SANGFOR AC配置AD域单点登录（一）----AC侧配置

一.需求

1. AD域单点登录适用于客户内网已有AD域统一管理内网用户，部署AC后，希望AC和AD域结合实现平滑认证。即终端PC开机通过域帐号登录AD域后自动通过AC认证上网，无需再次人为通过AC认证，对终端用户透明。
  2. 希望以域用户的身份实名上网，实名记录用户上网日志。

二、前期准备

1.Logon：单点登录上线脚本

Logoff：单点登录下线脚本

Gpmc.msc：windows 2008 server 打开域组策略命令

Gpupate.exe /force：刷新组策略命令，更改组策略后，需执行此命令使更改立即生效

Rsop.msc：加入域的PC上执行，可以通过此命令查看PC是否获取到域组策略

Gpresult.exe：加入域的PC上报告 ，可以通过此命令查看PC是否获取到域的组策略

2.1） 需要确保内网测试电脑已成功登录域，且和AC通信正常（与AC udp 1773，udp 1775端口通信正常）

2）准备好单点登录脚本并上传到AD域 上，脚本可从设备上下载并解压，如下图

   

三.预期效果

单点登录认证及注销正常，应该有如下效果
  1.用户开机登录域，自动通过AC认证，打开网页无法再次认证，且在线用户管理可以看到测试PC以域用户上线。
  2.PC上网，查看数据中心日志记录用户名为域用户。
  3.域用户从域中注销时，同时也从AC下线，即设备在线用户管理看不到测试机在线。

四.AC上配置

1.新建LDAP服务器

可以通过此功能测试域帐号的有效及修改域帐号的密码

“新增外部认证服务器”页面，有“同步配置”和“高级选项”两个页面，AD域及sun域默认只配置“基本配置”即可，“同步配置”和“高级选项”保持默认，其它域按常规配置无法读取到域结构时，可以通过调整“同步配置”参数。
  建好域服务器，域组织结构会自动同步至设备后台，默认1个小时触发一次自动同步，如果域中用户或OU结构变化，变化后的结构需要立即同步至设备，则点击下图的“立即同步所有LDAP”按钮

2.新建单点登录认证策略

当用户对认证失败比较敏感，即使认证失败了，也不希望内网用户上网需要密码认证，则选择“不需要认证，自动上线”，如果单点登录失败，则不需要认证上线，对终端用户完全透明；
  当用户对认证要求严格，即用户产生的所有上网日志必须要准确记录到具体域用户上，则选择“密码认证”，如果单点登录失败，则采用用户名密码认证；
  当用户对认证要求严格，即用户产生的所有上网日志必须要准确记录到具体域用户上，也可以选择“跳转到”提示页面，如选择“跳转到内置提示页面”，则单点登录不成功的用户打开网页重定至如下图页面，从图中链接下载“身份认证工具（logon）”双击进行手动认证。

3.配置单点登录
  如下图，启用单点登录，并配置共享密钥，此密钥和后面介绍的AD上配置logon脚本时的密钥要保持一致。