配置ldap认证
ldap认证 时间:2021-04-05 阅读:()
知SSLVPN张新姿2020-10-31发表V7防火墙使用默认证书配置SSLVPNLDAP认证典型案例(WEB配置)组网及说明1配置需求及说明1.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.
零途云:香港站群云服务器16IP220元/月,云服务器低至39元/月
零途云(Lingtuyun.com)新上了香港站群云服务器 – CN2精品线路,香港多ip站群云服务器16IP/5M带宽,4H4G仅220元/月,还有美国200g高防云服务器低至39元/月起。零途云是一家香港公司,主要产品香港cn2 gia线路、美国Cera线路云主机,美国CERA高防服务器,日本CN2直连服务器;同时提供香港多ip站群云服务器。即日起,购买香港/美国/日本云服务器享受9折优惠,新...
酷番云78元台湾精品CN2 2核 1G 60G SSD硬盘
酷番云怎么样?酷番云就不讲太多了,介绍过很多次,老牌商家完事,最近有不少小伙伴,一直问我台湾VPS,比较难找好的商家,台湾VPS本来就比较少,也介绍了不少商家,线路都不是很好,有些需求支持Windows是比较少的,这里我们就给大家测评下 酷番云的台湾VPS,支持多个版本Linux和Windows操作系统,提供了CN2线路,并且还是原生IP,更惊喜的是提供的是无限流量。有需求的可以试试。可以看到回程...
酷锐云香港(19元/月) ,美国1核2G 19元/月,日本独立物理机,
酷锐云是一家2019年开业的国人主机商家,商家为企业运营,主要销售主VPS服务器,提供挂机宝和云服务器,机房有美国CERA、中国香港安畅和电信,CERA为CN2 GIA线路,提供单机10G+天机盾防御,提供美国原生IP,支持媒体流解锁,商家的套餐价格非常美丽,CERA机房月付20元起,香港安畅机房10M带宽月付25元,有需要的朋友可以入手试试。酷锐云自开业以来一直有着良好的产品稳定性及服务态度,支...
ldap认证为你推荐
-
国家网络安全部中国国家安全委员会和国家安全部是什么关系李子柒年入1.6亿宋朝鼎盛时期 政府财政收入有将近1亿贯铜钱,那么GDP是多少呢?罗伦佐娜罗拉芳娜 (西班牙小姐)谁可以简单的介绍以下丑福晋爱新觉罗.允禄真正的福晋是谁?他真的是一个残酷,噬血但很专情的一个人吗?同ip域名两个网站同一个IP怎么绑定两个域名www.119mm.comwww.kb119.com 这个网站你们能打开不?杨丽晓博客杨丽晓是怎么 出道的yinrentangzimotang氨基酸洗发水的功效咋样?888300.com请问GXG客服电话号码是多少?dpscycle痛苦术士PVE输出宏