一、组网需求
公司所有计算机都通过微软的AD域进行管理,现在部署了一台Cross 上网行为管理, 网桥模式部署在核心交换机和防火墙中间,希望能够结合AD域,希望在上网行为管理中看到用户名称是AD域中的账号,并且通过域账号设置策略。简而言之,行为管理不用对用户进行二次认证,就能够识别其域账号,并可以基于域账号设定上网策略
二、网络拓扑
三、前提条件
假定域控制的IP地址是:192.168.0.55
域名为:huayu.com
四、配置步骤
步骤1:配置AD服务器
步骤2:开启AD SSO
步骤3:LDAP/AD导入
步骤4:配置认证策略
步骤5:将域服务器加入白名单
步骤6:查看结果
操作步骤
进入行为管理>认证服务器>AD服务器,点击新增,输入名称,域控制器IP地址,AD域名,查找用户DN、查找用户密码
\
注意:此处并非administrator账号也可以,点击确定,新增一个AD域服务器。
1.修改上网行为管理的计算机名称,本例为HOSTNAME
2、进入【行为管理】>【认证选项】进入【SSO】,选择【AD SSO】。
3、启用AD SSO域登录脚本方式,如下图:
参数说明:
计算机名称:设备的系统名称
域名:域服务器域名。如:huayu.com。
域DNS服务器:AD域名解析DNS服务器IP地址(DNS服务器同AD域服务器同在一个主机上)。
域帐号:域服务器管理员帐号(注意,非管理员账号也可以)
域帐号密码:同上述域管理员帐号密码。
可以点击测试有效新进行测试,如果成功将提示测试AD域成功,并且登录到域控制器中将看到行为管理的计算机名称
失败将返回错误信息,如果返回错误信息,请检查系统时间,配置为正确的时间再次测试。
1.进入【行为管理】>【认证策略】进入【新增】,认证配置如下图:
认证页面选择分“强制单点登录”和“密码认证与强制单点登录”或“强制单点登录” 二者区别为1个有输入用户名与密码的页面
认证方式选择说明:
强制单点登录:加入域用户登录终端强制认证登录无需手动认证,未使用域用户登录需要安装插件强制登录。
密码认证与强制单点登录:加入域用户登录终端强制认证登录无需手动认证,未使用域用户登录终端可选择密码认证。
1.进入【行为管理】>【白名单管理】>【IP白名单】进入【新增】,允许局域网内终端可以访问AD,认证配置如下图:
控制白名单:IP地址填写AD域服务器IP地址
WebUI 右上角,点击”保存配置“,并确定,重启后配置仍可生效。
认证需要启用IE浏览器访问http链接如访问:www.163.com。
1.未使用域用户登录终端,无法直接访问外网
2.未使用域用户登录终端,使用密码认证,通过认证可以访问外网。
3.使用域帐号登录,访问http某个网站可以获取域用户通过认证。
1.域验证失败
解决方法:
域名是否同AD域服务器一致;
域账户密码是否正确。
行为管理的时间是否正确。
2.DNS服务器查询不到域信息
解决方法:
域服务器和DNS服务器网络连通,可否正确解析;
3.检测不到有效域名
解决方法:
计算机名称是否有冲突域用户名称
4.域认证解析不正确
确认DNS服务器中是否存在设备计算机名称对于的行为管理主机地址的解析。
导入AD域的用户,假定域名为huayu.com
填写:与服务器地址
BaseDN:dc=huayu,dc=com
用户名:cn=administrator,cn=users,dc=huayu,dc=com
通过上述方法导入后的组织结构为:
通过下面方法可以只导入 user组中的用户
与上面的区别为,导入入口的地方增加了cn=users,注意导入的时候,非administrator账户也可以
详细参数说明:
服务器类型:有以下4种:Active Directory、openldap、lotus ldap以及other ldap。
服务器地址:运行 LDAP/AD 服务的服务器 IP 地址
服务器端口:LDAP/AD 服务的端口,默认值389。
导入入口:确定导入用户数据的导入点,由域名和用户组名组成。格式为:[ ou=2 级用户组,ou=1级用户组,dc=N 级域名,……,dc=2 级域名,dc=1 级域名]。
如AD 域的域名为abc.com
(a).将LDAP/AD服务器中的所有组跟用户全部导入到组织结构中去:
【dc=abc,dc=com】
(b).前面两种是将组Users下的用户导入到组织结构中去:
【ou=users,dc=abc,dc=com】or 【cn=users,dc=abc,dc=com】;
注:导入格式按照从小到大的路径,标点符号为英文字符。
用户查找: [匿名查询]指不需要进行认证,即可进行用户导入;[本地用户查询]必须要输入LDAP/AD域里的任何一个用户名及密码,并成功进行认证后,才能进行用户导入。
用户名:LDAP/AD 中任何一个用户的名称。
密码:对应上面输入的用户名的密码。
用户名属性字段:可选择sAMAccountName(Windows NT使用者名称系统)、cn(组名)、uid(userid)或者自定义的值作为用户名。默认是sAMAccountName。
显示名属性字段:可选择sAMAccountName、displayname、userPrincipalName(使用者主体名称)、cn、uid或者自定义值作为显示名属性字段。默认是displyname值。
绑定属性字段:绑定属性字段。
描述属性字段:为属性字段做一个简单的描述。
分页搜索:在组织结构较大的环境里面,可启用分页搜索。
搜索大小限制:限制搜索大小。
导入目的组:可定义将LDAP/AD服务器上的用户和组信息导入至哪个组下面。
自动更新:定时自动同步LDAP/AD 服务器上的用户和组信息,默认未启用。点击<启用>按钮,选择自动更新的时间。更新时间选择的是时间计划里配置的时间对象,以时间对象配置的起始时间作为更新时间。
覆盖原有组织结构:选择是否覆盖原有的组织结构,默认不覆盖。