AD域单点登录应用背景
AD域单点登录功能适用于客户内网已有一台域控制器做桌面管理,部署UAC设备后,希望实现PC
端登录域后即可上网,无需通过UAC 再次认证,并且UAC 设备上用户的行为记录和域用户名对应。
AD 域单点登录,需要在AD Server 配置ad_login.exe、ad_logoff.exe脚本,用户在登录域或者从域注销时会运行对应的脚本,并将获取的信息上报UAC。过程如下:
1.PC 请求登录域
2.域认证成功后,AD域下发ad_login.exe脚本给PC,同时在PC
执行ad_login.exe脚本,上报成功登录域的信息给UAC
3.PC 注销域登录,AD域下发ad_logoff.exe脚本给PC,在PC端执行ad_logoff.exe脚本,上报注销域的信息给UAC
说明:该手册只针对2008 AD Server“域控制器策略派发模式”有效
一、组网需求
公司有一台UAC 使用网桥模式,公司内网PC 都是AC域认证,结合UAC 实现 AD 域单点登录,并且UAC
设备上用户的行为记录和域用户名对应。
二、组网拓扑
三、配置要点
步骤1:AD 账号导入UAC 组织结构
步骤2:设定AD域服务器参数
步骤3:设定AD域认证策略
步骤4:启用AD SSO单点登录
步骤5:配置AD域服务器登入登出脚本(参考<典型功能-用户/认证管理>AD单点登录>AD
Server设置>)
步骤6:配置客户端 IP 等信息,验证AD 单点登录效果
步骤7:保存配置
四、配置步骤
1.AD账号导入UAC组织结构
详细参数参考<常见问题-AD域认证-AD域账号导入>
进入组织结构>LDAP/AD 导入,新增,本案例导入整个域用户/用户组。
参数设定完毕,点击导入
导入完成,弹出成功提示
进入组织管理>组织结构,查看导入用户/用户组,
为安全组
2.设定AD域服务器相关参数
参数配置前,进入行为管理>认证服务器>服务器测试,选择LDAP服务器
IP
地址:AD 服务器 IP 地址。
AD 域名:域控制器域名,例如 abc.com。
查找用户DN:AD 服务器中的用户认证是基于用户 DN 完成的,为了完成认证用户名到 AD域 用户 DN 的转换,需要根据用户输入的用户名在
AD 服务器中执行查找操作。例如,域名=abc.com,用户组为 software,用户名为 searcher,则查找用户 DN 的格式为
cn=searcher,cn=software,dc=abc,dc=com。如果不知道用户的 DN,可以在 AD 服务器的 Doc 界面执行 dsquery
user 命令,即可显示 AD 服务器中用户的 DN。
UAC 可以直接填写AD域某用户名
查找用户名密码:查找用户在 AD 服务器中的密码。具体参数见下面说明
点击服务器测试,参数正确,会弹出本次认证成功提示,如此可以按照上述参数配置AD服务器相关设定。
进入行为管理>认证服务器>AD服务器,新增,
3.设定AD域认证策略
进入行为管理>认证策略,新增,认证方式选择需要认证>密码认证,首选认证服务器选择AD-ADServer,其他参数根据需要作出调整。
4.启用AD SSO单点登录
启用AD
SSO:域脚本方式 ,域服务器选择不设定
5:配置AD域服务器登入登出脚本(参考<典型功能-用户/认证管理>AD单点登录>AD Server设置>)
6.配置客户端 IP 等信息,PC加入AD域,验证AD 单点登录效果
PC
DNS指向AD 域
计算机-右键-属性
点击更改设置,加入AD
域
选择域,填写AD
域名,参数设定完毕,点击确定。
提示windows安全提示,属于AD域
管理员用户名+密码,点击确定。
PC 起来,切换账号登陆
使用AD用户aaa/123456登陆
登入后,访问http://www.baidu.com
查看PC 任务管理器
进入实时监控>在线用户,查看上线用户
7.保存配置
WebUI 右上角,点击"保存配置",并确定,重启后配置仍可生效
8.PC 登出测试,aaa用户已经下线,在线用户列表里面没有该用户
PS:其他说明
这种带S标记的都属于AD域安全组
安全组:简单的看,一个用户只能隶属于一个非安全组;一个用户可以隶属于多个安全组,比如某人属于多个部门的情况,这个时候会用安全组来实现。
如果希望查看某个安全组下面有那些成员,点击该组名:
该组所属成员
