1、SANGFOR SSL VPN 用戶認證技術培訓內容培訓目標用戶認證技術1、了解SSL VPN支持的所有認證方式2、了解各種認證方式下能實現的功能主要認證1、掌握主要認證包含的認證方式及功能2、結合案例掌握用戶名密碼和數字證書認證方式的配置步驟輔助認證1、掌握輔助認證包含的認證方式及功能2、結合案例掌握硬件特征碼和短信認證方式的配置步驟用戶認證功能介紹深信服公司簡介練練手SANGFOR SSL用戶認證配置和案例學習SSL 用戶和用戶組用戶：登錄SSL VPN的賬號，分為公有用戶和私有用戶。 私有用戶只能同時一人登陸，公有用戶允許多人同時登陸。用戶組：由“用戶”組成，每個“用戶”必須屬于唯一的“

2、用戶組”，root根組和默認用戶組無法刪除。SSL用戶組的添加 選擇賬戶類型和認證方式填寫組名和所屬組可選關聯策略組與角色保存配置后，必須點擊“立即生效”使配置生效。SSL用戶的添加如果勾選“繼承所屬組的認證選項”，則用戶按照“support”組的認證方式填寫密碼即可。不勾選“繼承所屬組認證選項”，則用戶可以自定義認證方式。保存和生效配置SSL VPN 用戶認證方式（非常重要?。┩獠空J證認證方式本地認證用戶名、密碼認證數字證書硬件特征碼認證短信認證LDAP認證RADIUS認證輔助認證（可選）主要認證（必須選 擇一種）令牌認證（RADIUS認證）/DKEY認證（私有用戶）（私有用戶）（公有/私有

3、用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）（公有/私有用戶）SSL VPN 用戶認證方式 SSL VPN的用戶必須使用一種主要認證方式，也可以使用主要認證再結合多種輔助認證的方式。 如果設置了多種主要認證方式，可選擇必須通過所有的主要認證或通過其中一種主要認證方式即可。SSL VPN 用戶認證方式 本PPT介紹五種常用的主要認證和輔助認證方式： 1. 用戶名密碼認證 2. 數字證書認證 3. 短信認證 4. 硬件特征碼認證 5. LDAP認證用戶名密碼認證 用戶名密碼認證，即用戶通過輸入用戶名和密碼登錄SSL VPN。認證方式選擇“用戶名/密碼”用戶名密碼信息保存在設備數據庫

4、中，屬于本地認證“同時使用”表示設置了多種主要認證方式時，所有認證都必須通過?！叭我庖环N”表示其中一種主要認證方式通過即可。公有用戶和私有用戶均可設置用戶名密碼認證。用戶名密碼認證 為了加強用戶名密碼認證的安全性，可啟用密碼安全策略，軟鍵盤和圖形校驗碼功能。數字證書認證第三方CA自建CA數字證書數字證書DKEY數字證書認證DKEY 有驅DKEY無驅DKEY 數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件，用來標志和證明網絡通信雙方的身份，此認證方法更為安全可靠。 SANGFOR數字證書認證支持設備自建CA認證和第三方CA認證。生成了無驅DKEY，不能再生成有驅D

5、KEY；有驅DKEY，可再生成無驅DKEY。數字證書認證（生成證書）設置登錄的用戶名只有私有用戶類型才能選擇數字證書/DKEY認證設置證書密碼，用戶安裝此證書時需要填入相同的密碼才允許安裝。數字證書認證（生成有驅DKEY）生成有驅DKEY，管理員和用戶均需下載安裝DKEY驅動，管理員還需下載安裝DKEY導入控件如果要實現有驅KEY拔KEY注銷功能，必須啟用 USB Key V2創建DKEY之前需將DKEY插入電腦中數字證書認證（生成無驅DKEY）生成無驅DKEY無驅DKEY，必須啟用USB KEY V2，才能實現DKEY接入和拔出注銷。創建DKEY之前請先將DKEY插入電腦中硬件特征碼認證 通

6、過硬件特征碼認證可實現SSL VPN帳號和電腦硬件特征的綁定，某賬號只能通過固定的一臺或幾臺電腦登陸，確保了接入的安全性。 硬件特征碼認證讀取接入電腦的硬件信息順序: 硬盤ID -網卡MAC -C盤ID -D盤ID-E盤ID. 硬件特征碼認證屬于輔助認證，必須同時使用一種主要認證。一般先開啟硬件特征碼收集，待用戶全部提交硬件特征碼后，再啟用硬件特征碼認證。勾選“硬件特征碼”SSL 用戶配置案例學習管理員如何查看、審批、刪除硬件特征碼？查看硬件特征碼選擇用戶，進行硬件特征碼的審批和刪除操作短信認證 SSL 設備通過發送短信校驗碼至用戶綁定的手機號碼上, 用戶正確輸入短信校驗碼后才能登陸SSL。短

