文档介绍:SANGFOR AC&SG 单点登录功能培训培训内容单点登录功能介绍单点登录功能实现方式培训目标 AC/SG 设备支持的单点登录方式 POP3 单点登录方式的部署和配置单点登录功能介绍单点登录功能实现方式深信服公司简介单点登录功能配置举例练练手 SANGFOR AC/SG 单点登录功能介绍什么是单点登录功能: 当用户成功登录到第三方认证服务器时,自动通过 AC/SG 设备的认证,而无需再次输入用户名和密码。单点登录功能的优点: 用户只需要输入一次账号和密码,即可自动通过 AC/SG 设备的认证,避免账号和密码的重复输入,降低密码泄露的风险。 AC/SG 设备支持的单点登录认证 AC/SG 设备支持的单点登录认证 LDAP 单点登录 POP3 单点登录 PROXY 单点登录 WEB 单点登录第三方设备单点登录数据库单点登录 PPPOE 单点登录兼容 Kerberos 的认证方式 ISA 控件普通账号密码认证方式锐捷 Sam 系统 H3C cams 系统支持 HTTP 单点登录的接口(如城市热点等) ( Oracle 、 MS SQL 、 DB2 、 MYSQL ) 单点登录功能实现方式 AD 域单点登录组件模式: 通过在域控上添加登录和注销脚本来实现。当 PC 登录到域时,会从域上下发登录脚本,执行成功后, PC 上报 AC/SG 认证成功的信息,从而通过 AC/SG 的认证。同样,当 PC 从域上注销时会运行注销脚本,同时发注销信息给 AC/SG 设备,从而在 AC/SG 上注销原来的在线用户。①②③ AD 域安装登录和注销脚本 PC 只有微软 AD 的域单点登录才有组件模式。单点登录功能实现方式 AD 域单点登录免插件模式:在内网的一台电脑上安装单点登录客户端程序,通过单点登录客户端程序定时从域服务器上获取 PC 登录域成功的状态,并将获取的信息上报 AC/SG 设备来实现认证。单点登录客户端也可以访问 PC ,检查 PC 是否从域注销, 并将注销的信息发给 AC/SG 设备来实现同步注销用户。 PC SERVER 安装单点登录客户端程序 AD 域①②③只有微软 AD 的域单点登录才有免插件模式。单点登录功能实现方式监听方式: 即 PC 提交账号和密码到外部认证服务器校验的时候,认证数据被 AC/SG 设备监听。如果认证成功, AC/SG 设备把该用户加入到在线用户列表从而通过 AC/SG 的认证。 LDAP 监听方式的单点登录和 POP3 单点登录, PROXY 普通账号密码的单点登录, WEB 单点登录均属于这种情况。① SERVE R ②单点登录功能实现方式第三方设备锐捷 sam 系统: 锐捷 sam 系统是一套宽带网认证计费管理系统,每认证/注销一个用户,会在数据库相应表中作一次 insert/delete 操作。通过在数据库中生成触发器, 当指定表的指定字段有 insert/delete/update 时,触发器利用 xp_cmdshell 执行 程序通知 AC/SG 设备,实现单点登录和注销。认证服务器数据库服务器 e ①②③单点登录功能实现方式 H3C cams 系统: H3C cams 系统本身提供了二次开发接口,供其他厂商合作。 AC/SG 设备按照 H3C cams 提供的接口和它结合,定时从 cams 系统中获取用户信息(在线用户/用户组织结构),并更新设备自己的在线用户列表/用户列表,以达到单点登录的效果。认证服务器