一.需求

1. AD域单点登录适用于客户内网已有AD域统一管理内网用户,部署AC后,希望AC和AD域结合实现平滑认证。即终端PC开机通过域帐号登录AD域后自动通过AC认证上网,无需再次人为通过AC认证,对终端用户透明。
  2. 希望以域用户的身份实名上网,实名记录用户上网日志。

二、前期准备

1.Logon:单点登录上线脚本

Logoff:单点登录下线脚本

Gpmc.msc:windows 2008 server 打开域组策略命令

Gpupate.exe /force:刷新组策略命令,更改组策略后,需执行此命令使更改立即生效

Rsop.msc:加入域的PC上执行,可以通过此命令查看PC是否获取到域组策略

Gpresult.exe:加入域的PC上报告 ,可以通过此命令查看PC是否获取到域的组策略

2.1) 需要确保内网测试电脑已成功登录域,且和AC通信正常(与AC udp 1773,udp 1775端口通信正常)

2)准备好单点登录脚本并上传到AD域 上,脚本可从设备上下载并解压,如下图

   

三.预期效果

单点登录认证及注销正常,应该有如下效果
  1.用户开机登录域,自动通过AC认证,打开网页无法再次认证,且在线用户管理可以看到测试PC以域用户上线。
  2.PC上网,查看数据中心日志记录用户名为域用户。
  3.域用户从域中注销时,同时也从AC下线,即设备在线用户管理看不到测试机在线。

四.AC上配置

1.新建LDAP服务器

可以通过此功能测试域帐号的有效及修改域帐号的密码

“新增外部认证服务器”页面,有“同步配置”和“高级选项”两个页面,AD域及sun域默认只配置“基本配置”即可,“同步配置”和“高级选项”保持默认,其它域按常规配置无法读取到域结构时,可以通过调整“同步配置”参数。
  建好域服务器,域组织结构会自动同步至设备后台,默认1个小时触发一次自动同步,如果域中用户或OU结构变化,变化后的结构需要立即同步至设备,则点击下图的“立即同步所有LDAP”按钮

2.新建单点登录认证策略

当用户对认证失败比较敏感,即使认证失败了,也不希望内网用户上网需要密码认证,则选择“不需要认证,自动上线”,如果单点登录失败,则不需要认证上线,对终端用户完全透明;
  当用户对认证要求严格,即用户产生的所有上网日志必须要准确记录到具体域用户上,则选择“密码认证”,如果单点登录失败,则采用用户名密码认证;
  当用户对认证要求严格,即用户产生的所有上网日志必须要准确记录到具体域用户上,也可以选择“跳转到”提示页面,如选择“跳转到内置提示页面”,则单点登录不成功的用户打开网页重定至如下图页面,从图中链接下载“身份认证工具(logon)”双击进行手动认证。

3.配置单点登录
  如下图,启用单点登录,并配置共享密钥,此密钥和后面介绍的AD上配置logon脚本时的密钥要保持一致。

SANGFOR AC配置AD域单点登录(一)----AC侧配置的更多相关文章

  1. SANGFOR AC配置AD域单点登录(二)----AD域侧配置及单点登录认证、注销测试

    1.AD域侧配置 1)新建组策略并配置logon登录脚本,以实现用户开机登录域时,自动通过AC认证  AD域服务器"运行"输入gpmc.msc,打开组策略编辑器,如下图. 右建需要 ...

  2. asp.net 真正实现完全跨域单点登录

    单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一.SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统. asp.ne ...

  3. Jenkins配置AD域认证

    Jenkins配置AD域认证 #检测域控地址ping youad.com指向的IP #如果不是实际域控ip地址,则修改hosts vi /etc/hosts #192.168.100.100替换为实际 ...

  4. Asp.Net Core基于Cookie实现同域单点登录(SSO)

    在同一个域名下有很多子系统 如:a.giant.com  b.giant.com   c.giant.com等 但是这些系统都是giant.com这个子域. 这样的情况就可以在不引用其它框架的情况下, ...

  5. [转]asp.net 跨域单点登录

    本文转自:http://tech.e800.com.cn/articles/2009/814/1250212319986_1.html 单点登录(Single Sign On),简称为 SSO,是目前 ...

