- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
25-單點登錄
本章節下載: 25-單點登錄 (2.36 MB)
單點登錄全稱Single Sign On(以下簡稱SSO),是指在多係統應用群中登錄一個係統,便可在其它係統中得到授權而無需再次登錄,包括單點登錄與單點注銷兩部分。
AD域單點登錄功能是指用戶通過登錄AD域服務器,實現windows 登錄和上網的賬號認證。當用戶通過域賬號登錄到某個AD 域後,不需要再輸入賬號密碼,自動通過設備的上網認證,實現單點登錄功能。
· AD域服務器配置組策略,加載sso_setup.exe腳本(登錄腳本),當用戶以域賬號正常登錄AD域服務器時,獲取到相應組策略,執行sso_setup.exe腳本向網關發送認證登錄報文;當域用戶從域中注銷時,執行sso_setup.exe腳本向網關發送注銷報文,AD域服務器首次配置完成後,整個認證登錄、注銷過程都不需要用戶參與。
· 網關監聽指定的udp端口,接收域用戶通過登錄腳本發送的域用戶單點登錄信息。
· 登錄報文加密傳輸,且可防止回放攻擊。
· 網關設備收到登錄報文後,對報文信息進行校驗,校驗通過後對用戶執行登錄操作,若收到退出報文,則對用戶執行注銷操作。
單點登錄配置、登錄流程如下:
(1) 域管理員配置AD域服務器,加載用戶上下線時需執行的腳本程序。
(2) 網關開啟單點登錄功能,配置通信密鑰,配置單點登錄認證策略。
(3) 域用戶成功登錄域服務器,執行登錄腳本,向網關發送認證消息。
(4) 網關收到認證報文後,自動完成用戶上網認證;收到注銷報文,自動完成用戶注銷。
在導航欄中選擇“用戶管理 > 認證管理 > 認證方式 > 單點登錄”,進入單點登錄全局參數配置頁麵,如圖1-1所示
單點登錄全局配置參數詳細說明,如表1-1所示
|
標題 |
說明 |
|
啟用 |
單點登錄啟用或禁用,默認未啟用。 |
|
單點登錄程序 |
單點登錄程序用於AD域服務器配置登錄腳本,包括sso_setup.exe和ssoserver_setup.exe兩個應用程序; sso_setup.exe應用程序:主要在域PC登錄時通過AD域服務器下發自動安裝,安裝成功之後給設備發送指定的上下線報文的信息。 ssoserver_setup.exe應用程序:ssoserver為一個下載單點登錄程序安裝包的http/https服務器,此程序可根據實際需要安裝,當域PC與AD域服務器通信出現異常無法通過域服務器自動安裝sso_setup.exe程序時,可以安裝ssoserver_setup.exe程序,將sso_setup.exe程序放到ssoserver程序安裝的目錄下,並在ssoserver安裝目錄下配置好對應的sso.ini文件,域PC通過訪問http://www.sso.pub:880/sso_setup.exe下載程序手動安裝,程序手動安裝之後會通過8443端口自動到ssoserver上獲取sso.ini文件裏的配置信息。 |
|
會話密鑰 |
網關配置密鑰,與AD域服務器上腳本參數或者sso.ini文件裏密鑰配置保持一致,長度為1-31個字符,不允許輸入字符<>+\^"?和空格。 |
單擊“下載域單點登錄程序”下載單點登錄腳本文件,下載完成後的壓縮包內文件如圖1-2所示。
在導航欄中選擇“用戶管理 > 認證管理 > 認證策略”,進入認證策略顯示頁麵,單擊“新建”按鈕,進入認證策略配置頁麵,如圖1-3所示,認證方式選擇單點登錄。
單點登錄用戶策略配置參數說明,如表1-2所示。
|
參數 |
說明 |
|
源接口 |
單點登錄用戶的接口。 |
|
源地址 |
單點登錄用戶的IP範圍。 |
|
認證方式 |
可以選擇多種認證方式,如圖可配置單點登錄認證策略,當用戶認證失敗時,以下兩種處理方案供用戶選擇: 不需要認證,用戶直接上線。 跳過當前這條認證策略,匹配後麵的策略。 |
|
時間 |
認證策略時間對象,時間對象有效期內策略生效,時間對象無效的時候認證策略為禁用狀態。 |
|
用戶錄入 |
默認不選擇用戶組,第三方用戶認證成功後不錄入用戶;選擇用戶組後,第三方用戶認證成功後錄入指定的用戶組。 |
|
用戶有效時間 |
用戶有效期指的是第三方用戶錄入方式: · 永久錄入:第三方用戶認證成功後錄入指定組,永久有效。 · 有效期至:第三方用戶認證成功後錄入指定組,設備運行時間到配置的時間當天23:59後,錄入的用戶狀態變為不啟用,認證策略也變為不啟用。 臨時錄入:第三方用戶認證成功後錄入指定組,用戶注銷下線後,錄入的用戶組裏用戶自動刪除。 |
進入組策略:以windows 2008 server為例,登錄到AD域服務器,“運行”中輸入gpmc.msc。
