配置ldap认证
ldap认证 时间:2021-04-05 阅读:()
知SSLVPN张新姿2020-10-31发表V7防火墙使用默认证书配置SSLVPNLDAP认证典型案例(WEB配置)组网及说明1配置需求及说明1.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.
新注册NameCheap账户几天后无法登录原因及解决办法
中午的时候有网友联系提到自己前几天看到Namecheap商家开学季促销活动期间有域名促销活动的,于是就信注册NC账户注册域名的。但是今天登录居然无法登录,这个问题比较困恼是不是商家跑路等问题。Namecheap商家跑路的可能性不大,前几天我还在他们家转移域名的。这里简单的记录我帮助他解决如何重新登录Namecheap商家的问题。1、检查邮件让他检查邮件是不是有官方的邮件提示。比如我们新注册账户是需...
台湾云服务器整理推荐UCloud/易探云!
台湾云服务器去哪里买?国内有没有哪里的台湾云服务器这块做的比较好的?有很多用户想用台湾云服务器,那么判断哪家台湾云服务器好,不是按照最便宜或最贵的选择,而是根据您的实际使用目的选择服务器,只有最适合您的才是最好的。总体而言,台湾云服务器的稳定性确实要好于大陆。今天,云服务器网(yuntue.com)小编来介绍一下台湾云服务器哪里买和一年需要多少钱!一、UCloud台湾云服务器UCloud上市云商,...
tmhhost:全场VPS低至6.4折,香港BGP200M日本软银美国cn2 gia 200G高防美国三网cn2 gia韩国CN2
tmhhost放出了2021年的端午佳节+618年中大促的优惠活动:日本软银、洛杉矶200G高防cn2 gia、洛杉矶三网cn2 gia、香港200M直连BGP、韩国cn2,全都是高端优化线路,所有这些VPS直接8折,部分已经做了季付8折然后再在此基础上继续8折(也就是6.4折)。 官方网站:https://www.tmhhost.com 香港BGP线路VPS ,200M带宽 200M带...
ldap认证为你推荐
-
广东GDP破10万亿广东省2019年各市gdp是多少?关键字编程中,什么是关键字22zizi.comwww 地址 didi22怎么打不开了,还有好看的吗>com原代码源代码是什么意思啊www.jjwxc.net晋江文学网 的网址是什么?www.qq530.com谁能给我一个听歌的网站?ip查询器怎么样查看自己电脑上的IP地址杨丽晓博客杨丽晓今年高考了吗?sesehu.comwww.hu338.com 怎么看不到啊lcoc.topeagle solder stop mask top是什么层