通过认证后可以先将其添加到指定的组中,后续管理员再调整其所属组。
配置思路
本举例只介绍配置用户与认证相关的内容。
在NGFW上配置AD服务器,保证NGFW与AD服务器之间正常通信。
在NGFW上配置认证域,认证域名称与AD服务器上的域名一致。
在NGFW上配置服务器导入策略,将AD服务器上的用户信息导入到NGFW。
在NGFW上配置单点登录参数,接收AD监控器发送的用户登录/注销消息。
为避免在工作时间段内(此处假定工作时间为8小时)因在线用户超时时间频繁到期而导致频繁重新登录域进行认证的现象,需要配置在线用户超时时间为480分钟。
在AD监控器上部署AD单点登录服务(安装ADSSO_Setup.exe程序),同时在AD域控制器上设置登录/注销脚本并通过组策略下发。
采用AD单点登录时需要将AD单点登录服务插件程序ADSSO_Setup.exe安装在AD监控器上(AD域中任意一台计算机,包括AD域控制器)。用户登录和注销时AD插件程序获取用户登录和注销的信息后发送到NGFW。本例以AD监控器为域中一台普通PC为例,如果AD监控器就是AD域控制器,只需要在AD域控制器上安装ADSSO_Setup.exe,并将本例中指向AD监控器的地址,配置为AD域控制器的地址。
本例中将AD服务器上的用户及用户组同时导入到NGFW,在用户规模较大的情况下可以选择只导入用户组,然后根据组进行权限控制。此时认证域下的新用户选项配置为“仅作为临时用户,不添加到本地用户列表中”。
数据规划
项目 | 数据 | 说明 |
AD服务器 |
| 在NGFW上配置AD服务器,即NGFW与AD服务器通信时使用的一系列参数。 此处设置的参数必须与AD服务器的参数保持一致。 |
服务器导入策略 |
| 从AD服务器上将用户导入到NGFW中。 |
AD单点登录(NGFW) |
| 在NGFW上配置单点登录参数,接收AD监控器发送的用户登录/注销信息。 |
AD单点登录服务(ADSSO_Setup.exe,安装在AD监控器上) | AD服务器
| 在AD监控器上配置AD服务器的参数,AD监控器收到客户端计算机的登录/注销消息后,会连接到AD服务器检查用户的信息。 |
NGFW设备
| 在AD监控器上配置NGFW的参数,AD监控器才能将用户登录/注销消息发送给NGFW。 | |
通信参数
|
| |
AD域控制器(登录/注销脚本) |
| 在AD域控制器上登录/注销脚本,通过组策略控制用户登录和注销时分别执行登录和注销脚本,将登录/注销信息发送至AD单点登录服务。 |
操作步骤
配置AD服务器、AD监控器所在安全区域Trust到Local域的安全策略,以保证AD服务器、AD监控器以及NGFW之间通信正常。
选择“策略 > 安全策略 > 安全策略”。
单击“新建”,按如下参数配置。
名称 | local_policy_ad_1 |
源安全区域 | local |
目的安全区域 | trust |
目的地址/地区 | 10.3.0.251/32,10.3.0.254/32 |
动作 | 允许 |
单击“确定”。
单击“新建”,按如下参数配置。
名称 | local_policy_ad_2 |
源安全区域 | trust |
目的安全区域 | local |
源地址/地区 | 10.3.0.251/32,10.3.0.254/32 |
动作 | 允许 |
单击“确定”。
如果AD域控制器和AD监控器部署在DMZ区域,为实现单点登录功能,管理员需要在NGFW上配置如下认证策略对用户的认证报文不进行认证:
源安全区域:trust
目的安全区域:dmz
目的地址/地区:AD服务器和AD监控器的IP地址
认证动作:不认证
另外,认证报文还需要通过安全策略的安全检查,即管理员需要在NGFW上配置如下安全策略:
源安全区域:trust
目的安全区域:dmz
目的地址/地区:AD服务器和AD监控器的IP地址
动作:允许
在NGFW上配置AD服务器。
选择“对象 > 认证服务器 > AD”。
单击“新建”,按如下参数配置。
此处设置的参数必须与AD服务器上的参数保持一致。
单击“确定”。
配置认证域。
选择“对象 > 用户 > 认证域”。
单击“新建”,按如下参数配置。
本例采用认证域关联认证域同名组的方式,可以更好地支持服务器多域且不同域有用户重名的情况。
首次创建认证域时,认证域下不存在用户组,因此只能将新用户直接添加到域下。如需将新用户加入其他组,请在创建认证域后创建新的用户组并修改认证域的配置。
单击“确定”。
在NGFW上配置服务器导入策略。
选择“对象 > 用户 > 用户导入 > 服务器导入”。
单击“新建”,按如下参数配置。
