资源预览内容
第1页 / 共27页
第2页 / 共27页
第3页 / 共27页
第4页 / 共27页
第5页 / 共27页
第6页 / 共27页
第7页 / 共27页
第8页 / 共27页
第9页 / 共27页
第10页 / 共27页
亲,该文档总共27页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
测试指导书SANGFOR_AC_v11.0_脚本方式单点登录测试指导书深信服科技 sangfor .cn第1页,共27页深信服公司版权全部测试指导书名目1 介绍31.1 总体说明31.2 文档目的31.3 缩写和商定32 需求背景33 实现方式44 测试环境44.1 测试拓扑44.2 测试条件54.3 预期测试效果65 测试过程66 测试效果187 高级用法198 留意事项25 sangfor .cn第10页,共27页深信服公司版权全部1 介绍1.1 总体说明完成该文档的过程中,不行删除文档构造,但撰写本文档时,可以自行进展内容和构造的扩展。无内容可写的章节,请保持现有斜体字描述。模板中现有的黑体字、非斜体字务必予 以保存。1.2 文档目的为了便利快速到达功能测试效果,削减现场测试消灭问题机率。1.3 缩写和商定AD域:Windows Active Directory Logon:单点登录上线脚本Logoff:单点登录下线脚本Gpmc.msc:windows 2023 server 翻开域组策略命令Gpupate.exe /force:刷组策略命令,更改组策略后,需执行此命令使更改马上生效Rsop.msc:参加域的PC上执行,可以通过此命令查看PC是否猎取到域组策略Gpresult.exe:参加域的PC上报告 ,可以通过此命令查看PC是否猎取到域的组策略Logon及logoff脚本方式单点登录兼容以下操作系统:2 需求背景2.1. AD域单点登录适用于客户内网已有AD域统一治理内网用户,部署AC后,期望AC 和AD域结合实现平滑认证即终端PC开机通过域帐号登录AD域后自动通过AC认证上网,无需再次人为通过AC认证,对终端用户透亮2.2. 期望以域用户的身份实名上网,实名记录用户上网日志。3 实现方式脚本方式单点登录通过在域上配置组策略加载logon脚本登录脚本及logff注销脚本,当域用户登录域时,猎取到相应组策略,执行logon脚本向AC认证上线;当域用户从域中注销时,执行logff脚本向AC恳求注销下线,整个过程对终端用户透亮。PC开机使用域帐号登录AD域PC猎取组策略PC执行logon登录脚本向AC发起上线认证4 测试环境4.1 测试拓扑常见的测试环境,设备路由或网桥部署,AD域部署在内网交换机,如以下图所示。此文主要以此环境介绍脚本单点的登录的测试方法。脚本单点登录另一种使用场景是员工在总公司与分公司出差,实现平滑认证。具体需求是公司总部和分公司都有一台AC,总公司员工在总部时使用单点登录通过总公司AC上网,当出差到分公司时,仍旧使用自己的域帐号登录到总部的域效劳器,但上网是通过分公司的AC上网,所以期望出差员工登录到总部域时,也能够通过分支AC单点登录上网。这局部需求在此文档第7章节“高级用法”中介绍。4.2 测试条件4.2.1. 需要确保内网测试电脑已成功登录域,且和AC通信正常与AC udp 1773,udp 1775端口通信正常4.2.2. 预备好单点登录脚本并上传到AD域 上,脚本可从设备上下载并解压,如以下图4.3 预期测试效果单点登录认证及注销正常,应当有如下效果4.3.1. 用户开机登录域,自动通过AC认证,翻开网页无法再次认证,且在线用户治理可以看到测试PC以域用户上线。4.3.2. PC上网,查看数据中心日志记录用户名为域用户。4.3.3. 域用户从域中注销时,同时也从AC下线,即设备在线用户治理看不到测试机在线。5 测试过程5.1. AC上配置AC上的配置可以分为建LDAP效劳器,建认证策略及配置单点登录3个步骤,具体如下:5.1.1. 建LDAP效劳器,如以下图所示【留意】上图“增外部认证效劳器”页面,有个“测试有效性”,可以通过此功能测试域帐号的有效及修改域帐号的密码,如以下图所示上图“增外部认证效劳器”页面,有“同步配置”和“高级选项”两个页面,AD 域及sun域默认只配置“根本配置”即可,“同步配置”和“高级选项”保持默认,其 它域按常规配置无法读取到域构造时,可以通过调整“同步配置”参数。假设客户的域环境是独立域,添加外部认证效劳器时,认证端口填写389;假设是父子域,如父域sangfor ,子域ac.sangfor ,ssl.sangfor 等,且外部认证效劳器配置的是父域的地址,则端口需要填3268。建好域效劳器,域组织构造会自动同步至设备后台,默认1个小时触发一次自动同步,假设域中用户或OU构造变化,变化后的构造需要马上同步至设备,则点击以下图的“马上同步全部LDAP”按钮5.1.2. 建单点登录认证策略,如以下图所示【留意】上图“单点登录失败的用户”有三种处理方式,分别为“不需要认证,自动上线”、“密码认证”及“跳转到”,三种处理方式分别对应着三种不同的场景。