選擇“Default Domian Policy > 用戶配置 > 腳本(登錄)”, 如圖1-4所示。
雙擊“登錄”選項,選擇“顯示文件”,將下載的sso_setup.exe文件拷貝到此目錄。
返回“登錄”屬性窗口,單擊“添加”,在彈出的窗口中設置腳本名以及腳本參數,腳本參數有以下兩種配置方式。
以“/S Value1 Value 2 Value 3”的形式包含四個參數,參數間以空格隔開,四個參數缺一不可,其中:
· /S:代表程序靜默安裝(即自動安裝),必須大寫;
· Value 1:代表內網用戶可訪問到的設備網口IP;
· Value 2:代表設備監聽端口(固定為6622,不可改變);
· Value 3:代表通信密鑰(必須同設備側單點登錄全局參數設置的密鑰統一)。
圖1-7 配置腳本(4個參數)
以“/S Title1=value1 Title 2=value2 …… Title15=value15”的形式包含多個參數,參數間以空格隔開,且參數的Title部分建議都大寫。
目前支持的參數有如下項:
· /S:表示靜默安裝單點登錄程序;
· IP=192.168.1.1 :代表設備地址;
· PORT=6622 :代表設備監聽端口;
· KEY=admin.123 :代表域PC與設備之間的通信密鑰,與設備端配置需要保持一致;
· HB=1:代表心跳開關,默認開啟,0表示關閉;
· HBI=30 :代表心跳時間間隔,默認30,單位秒,範圍30-600之間的正整數;
· UDI=30 :代表配置更新時間間隔以及配置更新開關,不配置表示關閉,配置表示打開,默認30,單位秒,範圍30-600之間的正整數。
更新組策略,為了使用更改的組策略立即生效,需要刷新組策略,刷新組策略命令為gpupdate.exe
刷新組策略後,域用戶重新上線,即可生效。
當域PC加入AD域服務器後,如果與服務器通信異常時,無法通過AD域腳本參數推送單點登錄程序自動安裝,則需要通過其他方式下載單點登錄程序客戶端到域PC上安裝。
· 方法一:可以直接通過設備上下載單點登錄程序(但此項僅管理員有操作權限,普通用戶無登錄設備權限,普通用戶隻能通過管理員提供的單點登錄程序安裝)在域PC上安裝,域PC上安裝之後還需要將加密的配置文件(sso.ini)拷貝到sso_setup.exe程序安裝的目錄下,用戶才可上線;
· 方法二:安裝ssoserver_setup.exe程序,此程序安裝之後擁有http和https方式下載服務,將sso_setup.exe程序放到ssoserver_setup.exe安裝目錄下,並在安裝目錄下配置好對應的sso.ini文件,域PC通過http://www.sso.pub:880/sso_setup.exe下載登錄腳本程序手動安裝,安裝完之後域PC會通過https的8443端口自動到ssoserver上獲取sso.ini文件。
(1) 雙擊ssoserver_setup.exe程序,安裝前建議先將360安全軟件退出再安裝(原因是安裝程序會設置開啟自啟動360安全軟件會誤阻斷導致程序無法啟動),點擊安裝,默認點擊下一步。
圖1-9 ssoserver程序安裝
(2) 點擊下一步,安裝目錄默認C盤(“C:\Users\Administrator\AppData\Roaming\sso_server”),也可指定到其他安裝目錄,此處需要記錄一下對應的安裝目錄,便於安裝完之後配置sso.ini文件和存放sso_setup.exe程序需要到此安裝目錄。
圖1-10 ssoserver程序安裝目錄
(3) 點擊安裝,安裝完成之後默認勾選“運行sso_server”和“開啟自啟動”,此選項不用修改,如果取消勾選,則程序不會自動運行,需要到安裝目錄去手動啟用。點擊“完成”安裝,ssoserver安裝完成。
圖1-11 ssoserver程序安裝完成
(4) 安裝完成後可以在任務管理器裏查看到serve.exe進程,表示ssoserver程序已運行。
圖1-12 任務管理查看ssoserver程序進程
(5) 進入到ssoserver安裝目錄下(“C:\Users\Administrator\AppData\Roaming\sso_server”),將sso_setup.exe拷貝到如下目錄。
圖1-13 sso_setup.exe程序拷貝到ssoserver程序安裝目錄
(6) 在該目錄下雙擊打開sso.ini文件,修改配置文件裏的GWIP(設備的IP地址)和SessionKey(與設備單點登錄會話密鑰配置一致)信息,其他參數不用修改,並保存。
圖1-14 修改ssoserver安裝目錄下sso.ini文件
表1-3 sso.ini配置文件參數說明