如果导入多个域的用户,建议在NGFW上配置多个AD服务器(IP地址相同、Base DN不同)、配置多条服务器导入策略。例如导入“dc=cce1,dc=com”和“dc=cce2,dc=com ”两个域下的用户,需要配置两个Base DN分别为“dc=cce1,dc=com”和“dc=cce2,dc=com”的认证服务器并配置两条服务器导入策略分别导入这两个域的用户到对应认证域下。
单击“确定”。
单击“policy_import”对应的
,在弹出的确认对话框中,单击“是”,立即执行该导入策略,将AD域控制器上的用户信息导入NGFW。
在NGFW上配置AD单点登录参数。
选择“对象 > 用户 > 认证选项 > 单点登录”。
按如下参数配置。
单击“应用”。
配置在线用户超时时间为480分钟。
选择“对象 > 用户 > 认证选项 > 全局配置”。
在“在线用户超时时间”中输入“480”。
单击“应用”。
在NGFW上选择“对象 > 用户 > 认证选项 > 单点登录”,将AD服务器单点登录程序下载到管理员的PC上并解压缩,然后将ADSSO_Setup.exe拷贝到AD监控器上。
在AD监控器上部署AD单点登录服务。
双击ADSSO_Setup.exe,在弹出的对话框中选择语言模式为“Chinese (Simplified)”或“English”,单击“OK”。选择后,整个安装界面将以相应的语言显示。建议根据AD域控制器操作系统的语言模式进行选择。
单击“下一步”,选择安装路径。
单击“下一步”,设置AD单点登录服务运行参数。
在AD监控器上指定AD服务器的对接参数。
在AD监控器上指定NGFW的对接参数。
请确保设置的服务运行端口没有被其他程序占用,以端口号12345为例,在AD监控器上选择“开始 > 运行”,输入cmd,执行命令netstat -nao|findstr 12345,如果执行此命令后无返回信息,则表示该端口不被其他程序占用;如果有返回信息,该信息将提示占用该端口的应用程序进程号,此时建议释放该端口或者选择其他端口。
单击“下一步”,选择需要启用单点登录的组织单元。默认所有的组织单元都启用单点登录功能。
当AD监控器和AD域控制器不是同一台PC时,默认所有的组织单元都启用单点登录,不可配置。请忽视该步骤。
当AD监控器和AD域控制器是同一台PC时,请根据实际需求选择需要启用单点登录的组织单元。
单击“安装”。
安装完成后,右击“我的电脑”,单击“管理”,选择“服务和应用程序 > 服务”,检查“ADSSO”的状态应为“已启动”。
在AD域控制器的登录(Logon.exe)和注销(Logoff.exe)脚本中添加ReportLogin.exe脚本文件,并配置脚本参数,使AD单点登录服务能监控到域用户登录和注销行为。其中,ReportLogin.exe脚本文件从AD监控器上的ADSSO_Setup.exe的安装路径下Script文件夹中获取。
请管理员使用属于Administrators组的账号登录AD域控制器进行下面的操作,此处分别以Windows 2003 Server和Windows 2008 Server作为AD域控制器进行说明。
进入组策略配置界面,找到登录和注销脚本位置。Windows 2003 Server和Windows 2008 Server进入组策略配置页面的步骤及其登录和注销脚本在界面中的路径有所不同,分别介绍。
Windows 2003 Server
图2 AD服务器目录结构
选择需要进行单点登录认证的域(本例为cce.com),单击鼠标右键,选择“属性”,在弹出对话框中选择“组策略”页签,如图3所示。
图3 域属性配置界面
双击“Default Domain Policy”,进入域策略配置界面。
选择“用户配置 > Windows 设置 > 脚本 (登录/注销)”,如图4所示。
图4 域策略配置界面
Windows 2008 Server
选择“开始 > 管理工具 > 组策略管理器”。
选择需要进行单点登录认证的域下面的“Default Domain Policy”,单击鼠标右键,选择“编辑”,如图5所示。
图5 组策略管理界面
选择“用户配置 > 策略 > Windows 设置 > 脚本 (登录/注销)”,如图6所示。
图6 Default Domain Policy配置界面
双击“登录”,进入登录脚本配置界面,如图7所示。
图7 登录脚本配置界面
在登录脚本配置界面上单击“显示文件”,将弹出一个目录,将ReportLogin.exe拷贝到该目录下,关闭该目录。
在登录脚本配置界面上单击“添加”,添加用户登录脚本ReportLogin.exe,配置脚本参数,如图8所示,单击“确定”。
图8 添加用户登录脚本ReportLogin.exe
AD单点登录服务所在的IP地址,在本例中为AD监控器的IP地址,即10.3.0.254。
服务运行端口号应与8中安装ADSSO_Setup.exe时配置的“服务运行端口”保持一致。本例为12345。
