一.需求
1. AD域單點登錄適用於客戶內網已有AD域統一管理內網用戶,部署AC后,希望AC和AD域結合實現平滑認證。即終端PC開機通過域帳號登錄AD域后自動通過AC認證上網,無需再次人為通過AC認證,對終端用戶透明。
2. 希望以域用戶的身份實名上網,實名記錄用戶上網日志。
二、前期准備
1.Logon:單點登錄上線腳本
Logoff:單點登錄下線腳本
Gpmc.msc:windows 2008 server 打開域組策略命令
Gpupate.exe /force:刷新組策略命令,更改組策略后,需執行此命令使更改立即生效
Rsop.msc:加入域的PC上執行,可以通過此命令查看PC是否獲取到域組策略
Gpresult.exe:加入域的PC上報告 ,可以通過此命令查看PC是否獲取到域的組策略
2.1) 需要確保內網測試電腦已成功登錄域,且和AC通信正常(與AC udp 1773,udp 1775端口通信正常)
2)准備好單點登錄腳本並上傳到AD域 上,腳本可從設備上下載並解壓,如下圖
三.預期效果
單點登錄認證及注銷正常,應該有如下效果
1.用戶開機登錄域,自動通過AC認證,打開網頁無法再次認證,且在線用戶管理可以看到測試PC以域用戶上線。
2.PC上網,查看數據中心日志記錄用戶名為域用戶。
3.域用戶從域中注銷時,同時也從AC下線,即設備在線用戶管理看不到測試機在線。
四.AC上配置
1.新建LDAP服務器
可以通過此功能測試域帳號的有效及修改域帳號的密碼
“新增外部認證服務器”頁面,有“同步配置”和“高級選項”兩個頁面,AD域及sun域默認只配置“基本配置”即可,“同步配置”和“高級選項”保持默認,其它域按常規配置無法讀取到域結構時,可以通過調整“同步配置”參數。
建好域服務器,域組織結構會自動同步至設備后台,默認1個小時觸發一次自動同步,如果域中用戶或OU結構變化,變化后的結構需要立即同步至設備,則點擊下圖的“立即同步所有LDAP”按鈕
2.新建單點登錄認證策略
當用戶對認證失敗比較敏感,即使認證失敗了,也不希望內網用戶上網需要密碼認證,則選擇“不需要認證,自動上線”,如果單點登錄失敗,則不需要認證上線,對終端用戶完全透明;
當用戶對認證要求嚴格,即用戶產生的所有上網日志必須要准確記錄到具體域用戶上,則選擇“密碼認證”,如果單點登錄失敗,則采用用戶名密碼認證;
當用戶對認證要求嚴格,即用戶產生的所有上網日志必須要准確記錄到具體域用戶上,也可以選擇“跳轉到”提示頁面,如選擇“跳轉到內置提示頁面”,則單點登錄不成功的用戶打開網頁重定至如下圖頁面,從圖中鏈接下載“身份認證工具(logon)”雙擊進行手動認證。
3.配置單點登錄
如下圖,啟用單點登錄,並配置共享密鑰,此密鑰和后面介紹的AD上配置logon腳本時的密鑰要保持一致。
