山石網科防火牆SSLVPN接面合AD域認證配置步驟

ChinaMSSP發表於2020-05-20

搭建AD域

第一步

準備一臺Windows Server,這裡我用的是2019版本,大同小異。搭建過程很簡單,基本都是下一步。最重要的設定IP地址,並將 域伺服器DNS指向本機。

undefined

第二步

伺服器開機,進入伺服器管理器,點選新增角色和功能。

undefined

undefined

undefined

d undefined

勾選Active Directory 域服務並新增功能

undefined
undefined
undefined
undefined
undefined

這裡安裝完畢後,點選‘將此伺服器提升為域控制器’

第三步

開始正式配置AD域伺服器,選擇新增新林,並定義根域名,儘量想好,定義後修改比較麻煩,下一步

undefined

輸入目錄還原模式密碼,下一步

undefined

因為我們還沒有建立DNS伺服器,之後系統會自己建立DNS伺服器,下一步

undefined
undefined
undefined
undefined

點選檢視指令碼,可以看到Windows PowerShell配置AD的引數,會看到自動安裝DNS伺服器,下一步

undefined

安裝完成,需要重啟計算機

undefined

安裝了AD 域服務和DNS伺服器之後的伺服器管理器

undefined


undefined

第四步

建立組和使用者

undefined
undefined
undefined
undefined

第五步

加域測試,這裡配置切換到win10電腦

undefined

DNS指向AD域伺服器

undefined
undefined

這裡要輸入AD域的管理員使用者名稱和密碼

山石網科防火牆SSLVPN接面合AD域認證配置步驟

下一步,然後重啟,成功加入域

undefined

山石網科防火牆配置SSLVPN

先配置SSLVPN,不關聯AD域,使用LOCAL

undefined
山石網科防火牆SSLVPN接面合AD域認證配置步驟
山石網科防火牆SSLVPN接面合AD域認證配置步驟
山石網科防火牆SSLVPN接面合AD域認證配置步驟

關聯AD域做認證

undefined
山石網科防火牆SSLVPN接面合AD域認證配置步驟

這裡有很多需要注意的地方

Base-dn 是指當前AD伺服器搜尋的路徑起始點。以伺服器域名為abc.xyz.com為例,Base-dn的輸入格式是“dc=abc,dc=xyz,dc=com"

*這裡標準寫法是:dc=Monkey,dc=com

同步AD域伺服器裡所有的目錄與使用者

*在Base-dn目錄裡,5.5以後的版本加入了可以只過濾某一個使用者組目錄

寫法是:ou=CHINAMSSP,dc=Monkey,dc=com

Login-dn當認證方式指定為明文時,需要配置Login-dn的屬性值,即有許可權讀取用 戶資訊的AD伺服器的使用者名稱。輸入格式是“cn=xxx, DC=xxx,...”,舉例說 明:伺服器的域名為abc.xyz.com,

AD伺服器的管理員名為administrator,該管理員名位於“Users”路徑下,那麼login-dn應寫為“cn=administrator,cn=users,dc=abc,dc=xyz,dc=com”

*這裡標準寫法是:cn=Administrator,cn=Users,dc=Monkey,dc=com

sAMAccountName

當認證方式指定為MD5時,需要配置sAMAccountName的屬性值,即有許可權讀取使用者資訊的AD伺服器的使用者名稱。輸入格式是“xxx”,舉例說明:AD伺服器的管理員名為administrator,那麼sAMAccountName應寫 為“administrator”。

認證方式

指定使用者認證或使用者同步方法,明文或MD5摘要。預設為MD5摘要。

指定使用MD5摘要方法後需要配置sAMAccountName屬性值,如果沒有配置,那麼從伺服器同步使用者的過程中將使用明文方法,認證使用者的過程 中將使用MD5摘要方法。

金鑰

指定登入AD伺服器的使用者名稱所對應的密碼。


undefined

我這裡加了過濾條件,只同步CHINAMSSP裡的使用者

山石網科防火牆SSLVPN接面合AD域認證配置步驟

回到SSLVPN這裡,先把之前配置的LOCAL伺服器刪除,然後選擇Monkey.com,新增-

完成。測試一下VPN是否可以使用第三方伺服器的使用者登陸

山石網科防火牆SSLVPN接面合AD域認證配置步驟
山石網科防火牆SSLVPN接面合AD域認證配置步驟




來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69974198/viewspace-2693115/,如需轉載,請註明出處,否則將追究法律責任。

相關文章