客户端共享密钥应与8中安装ADSSO_Setup.exe时配置的“客户端共享密钥”保持一致。本例为Admin@123。
0表示登录脚本,在配置注销脚本的时候,这个参数应该设置为1。
参考9.b和9.d,配置注销脚本。即,登录和注销脚本是放在不同目录下的,但是脚本文件是同一个(ReportLogin.exe)。
选择“开始 > 运行”,输入cmd,打开命令行窗口,执行命令gpupdate,应用策略。
完成上述配置后,管理员在配置安全策略、策略路由、带宽策略、配额控制策略、代理策略、以及审计策略时引用用户/组。
结果验证
在NGFW上的“对象 > 用户 > 用户/组”中可以查看到用户/组的信息。
研发部员工使用域账号和密码登录到AD域中,登录成功后,就可以访问网络资源。
市场部员工使用域账号和密码登录到AD域中,登录成功后,就可以访问网络资源。
在NGFW上的“对象 > 用户 > 在线用户”中可以查看到在线用户的信息。
配置脚本
#
sysname NGFW
#
user-manage online-user aging-time 480
user-manage single-sign-on AD shared-key %$%$B2N*$eJ0;'Nn'#ATC]t+Rri`%$%$
user-manage single-sign-on ad mode plug-in
user-manage single-sign-on AD enable
#
ad-server template auth_server_ad
ad-server authentication 10.3.0.251 88
ad-server authentication base-dn dc=cce,dc=com
ad-server authentication manager cn=administrator,cn=users %$%$M#._~J4QrR[kJu7PUMtHUqh_%$%$
ad-server authentication host-name ad.cce.com
ad-server authentication ldap-port 389
ad-server user-filter sAMAccountName
ad-server group-filter ou
#
security-policy
rule name local_policy_ad_1
source-zone local
destination-zone trust
destination-address 10.3.0.251 32
destination-address 10.3.0.254 32
action permit
rule name local_policy_ad_2
source-zone trust
destination-zone local
source-address 10.3.0.251 32
source-address 10.3.0.254 32
action permit
#
interface GigabitEthernet1/0/1
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 10.2.0.1 255.255.255.0
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/2
#
user-manage import-policy policy_import from ad
server template auth_server_ad
server basedn dc=cce,dc=com
destination-group /cce.com
user-attribute sAMAccountName
user-filter (&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer)))
group-filter (|(objectclass=organizationalUnit)(ou=*))
import-type user-group
import-override enable
time-interval 120
#
aaa
#
domain cce.com
service-type internetaccess
new-user add-local group /cce.com
#
#
return
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/2505.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