当用户对认证失败比较敏感,即使认证失败了,也不期望内网用户上网需要密码认 证,则选择“不需要认证,自动上线”,假设单点登录失败,则不需要认证上线,对终端用户完全透亮;当用户对认证要求严格,即用户产生的全部上网日志必需要准确记录到具体域用户上,则选择“密码认证”,假设单点登录失败,则承受用户名密码认证;当用户对认证要求严格,即用户产生的全部上网日志必需要准确记录到具体域用户 上,也可以选择“跳转到”提示页面,如选择“跳转到内置提示页面”,则单点登录不成功的用户翻开网页重定至如以下图页面,从图中链接下载“身份认证工具logon”双击进展手动认证。测试指导书5.1.3. 配置单点登录如以下图,启用单点登录,并配置共享密钥,此密钥和后面介绍的AD上配置logon脚本时的密钥要保持全都。5.2. AD域上配置以windows 2023 server为例,AD域的配置主要有建组策略配置logon登录脚本,配置logoff注销脚本,强制刷组策略。5.2.1. 建组策略并配置logon登录脚本,以实现用户开机登录域时,自动通过AC认证AD域效劳器“运行”输入gpmc.msc,翻开组策略编辑器,如以下图。 sangfor .cn第11页,共27页深信服公司版权全部测试指导书右建需要测试单点登录的OU,并选择“在这个域中创立GPO并在此处链接”,如以下图,建名称为“脚本单点登录”的组策略 sangfor .cn第12页,共27页深信服公司版权全部右键选中建的单点登录组策略“脚本单点登录”,并编辑,如以下图配置logon脚本参数,配置格式如以下图,点击“扫瞄”添加脚本。logon脚本参数最简洁的配置只有三个参数,即 acip, 端口为UDP 1775, 密钥需要和AC掌握台上配置 密钥保持全都,三个参数间通过空格隔开,如 10.10.10.4 1775 sangfor。至此,logon脚本配置完毕【留意】AC11.0的logon脚本参数配置时只支持udp 1775端口。AC11.0同时也兼容老版本的logon,假设使用老版本的logon,则使用udp 1773端口。假设是在IPv6环境,只支持使用11.0的logon,不支持使用11.0之前老版本的logon5.2.2. 按一样的方法配置logoff脚本,以实现用户从域中注销时,可以自动从AC下线, 如以下图配置logoff参数,点击“扫瞄”添加logoff脚本。logoff参数只配置ACIP地址即可,如以下图至此,logoff脚本配置完毕5.2.3. 刷组策略为了使用更改的组策略马上生效,需要刷组策略,刷组策略命令为gpupdate.exe/force,如以下图测试指导书【留意】由于脚本单点登录需要修改域组策略,且脚本会下发到客户端PC,所以测试阶段建议只针对需要测试的OU配置logon和logoff脚本,不要整个域配置logon,logoff脚本。经和客户协商后,假设全域用户都需要单点登录,则只需要修改 配置logon和Logoff脚本即可实现全部域用户单点登录。6 测试效果单点登录认证及注销正常,效果如下6.1. 用户开机登录域,自动通过AC认证,翻开网页无法再次认证,且在线用户治理可以看到测试PC以域用户上线,如以下图。6.2. PC上网,查看数据中心日志记录用户名为域用户,如以下图。 sangfor .cn第18页,共27页深信服公司版权全部测试指导书6.3. 域用户从域中注销时,同时也从AC下线,即设备在线用户治理看不到测试机在线。6.4. Logon默认启用了首次执行将Logon复制到PC启动项中,当下次同一个域帐号再次登录域时,即使登录域失败如离线登录域,也会不影响正常单点登录认证,开机启动时会执行启动项中上次下发的Logon。所以测试电脑启动项中,会看到logon已下发,运行中输入“%appdata%MicrosoftWindowsStart MenuProgramsStartup”,翻开windows启动项,如以下图。6.5. logon默认启用了常驻内存功能,常驻内存功能实时检测PC IP变化,当地址发生变化,则马上将变化后的IP地址单点登录上线,以实现IP变化实现认证平滑切换。所以在任务治理器中,可以看到Logon.exe始终在运行。7 高级用法在第5章节测试过程中,我们介绍了logon脚本参数配置的根本方法,也是最常用的方法。这里介绍logon脚本参数的另外两种高级用法,可以实现更多的功能。7.1. 多个参数组合使用,实现更多功能以“Title1=value1 Title 2=value2 Title15=value15”的形式带多个参数1个到15 个,参数间以空格隔开,如以下图配置表示客户端电脑全部IP都单点登录,其中ac_ip 及key两个参数必需配置,其它参数可选。可以定义的参数及适用场景见下表所示。 sangfor .cn第19页,共27页深信服公司版权全部测试指导书命令行参数名sinforIP配置文件参数合法值单位默认值有效范围适用场景名en_runAlEnableRunAlways0、1-10、1是则启动常驻内存功能,否则运行
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号