配置ldap认证
ldap认证 时间:2021-04-05 阅读:()
知SSLVPN张新姿2020-10-31发表V7防火墙使用默认证书配置SSLVPNLDAP认证典型案例(WEB配置)组网及说明1配置需求及说明1.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.
1适用的产品系列本案例适用于软件平台为ComwareV7系列防火墙:本案例适用于如F1080、F1070、F5040、F5020等F10X0、F50X0系列的防火墙.
注:本案例是在F1000-C-G2的Version7.
1.
064,Release9323P19版本上进行配置和验证的.
服务器系统:windowsserver2012R21.
2配置需求及实现的效果V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSLVPN,防火墙通过LDAPServer对用户进行远程认证和授权.
认证成功后用户可以访问内网192.
168.
10.
0网段的资源.
IP地址及接口规划如下表所示:外网接口公网地址/掩码内网接口内网地址/掩码与LDAP互联口LDAP服务器地址GE1/0/1222.
1.
1.
100/24GE1/0/3192.
168.
10.
1/24GE1/0/810.
88.
142.
1712组网图配置步骤1.
1Windowsserver2012镜像安装请参考微软镜像安装手册或者百度自行解决,本文对Windowsserver2012系统安装不做赘述.
1.
2LDAP服务器设置1、在服务器界面点击"开始"旁边的服务器管理器按钮,调出管理器界面后点击"添加角色和功能选项".
2、在出现的角色和功能向导中点击下一步.
3、安装类型选择"基于角色或基本功能的安装"后点击下一步.
4、服务器选择显示为本机地址的服务器.
5、在服务器角色中点击ActiveDirectory域服务.
在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能.
6、如果没有特殊需要不需要选择任何功能直接点击下一步即可.
7、出现ActiveDirectory域服务点击下一步.
8、确认无误后点击安装ActiveDirectory域服务程序,安装成功后关闭向导.
9、服务器部署成功后出现ADDS选项,点击"更多"打开域配置界面.
10、点击"将此服务器提升为域控制器"选项.
11、选择添加新林并且将根域名设置为test.
com.
12、创建目录服务还原密码后点击下一步.
13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可.
14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步.
15、选择数据库、日志、SYSVOL文件夹的目录.
16、检查选项无误后选择下一步.
17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作.
18、开启开启后选择管理工具.
19、点击ActiveDirectory用户和计算机20、新建一个SVPN的组织单位用来存储SSLVPN用户.
21、在SVPN组中添加用户22、添加用户为张三设置登录账号为zhangsan.
23、设置密码并设置密码为永不过期.
24、设置完成后出现张三用户,至此LDAP服务器所有配置完成.
1.
3防火墙侧配置1.
3.
1配置SSLVPN网关#选择"网络">"SSLVPN">"网关"点击"新建",IP地址填写防火墙GE1口地址222.
1.
1.
100,端口号修改为4433(缺省SSLVPN也是443端口与设备WEB登录端口冲突),勾选"使能"选项点击"确定"完成配置.
1.
3.
2增加SSLVPN接入接口#点击"网络">"SSLVPN">"IP接入接口"后新建IP接入接口,接口编号配置为1、IPV4地址配置为10.
10.
10.
1/24.
1.
3.
3增加客户端地址池#点击"网络">"SSLVPN">"客户端地址池"新建客户端地址池,地址池名配置为"SSLPOOL"、起始地址配置为10.
10.
10.
2、结束地址配置为10.
10.
10.
254,配置完成后点击确定.
1.
3.
4配置SSLVPN访问实例#点击"网络">"SSLVPN">"访问实例"中新建访问实例,在"关联网关"中点击新建关联3.
3.
1创建的SSLVPN网关,在ISP域中添加ISP认证域,认证域名称配置为"svpn"其他选项全部为默认,配置完成后点击确定.
1.
3.
5配置SSLVPN访问实例中的IP业务#点击"网络">"SSLVPN">"访问实例">"IP业务"IP接入接口选择3.
3.
2步骤添加的接口1(SSLVPN-AC1)、客户端地址池选择3.
3.
3步骤添加的"SSLPOOL"、配置客户端掩码及主DNS服务器地址分别为24和114.
114.
114.
114后点击页面下方确定完成配置.
#在页面下面的IP接入资源中点击"新建"创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.
168.
10.
0/24的内网资源,当SSLVPN用户拨入后可以直接访问该网段下的所有资源.
1.
3.
6配置SSLVPN访问实例中的资源组#点击"对象">"ACL">"IPv4"中新建高级ACL编号为3999,点击确定进入规则配置.
进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置.
1.
3.
7配置SSLVPN访问实例中的资源组#点击"网络">"SSLVPN">"访问实例">"资源组"中新建名称为SSLVPNZIYUAN的资源组,在指定路由接入VPN中选择子网资源、子网资源选择3.
3.
5步骤创建的资源NEIWANG、IPV4ACL用于控制SSLVPN接入用户,选择3.
3.
6步骤创建IPv4ACL3999点击确定完成配置.
1.
3.
8配置SSLVPN访问实例中的资源组#在"网络">"SSLVPN">"访问实例"中点击使能开启SSLVPN实例.
1.
3.
9创建SSLVPN用户组#在"对象">"用户">"用户管理">"本地用户">"用户组"中新建名称为svpn的用户组,在SSLVPN策略组中将3.
3.
7步骤中创建的SSLVPNZIYUAN组调用在该用户组.