  6. 使用Cookie实现跨域单点登录的原理

    对于构建分布式系统来说业务功能的物理部署会随着新业务模块的增加而增加或改变物理部署的位置.而每个用户都有统一的帐号作为我们登录系统时的一个认证.当新业务或子系统部署在不同的物理机上,我们去访问不同的业 ...

  7. Cookie同域,跨域单点登录(转)

    Cookie 同域单点登录 最近在做一个单点登录的系统整合项目,之前我们使用控件实现单点登录(以后可以介绍一下).但现在为了满足客户需求,在不使用控件情况下实现单点登录,先来介绍一下单点登录. 单点登 ...

  8. Cookie同域,跨域单点登录

    Cookie 同域单点登录 最近在做一个单点登录的系统整合项目,之前我们使用控件实现单点登录(以后可以介绍一下).但现在为了满足客户需求,在不使用控件情况下实现单点登录,先来介绍一下单点登录. 单点登 ...

  9. JAVA实现同域单点登录

    所用技术: SSM MySQL Maven Tomcat8.0 同域单点登录详细步骤如下: 1.首先写一个登录界面(隐藏域为暂存地址) 2.判断用户密码是否正确,正确则添加cookie,否则返回错误页 ...

随机推荐

  1. 简单4步,利用Prometheus Operator实现自定义指标监控

    本文来自Rancher Labs 在过去的文章中,我们花了相当大的篇幅来聊关于监控的话题.这是因为当你正在管理Kubernetes集群时,一切都会以极快的速度发生变化.因此有一个工具来监控集群的健康状 ...

  2. idea或者java远程提交spark任务到yarn,Exception1

    spark通過idea远程提交job到yarn: Caused by: java.lang.ClassCastException: cannot assign instance of scala.co ...

  3. Command3

    压缩和解压 gzip gunzip .gz 指定文件必须带后缀 gzip file filename.gz zip unzip .zip unzip filename.zip directory zi ...

  4. 如何优雅的传递 stl 容器作为函数参数来实现元素插入和遍历?

    问题背景 开始正文之前,做一些背景铺垫,方便读者了解我的工程需求.我的项目是一个客户端消息分发中心,在连接上消息后台后,后台会不定时的给我推送一些消息,我再将它们转发给本机的其它桌面产品去做显示.后台 ...

  5. C语言的类型大小

    C语言的类型大小 设计程序的时候我们一般会考虑的尽量的周全,尤其是像C这样的静态类型语言. 有一些溢出的问题就源于没有搞清楚变量的大小范围,所以我们编写的时候需要特别注意 C的整形(整数类型)大小 C ...

  6. C#处理医学图像(二):基于Hessian矩阵的医学图像增强与窗宽窗位

    根据本系列教程文章上一篇说到,在完成C++和Opencv对Hessian矩阵滤波算法的实现和封装后, 再由C#调用C++ 的DLL,(参考:C#处理医学图像(一):基于Hessian矩阵的血管肺纹理骨 ...

  7. 【MySQL】ERROR 1820 (HY000): You must reset your password using ALTER USER statement before executing

    今天上午遇到了一个问题,新创建的mysql5.7的数据库,由于初始化有点问题,没有给root密码,用了免密码登录. 但是,修改了root密码之后,把配置中的免密登录的配置注释掉后,重启服务.服务正常启 ...

  8. 【Oracle】更改oracle中的用户名称

    修改oracle中的用户名,要需要修改oracle基表中的相关内容, 1.查看user#, select user#,name from user$ s where s.name='用户修改前的'; ...

  9. 【七天搞定Python】day01.Python环境配置、pip、IDE、注释、变量,数据类型、标识符/关键字、输出、输入

    什么是Python? 动态解释型语言,1982年由荷兰人Guido von Rossum发明. 更多细节可以google,这里不做展开. Python解释器: CPython(官方版本C语言实现) I ...

  10. 本地jar添加到本地仓库 本地jar依赖无效问题

    最近工作发生了一个很奇怪的事情,我在本地写了一个项目,打包成jar,然后敲命令mvn install:install-file -DgroupId=com.yzwine -DartifactId=yz ...