7、信認證需開通序列號才能使用。 短信認證屬于輔助認證，必須同時使用一種主要認證。開啟短信驗證碼通過設備直連短信服務器發送短信設備和短信網關均連到PC，PC上安裝短信服務器軟件。在機房信號不佳的情況下，建議選擇外部短信網關。短信貓中插入的手機卡的短信中心號碼，支持GSM和CDMA手機卡。可支持如下短信網關類型使用默認參數即可。注：新短信貓（帶有深信服LOGO）的波特率為115200短信認證（使用內置短信貓）1、內置短信貓的安裝短信貓直接連接設備的接口，如下：設備發貨時會配好對應的串行線接線注意事項：a) 將一張手機SIM卡放入短信Modem 內。b) 短信Modem 通過發貨時自帶的串口線連接到設

8、備的com口。短信認證（使用內置短信貓）2、短信認證設置短信認證必須選擇私有用戶賬號類型選擇短信認證填入用戶對應的手機號碼短信認證（使用外置短信網關）1、外置短信網關服務器軟件安裝接線注意事項：a) 將一手機SIM卡放入短信Modem 內。b) 短信Modem 通過發貨時自帶的串口線連接到短信服務器（電腦）的COM 口。c) 確保串口線和短信Modem 以及串口線和短信服務器接觸良好。系統要求：Windows XP、Windows 2000/2003/2008，不支持vista 系統。在服務器上安裝短信網關服務器軟件a 雙擊短信服務軟件安裝包，按照安裝提示，點擊下一步，直到出現以下軟件安裝目錄

9、選 擇頁面，請保留默認的安裝路徑，否則短信服務無法正常啟動。短信認證外置短信網關1、外置短信網關服務器軟件安裝b 按照安裝提示操作，最后完成安裝c 軟件安裝完成后，短信服務會以系統服務的形式自動運行短信服務進程為SMSSP.exe在服務列表中能夠看到短信服務SMSSERVICEd 在系統的“開始”菜單打開短信服務軟件的控制臺，進行配置在系統桌面右下角的控制臺能夠看到當前短信服務的狀態，左圖為服務正常，右圖為服務異常如果軟件安裝好后，服務仍然顯示停止，一般情況下是由于軟件沒有安裝在系統盤下造成的，請把軟件重新安裝在默認路徑下。e 鼠標右鍵點擊控制臺，選擇【Config】在軟件服務的監聽端口設置對

10、話框里，設置好監聽端口（TCP 端口），如果服務器還提供其他服務，要保證設置的端口和這些服務的端口不沖突如果短信服務器上裝有防火墻軟件，必須保證防火墻有放通此處設置的短信服務監聽端口。至此外置短信服務器設置完畢。短信認證（使用外置短信網關）3、短信認證設置填寫安裝短信網關服務器的IP和端口填入用戶對應的手機號碼短信認證必須選擇私有用戶賬號類型選擇短信認證LDAP認證 SANGFOR SSL VPN支持結合認證的外部認證服務器有LDAP認證和RADIUS認證。 外部認證也是一種主要認證方式，用戶名密碼認證與外部認證不能同時啟用。LDAP認證 LDAP認證： 輕量級目錄訪問協議。 移動用戶接入SS

11、L VPN，需要到LDAP服務器上去認證，認證成功后LDAP服務器會將校驗信息返回給SSL設備，同時用戶登錄SSL VPN成功。SSL VPN支持所有使用標準LDAP協議的認證服務器。 LDAP認證常用端口：TCP 389LDAP認證-配置介紹新建LDAP認證服務器，設置相關信息。添加域服務器的IP和端口域管理員Administrator在域服務器的Users文件夾下，管理員路徑填寫格式為：cn=Administrator,cn=Users,dc=sangfor,dc=com注意管理員的格式，需要添加域名！選擇用于認證的LDAP用戶賬號所在路徑包含該路徑下所有子路徑的用戶賬號，不勾選則僅包含該

12、路徑下的用戶賬號。支持的域服務器類型：MS ActiveDirectory：指微軟域用戶LDAP Server：指除微軟域以外的其他LDAPMS ActiveDirectory VPN：指微軟域內帶有允許接入微軟VPN屬性的用戶當沒有設置組映射關系時，自動匹配為某個組的用戶LDAP導入用戶到本地功能介紹LDAP導入用戶到本地：實現將LDAP服務器中的用戶以及組織結構導入到SSL VPN組織結構中，可分別為不同的用戶或者用戶組關聯策略組和角色。功能需求： LDAP服務器上不同的用戶需要具有不同的資源訪問權限和策略組。LDAP導入用戶到本地功能配置1. 【認證設置】，新建LDAP認證服務器并填寫相

