配置ldap认证
ldap认证 时间:2021-04-05 阅读:()
知SSLVPN张新姿2020-10-31发表V7防火墙使用默认证书配置SSLVPNLDAP认证典型案例(WEB配置)组网及说明1配置需求及说明1.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.
香港云服务器最便宜价格是多少钱一个月、一年?
香港云服务器最便宜价格是多少钱一个月/一年?无论香港云服务器推出什么类型的配置和活动,价格都会一直吸引我们,那么就来说说香港最便宜的云服务器类型和香港最低的云服务器价格吧。香港云服务器最便宜最低价的价格是多少?香港云服务器只是服务器中最受欢迎的产品。香港云服务器有多种配置类型,如1核1G、2核2G、2核4G、8到16核32G等。这些配置可以满足大多数用户的需求,无论是电商站、视频还是游戏、小说等。...
819云互联(800元/月),香港BGP E5 2650 16G,日本 E5 2650 16G
819云互联 在本月发布了一个购买香港,日本独立服务器的活动,相对之前的首月活动性价比更高,最多只能享受1个月的活动 续费价格恢复原价 是有些颇高 这次819云互联与机房是合作伙伴 本次拿到机房 活动7天内购买独立服务器后期的长期续费价格 加大力度 确实来说这次的就可以买年付或者更长时间了…本次是5个机房可供选择,独立服务器最低默认是50M带宽,不限制流量,。官网:https://ww...
江苏云服务器 2H2G 20M 79元/月 大宽带159元/月 高性能挂机宝6元/月 香港CN2 GIA、美国200G防御 CN2 GIA 折后18元/月 御速云
介绍:御速云成立于2021年的国人商家,深圳市御速信息技术有限公司旗下品牌,为您提供安全可靠的弹性计算服务,随着业务需求的变化,您可以实时扩展或缩减计算资源,使用弹性云计算可以极大降低您的软硬件采购成本,简化IT运维工作。主要从事VPS、虚拟主机、CDN等云计算产品业务,适合建站、新手上车的值得选择,拥有华东江苏、华东山东等国内优质云产品;香港三网直连(电信CN2GIA联通移动CN2直连);美国高...
ldap认证为你推荐
-
capitalcapital啥意思京沪高铁上市首秀京沪高铁怎么老是出问题?高铁的核心技术是中国自己的吗?比肩工场比肩是什么意思,行比肩大运的主要意象杰景新特杰普特长笛JFL-511SCE是不是有纯银的唇口片??价格怎样??巫正刚想在淘宝开一个类似于耐克、阿迪之类的店、需要多少钱、如何能够代理网站检测请问,对网站进行监控检测的工具有哪些?336.com求一个游戏的网站 你懂得www.zjs.com.cn请问宅急送客服电话号码是多少?bbs2.99nets.com让(bbs www)*****.cn进入同一个站www.toutoulu.com外链方案到底应该怎么弄呢