1.
3.
10创建LDAP服务器#在"对象">"用户">"认证管理">"LDAP">"LDAP方案"新建名称为svpn的LDAP认证方案.
配置LDAP服务器名称为svpn、LDAP服务器地址为10.
88.
142.
171、管理员DN为cn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname.
对于上述所有参数的解释说明:login-dn是LDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameterssamaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值.
1.
3.
11创建LDAP方案(需在命令行完成)创建LDAP方案将LDAP认证和授权全部指向3.
3.
10步骤中创建的LDAP服务器.
[H3C]ldapschemesvpn[H3C-ldap-svpn]authentication-serversvpn[H3C-ldap-svpn]authorization-serversvpn1.
3.
12创建SSLVPN认证域(需在命令行完成)创建SSLVPN认证域,将认证授权全部改向3.
3.
11步骤创建的svpn方案,并且指定3.
3.
9步骤中创建的认证用户组svpn.
[H3C]domainsvpn[H3C-isp-svpn]authorization-attributeuser-groupsvpn[H3C-isp-svpn]authenticationsslvpnldap-schemesvpn[H3C-isp-svpn]authorizationsslvpnldap-schemesvpn[H3C-isp-svpn]accountingsslvpnnone1.
3.
13配置与LDAP服务器互联端口#在"网络">"IP"找到1/0/8接口并配置1/0/8接口地址为10.
88.
142.
1掩码配置为255.
255.
255.
0.
1.
3.
14将SSLVPN端口加入安全域,放通对应安全策略#在"策略">"安全域"中新建名称为SSLVPN的安全域,将步骤3.
3.
2添加的SSLVPN-AC1接口添加到SSLVPN域.
#在"策略">"安全域"中新建名称为LDAP的安全域,将步骤3.
3.
13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域.
#在"对象">"服务对象组"中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为4433(3.
3.
1步骤中SSLVPN网关的端口).
#在"策略">"安全策略"中将Untrust到Local域目的端口为TCP4433端口放通.
#配置配置安全策略放通源安全域为SSLVPN,目前安全域为"Trust"的数据流量#配置配置安全策略,放通安全域为DMZ、Local域的数据流量.
(点击多选按钮可以选择多个安全域)1.
4保存配置1.
5配置验证,查看拨号成功的用户可以在WEB界面SSLVPN统计信息中查看SSLVPN拨入信息,也可以在命令行通过dissslvpnsessionverbose查看用户信息.
dissslvpnsessionverboseUser:zhangsanContext:SSLVPNPolicygroup:SSLVPNZIYUANIdletimeout:30minCreatedat:19:52:36UTCSun04/19/2020Lastest:19:52:36UTCSun04/19/2020UserIPv4address:10.
88.
26.
145AllocedIP:10.
10.
10.
2SessionID:14Webbrowser/OS:Windows客户端使用INode登录截图:配置关键点注意事项1、安装ActiveDirectory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用"域名\用户名"的方式去登录.
2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAPServer下"user-parametersuser-name-attributesamaccountname"命令是一定要添加的.
ShockHosting日本机房VPS测试点评
这个月11号ShockHosting发了个新上日本东京机房的邮件,并且表示其他机房可以申请转移到日本,刚好赵容手里有个美国的也没数据就发工单申请新开了一个,这里做个简单的测试,方便大家参考。ShockHosting成立于2013年,目前提供的VPS主机可以选择11个数据中心,包括美国洛杉矶、芝加哥、达拉斯、杰克逊维尔、新泽西、澳大利亚、新加坡、日本、荷兰和英国等。官方网站:https://shoc...
Ceranetworks顶级合作伙伴 香港E3 16G 299元 香港E5 32G 650元 美国E3 16G 650元
提速啦(www.tisula.com)是赣州王成璟网络科技有限公司旗下云服务器品牌,目前拥有在籍员工40人左右,社保在籍员工30人+,是正规的国内拥有IDC ICP ISP CDN 云牌照资质商家,2018-2021年连续4年获得CTG机房顶级金牌代理商荣誉 2021年赣州市于都县创业大赛三等奖,2020年于都电子商务示范企业,2021年于都县电子商务融合推广大使。资源优势介绍:Ceranetwo...
Sharktech鲨鱼服务器商提供洛杉矶独立服务器促销 不限流量月99美元
Sharktech(鲨鱼服务器商)我们还是比较懂的,有提供独立服务器和高防服务器,而且性价比都还算是不错,而且我们看到有一些主机商的服务器也是走这个商家渠道分销的。这不看到鲨鱼服务器商家洛杉矶独立服务器纷纷促销,不限制流量的独立服务器起步99美元,这个还未曾有过。第一、鲨鱼机房服务器方案洛杉矶机房,默认1Gbps带宽,不限流量,自带5个IPv4,免费60Gbps / 48Mpps DDoS防御。C...
ldap认证为你推荐
-
地图应用哪个手机定位软件最好用?access数据库ACCESS数据库和SQL有什么区别?陈嘉垣反黑阿欣是谁演的 扮演者介绍www.haole012.com阜阳有什么好的正规的招聘网站?lcoc.toptop weenie 是什么?555sss.comms真的是500万像素?铂金血痕手上出现这种血痕是什么情况。有谁知道能告诉下吗? 怎么治疗!ww.43994399小游戏立即打开玩www.28.cn北京吉信通公司是真是假的公司呢鲁伽欣打什么工啊 ? 大家一起卖猪肉吧