13、應信息。（省略配置）2. 【認證設置】，選擇需要導入用戶的LDAP服務器，點擊“導入用戶到本地”單獨導入： 僅導入選中的用戶組用戶。遞歸導入：導入選中的用戶組和這個組下所有的子組用戶。選擇需要導入的用戶組將選中的LDAP服務器中的用戶和用戶組，導入到SSL設備本地的哪個目標組下。將域服務器中的組織結構導入到SSL設備中。只導入用戶，不導入用戶組開啟自動同步，每隔一段時間自動將LDAP服務器中的用戶導入到SSL設備中，用于LDAP服務器中用戶變更頻繁的場景。LDAP導入用戶到本地功能配置3. 【用戶管理】，查看是否有LDAP服務器中同步過來的用戶和用戶組。LDAP服務器中的組織結構和用戶與LDA

14、P服務器中的組織結構和用戶一致。LDAP導入用戶到本地功能補充說明1. 如果某用戶“user3”在LDAP服務器中被禁用，通過LDAP導入功能，能將此用戶成功導入到SSL設備。但是移動用戶使用域用戶“user3”登錄SSL VPN進行認證時，會認證失敗。2. SSL設備的組織結構中，不能存在同名的用戶。如果設備組織結構中已經存在用戶“user4”（本地認證或者通過RADIUS認證），LDAP服務器中也存在同名用戶“user4”，則從LDAP服務器中導入用戶“user4”不成功。LDAP導入用戶到本地功能補充說明3. 從LDAP服務器導入用戶到本地設置中， 對已經導入用戶的覆蓋，只能覆蓋通過LD

15、AP服務器導入的同名用戶。LDAP結合認證典型案例及配置客戶需求：客戶內網已部署好LDAP服務器，通過域來管理內網用戶?？蛻羰褂肧ANGFOR SSL VPN設備，希望移動用戶登錄SSL VPN時使用LDAP上的用戶名和密碼進行認證。解決方案：使用SSL VPN與客戶原有LDAP服務器結合認證，無需在設備上創建本地賬號?？蛻艟W絡環境：LDAP結合認證典型案例及配置配置思路：1. 配置LDAP服務器，在OU中新建用戶。2. SSL VPN新建LDAP服務器，結合LDAP認證。3. 使用域賬號登陸SSL VPN。LDAP結合認證典型案例及配置1.在LDAP服務器下創建一個用戶名為“test1”的用

16、戶LDAP結合認證典型案例及配置2. SSL VPN設備上，新建LDAP認證服務器并填寫相應信息LDAP認證配置介紹3. 移動用戶通過域賬號和密碼登錄SSL VPN。組織結構中無用戶“test1”通過域用戶名密碼登陸SSL VPNSSL 用戶認證案例學習SSL 用戶認證案例學習背景介紹：某客戶公司希望實現財務部用戶通過數字證書，其余用戶通過賬號密碼，且所有用戶均只能使用自己的工作電腦接入SSL VPN。配置思路：1） 開啟硬件特征碼認證2）添加2個用戶組，財務組使用數字證書和硬件特征碼認證，普通用戶組使用用戶名密碼和硬件特征碼認證。3）添加用戶關聯到組，使用組屬性。SSL 用戶認證案例學習1）

17、 開啟硬件特征碼認證控制臺左樹依次展開【SSL VPN設置】-【認證設置】點擊【硬件特征碼】處的設置開啟硬件特征碼認證SSL 用戶認證案例學習2） 添加用戶組控制臺左樹依次展開【SSLVPN設置】-【用戶管理】，點擊【新建】 -【用戶組】SSL 用戶認證案例學習3） 添加用戶關聯到組，使用數字證書以及硬件特征碼認證。設置用戶名選擇所屬用戶組SSL 用戶認證案例學習4） 添加用戶關聯到組，使用用戶名密碼以及硬件特征碼認證。設置用戶名密碼選擇所屬用戶組SSL 用戶認證案例學習5）設置用戶與硬件特征碼的一一對應關系，限制用戶只能在自己電腦登錄可設置范圍為1-100設置策略組名稱SSL 用戶認證案例學習1. 數字證書和硬件特征碼認證的用戶登錄訪問SSL VPN的過程：1） 將生成的數字證書發給移動用戶2） 移動用戶雙擊數字證書進行安裝，如下圖所示：填入生成證書時管理員設置的密鑰可以通過查看瀏覽器，檢查證書是否安裝成功表示安裝和導入證書成功SSL 用戶認證案例學習1. 數字證書和硬件特征碼認證的用戶登錄訪問SSL VPN的過程：3）移動用戶通過IE瀏覽器登錄SSL VPN表示用戶認證成功SSL 用戶認證案例學習2. 用戶名密碼和硬件特征碼認證的用戶登錄訪問SSL VPN的過程：移動用戶通過IE瀏覽器登錄SSL VPN表示用戶認證成功練練手某客戶希望實現用戶登錄SSL VPN時，除了輸