配置ldap认证

知SSLVPN张新姿2020-10-31发表V7防火墙使用默认证书配置SSLVPNLDAP认证典型案例(WEB配置)组网及说明1配置需求及说明1.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.