|
參數 |
說明 |
|
EnableHeartBeat |
是否啟動心跳功能(0:關閉 , 1:開啟),默認為1開啟狀態 |
|
UpdateInterval |
配置更新時間間隔,單位秒,默認30s,範圍是30-600之間的正整數 |
|
HeartBeatInterval |
發送心跳的時間間隔(正整數,範圍[30, 600],默認值:30) |
|
GWIP |
網關的IP |
|
SessionKey |
會話密鑰(大小寫敏感、支持特殊字符,最長32個字符) |
|
Port |
端口號(6622,不能改變) |
Ssoserver安裝目錄下還有一個config.ini文件,此文件用來更新sso_setup.exe程序。
圖1-15 ssoserver安裝目錄下config.ini文件
表1-4 config.ini配置文件參數說明
|
參數 |
說明 |
|
VER |
代表sso_setup.exe的版本號,首次發布版本號為1.0,如果後續sso_setup.exe程序有更新,可以將程序版本號進行修改,並將對應程序放到此目錄下。 |
|
FILE |
sso_setup.exe程序名稱,此名稱不支持修改,修改後下發給客戶端會導致安裝失敗。 |
如果AD服務器有安全軟件或開啟了自帶的防火牆,需要放通TCP的880和8443端口。因為PC使用880端口下載單點登錄程序,單點登錄程序安裝後通過8443端口獲取sso.ini文件中的配置參數。
ssoserver_setup.exe程序安裝完之後,還需要配置DNS域名信息,具體配置如下:
(1) AD域服務器“開始菜單>管理工具>DNS”,打開DNS管理頁麵。
圖1-16 DNS管理頁麵
(2) 在“正向查找區域”點右鍵,選擇“新建區域”打開新建區域向導。
圖1-17 右擊新建區域
(3) 新建區域向導,點擊“下一步”。
圖1-18 新建區域向導
(4) 區域類型選擇主要區域,點擊“下一步”。
圖1-19 區域類型
(5) Active Directory區域傳送作用域,點擊“下一步”。
圖1-20 區域傳送作用域
(6) 區域名稱配置為“www.sso.pub”,點擊“下一步”。
圖1-21 區域名稱配置
(7) 動態更新選擇“不允許動態更新”,點擊“下一步”。
圖1-22 動態更新
正在完成新建區域向導,點擊“完成”。
圖1-23 新建區域配置完成
(8) DNS管理界麵展開“正向查找區域>wwww.sso.pub”,在右側空白處點擊右鍵,選擇“新建主機”。
圖1-24 右擊新建主機
(9) 彈出新建主機配置界麵,IP地址配置為“10.1.163.41”即安裝ssoserver這台服務器的IP地址(也就是AD域服務器地址),點擊 “添加主機”。
圖1-25 添加主機地址
點擊“確定”後並點擊“完成”,主機記錄配置完成。
圖1-26 點擊確定
圖1-27 點擊完成
圖1-28 配置完成後查看www.sso.pub主機地址
至此ssoserver_setup.exe所有配置完成。
域pc可通過http://www.sso.pub:880/sso_setup.exe下載單點登錄程序包進行手動安裝,如果無法訪問,請檢查AD域服務器上防火牆是否放通了880和8443端口。
· 單點登錄功能目前僅支持AD域係統,不支持其他係統。
· 支持的AD域服務器有Windows 2003 server、Windows 2008 server、Windows 2012 server、Windows 2016 server、Windows 2019 server。
· 由於sso_setup.exe和ssoserver_setup.exe程序安裝會在係統上添加自啟動項,通過主流安全軟件掃描有可能會被誤阻斷的現象,安裝時需關注此項,如出現誤阻斷需要在殺毒軟件上添加允許程序操作安裝成功,如果ssoserver_setup.exe程序安裝設置允許程序操作時,程序進程還是會被阻斷的情況,導致ssoserver的serve進程被隱藏無法啟動,此時重新安裝也無法啟動serve進程(出現此情況卸載ssoserver程序然後重啟服務器,將360安全軟件退出再重新安裝),最好是將360安全軟件退出安裝程序。
· sso_setup.exe和ssoserver_setup.exe程序下載安裝會受殺毒軟件掃描(目前程序已提交微軟、360殺毒、騰訊管家主流殺毒軟件掃描,但是並不能完全保證殺毒軟件不誤識別的情況),殺毒軟件有可能存在誤識別病毒或木馬的情況,如果存在此情況可先退出殺毒軟件下載或者將軟件添加信任。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
