一、组网需求

1、网关设备作为出口

2、内网PC通过AD域帐号登录，PC最低版本要求windows xp，AD域控制器最低版本windows server 2008。

3、PC与AD控制器之间，AD域控制器与网关之间路由可达

 

二、组网拓扑

 

三、配置要点

1、网关上配置“本地服务器认证”认证方式为SSO

2、SSO配置开启“脚本方式“

3、AD域控制器上部署SSO登录注销脚本

注：需要事先配好基本的网络配置，比如路由，DNS，NAT等。

四、配置步骤

1、网关上配置”本地服务器认证”为SSO

1）选择“本地服务器认证”，添加LDAP服务器，配置LDAP服务器。LDAP服务器即AD域控制器。

①必埴字段解释：服务器名称：服务器标识，可以取一个好记的名字

②服务器IP地址：即AD域控制器的IP地址

③管理员名称：即AD域控制器的管理员帐号和AD域名，可以向网管咨询。帐号名一般是administrator，域名需要在AD域控制器上查看。可以在AD域控制器上通过dsquery users命令看下，如下图：

①管理员密码：即管理员帐号对应的密码

②搜索入口：指定从哪个层次搜索帐号。如上图，如果要从根目录开始搜索，则填”dc=tony.dc=cc”；如果要从根目录下的组织架构搜索，例如这里只搜索gateway部门的，则可以填”ou=gateway,dc=tony,dc=cc”(注：不区分大小写)

③用户属性：可以用默认字段

④用户唯一属性：可以用默认字段

⑤配置完成之后，可以检查配置“连通性”，如果一切配置正确，会提示“服务器连通性”成功。

点击“用户同步”，等同步完点击“确认”保存配置。

2) 配置认证策略为SSO

必填字段解释：

       策略名称：取一个易记的名字

       策略选择：选“单点登录”

       IP范围：需要进行SSO的IP地址，不填的默认为全部IP地址

注：对于SSO失败的用户，默认是执行下一条认证策略，如果希望SSO失败的用户走别的认证方式或不可上网，需要再配置一条相应的策略。

3) 配置开启“单点登录”

点击“启用域单点登录”，勾选“通过域自动下发”。共享密钥可以选用默认，也可以修改(注意：修改之后需要在“登录注销”脚本上也要修改)。点击“下载域单点登录”，把“登录注销脚本”下载到本地保存配置，下载文件名为” slogintools.zip”。

 

2、在AD域服务器上部署“登录注销”脚本。

1）修改“登录注销”脚本的配置文件

解压slogintools.zip，可看到里头有三个文件。

IPconf.txt：即脚本配置文件

logon.exe：即登录脚本

logout.exe：即注销脚本

编辑IPconf.txt文件，各字段解释如下：

ACMax：最大支持的网关个数

ACount：当前配置的网关个数

Host：网关的IP地址。该地址后面作为PC与网关通讯的IP地址，需要保证PC能访问到该IP地址。

PortTCP：网关上的监听端口，需要和网关上配置的相同。默认为11773，一般不需要修改。

shareKey：共享密钥，需要和网关上配置的相同。默认为ruijie123，一般不需要修改。

如果有多台网关出口，则需要按模板配置分别配置每台网关的参数。

2）部署到AD域控制器上

新建组策略并配置logon 登录脚本，以实现用户开机登录域时，自动通过AC 认证AD 域服务器“运行”输入gpmc.msc，打开组策略编辑器，如下图

右建需要测试单点登录的OU，并选择“在这个域中创建GPO 并在此处链接”，如下图，新建名称为“脚本单点登录”的组策略

右键选中新建的单点登录组策略“脚本单点登录”，并编辑，如下图

将logon及配置文件IPconf.txt放进去

之后点击添加，将脚本加入，显示如上图所示。至此，脚本配置完毕，后期注销脚本与上述步骤类似。

为了使用更改的组策略立即生效，需要刷新组策略，刷新组策略命令为gpupdate.exe /force，如下图

 

五、配置验证

1、PC采用域帐号开机，可以看到直接上网，不需要认证，查看PC后台有logon脚本在运行

2、在网关可看到在线用户上线。

3. 用户注销时可以在网关看到用户下线