深信服SSL对接LDAP服务器外部认证并实现单点登录及注意事项

一、环境准备：

VPN设备：

1.    必须是超级管理员在操作

2.    与LDAP服务器网络和端口能通信

LDAP服务器 :

1.    组织结构要清晰有条序，便于维护

2.    保证链接地址，管理员密码，搜索根路径等参数正确无误

二、对接LDAP外部认证服务器

1.“SSLVPN设置”—“认证设置”—“主要认证”中的LDAP认证点击设置

2.添加LDAP服务器，填写相对应的参数

注释：

a.     LDAP服务器的IP地址和端口，端口默认389，根据实际情况调整

b.     LDAP服务器的管理员账号，不一定是超级管理员，拥有足够的读权限即可。一般有两种格式administrator@sfxu.com或者cn=Manager,dc=ca,dc=gxtc,dc=edu,dc=cn

c.      确保需要进行认证的用户在组织结构里，如OU，不然会认证失败，直接填写路径或者可以在搜索入口点击选择

3.    因为客户是OPENLDAP类型的第三方服务器，所以服务器类型选择LDAP Server

4.其他属性无特殊需求则保持默认，不用设置组映射和角色映射，但要注意一点，LDAP服务器上的用户都是自动映射到默认用户组，享有默认用户组所拥有的资源和角色权限

       5. 【注意】以上所有配置配置完成后，注意保存，并点击右上角的立即生效。

三.经验排错

1.过程描述：

之前我填写参数的时候，按照客户给的参数原原本本地填了上去发现用户登录VPN时提示用户名密码错误，但用同样账号密码登录内网资源是正常的，联系400抓包发现两端的MD5加密方式不一样，最后确定需要打定制包才能满足此需求。后面技术专家来帮我处理发现应该不用定制即可满足，是搜索入口的格式写得不对，把范围限制的太小了，所以无法搜索到用户，也无法完成认证。把搜索范围定义为全部根组即可!

2.测试验证

a．登录VPN失败

b．在内网登录资源用相同账户能正常登录

c． 抓包数据流对比

      d． 调整配置

      e．  LDAP服务器里面的组织结构

      f． 调整后的效果

四．单点登录

SSL VPN的单点登录主要分为两类：            

i.   自动填表：用户在登录SSL控制台以后，需要借助单点登录助手在WEB页面或应用程序登录页面录制单点登录；自动填表的单点登录功能支持所有WEB应用，TCP应用 ，L3VPN和远程应用的所有B/S和C/S应用。            

ii.   自动构建参数：用户在录制SSL单点登录的时候，不使用单点登录助手，而是手动填写相应单点登录各个参数信息；自动构建参数的单点登录方式只支持WEB应用，TCP应用，和L3VPN的HTTP，HTTPS应用。

1.     配置思路

2.     配置截图

a.  查看是否有单点登录序列号授权

b.  新建TCP应用资源，勾选单点登录，登录方法为“自动填表”

c.  下载单点登录录制助手和配置文件安装

d.  上传录制好的文件到设备，记住先“保存”再点击右上方的“立即生效”

e.  编辑角色，用户和资源三者相关联起来

f.  测试用户登录vpn，直接点击内网资源即可完成自动登录

3．注意事项

1.在录制的过程中，放大镜一定要对准用户名和密码框，如果录制完成后发现无法提交用户名密码，尝试多录制几次，可能是没有对准

2.在录制完成后，点击资源发现用户名密码已经填上了，但是没有自动登录，此时需要检查两点

A ：登录按钮是否录制错误，尝试重新录制登录按钮

B ：检查一下是否勾选了自动提交，没有勾选则勾选上保持单点登录配置文件重新上传

3.录制完成，打开资源发现显示的用户名密码不是想要的但却又不能修改，检查以下两点

A ：设备控制台单点登录处是否勾选了允许修改用户名密码

B ：在录制单点登录时用户名密码是否选择的指定值，如果是指定值则无法修改

4.需要录制的界面有验证码，无论如何录制都不行由于验证码是随机变化的，所以无法做到自动提交，有验证码的页面最多可以做到提交用户名密码，无法自动提交

深信服SSL对接LDAP服务器外部认证并实现单点登录及注意事项.pdf