1、应用场景如下:
AD SSO
单点登录一般适用于客户网络中已经采用 AD 域认证,希望通过 AD 域认证之后,自动通过上网行为备认证,并且设备能获取到用户对应的域用户名;而未加入域的终端需要经过域账号和密码认证,从而对上网的用户进行全面控制和审计。
2、配置步骤
1.启用AD SSO强制单点登录
2.配置 AD域集成身份认证信息
3.配置认证策略
4.将AD域服务器地址添加白名单确保,终端用户与域服务器协商。
注意事项:
1.先升级相关域认证依赖补丁包,升级后需要重新,再升级版本,每次升级都需要重启设备。
2.保证域服务器和上网行为管理设备、终端网络通信连通。
详细步骤
一、启用AD SSO 强制单点登录功能
1.进入【行为管理】>【认证选项】进入【SSO】,选择【AD SSO】。
2.启用AD SSO域登录脚本方式,如下图:
二、配置AD集成身份验证
1.进入【行为管理】>【认证选项】进入【SSO】,选择【AD SSO】。
2.启用AD SSO域登录脚本方式
3.加入AD域验证,如下图:
参数说明:
计算机名称:设备的系统名称
域名:域服务器域名。如:hua.com。
域DNS服务器:AD域名解析DNS服务器IP地址(DNS服务器同AD域服务器同在一个主机上)。
域帐号:域服务器管理员帐号。
域帐号密码:同上述域管理员帐号密码。
三、配置AD域单点集成身份认证策略
1.进入【行为管理】>【认证策略】进入【新增】,认证配置如下图:
认证页面选择分“强制单点登录”和“密码认证与强制单点登录”
认证方式选择说明:
强制单点登录:加入域用户登录终端强制认证登录无需手动认证,未使用域用户登录需要安装插件强制登录。
密码认证与强制单点登录:加入域用户登录终端强制认证登录无需手动认证,未使用域用户登录终端可选择密码认证。
四、AD域服务器地址添加白名单
1.进入【行为管理】>【白名单管理】>【IP白名单】进入【新增】,允许局域网内终端可以访问AD,认证配置如下图:
控制白名单:IP地址填写AD域服务器IP地址
五、AD集成验证
1、在域里面的电脑终端,登录域之后,可直接实现上网,无需再次认证,在设备“在线用户”界面可看到上线的域终端。
2、未使用域用户登录的电脑终端,无法直接访问外网。认证需要启用IE浏览器,访问http链接如访问:www.163.com;使用密码认证,通过认证后可以访问外网。
故障排除:
1.域验证失败
解决方法:
域名是否同AD域服务器一致;
域账户密码是否正确。
2.DNS服务器查询不到域信息
解决方法:
域服务器和DNS服务器网络连通,可否正确解析;
3.检测不到有效域名
解决方法:
计算机名称是否有冲突域用户名称
4.域认证解析不正确
确认DNS服务器中是否存在设备计算机名称对于的3.4.5.6主机地址。
