SANGFOR_AC__v11.0_脚本方式单点登录测试指导书.doc
《SANGFOR_AC__v11.0_脚本方式单点登录测试指导书.doc》由会员分享,可在线阅读,更多相关《SANGFOR_AC__v11.0_脚本方式单点登录测试指导书.doc(27页珍藏版)》请在咨信网上搜索。
1、 测试指导书SANGFOR_AC_v11.0_脚本方式单点登录测试指导书深信服科技有限公司目录1 介绍31.1 总体说明31.2 文档目的31.3 缩写和约定32 需求背景33 实现方式44 测试环境44.1 测试拓扑44.2 测试条件44.3 预期测试效果55 测试过程56 测试效果177 高级用法178 注意事项171 介绍1.1 总体说明完成该文档的过程中,不可删除文档结构,但撰写本文档时,可以自行进行内容和结构的扩展。无内容可写的章节,请保持现有斜体字描述。模板中现有的黑体字、非斜体字务必予以保留。1.2 文档目的 为了方便快速达到功能测试效果,减少现场测试出现问题机率。1.3 缩写和
2、约定AD域:Windows Active DirectoryLogon:单点登录上线脚本Logoff:单点登录下线脚本Gpmc.msc:windows 2008 server 打开域组策略命令Gpupate.exe /force:刷新组策略命令,更改组策略后,需执行此命令使更改立即生效Rsop.msc:加入域的PC上执行,可以通过此命令查看PC是否获取到域组策略Gpresult.exe:加入域的PC上报告 ,可以通过此命令查看PC是否获取到域的组策略Logon及logoff脚本方式单点登录兼容以下操作系统:2 需求背景2.1. AD域单点登录适用于客户内网已有AD域统一管理内网用户,部署AC后
3、,希望AC和AD域结合实现平滑认证(即终端PC开机通过域帐号登录AD域后自动通过AC认证上网,无需再次人为通过AC认证,对终端用户透明)2.2. 希望以域用户的身份实名上网,实名记录用户上网日志。3 实现方式脚本方式单点登录通过在域上配置组策略加载logon脚本(登录脚本)及logff(注销脚本),当域用户登录域时,获取到相应组策略,执行logon脚本向AC认证上线;当域用户从域中注销时,执行logff脚本向AC请求注销下线,整个过程对终端用户透明。PC开机使用域帐号登录AD域PC获取组策略PC执行logon登录脚本向AC发起上线认证4 测试环境4.1 测试拓扑常见的测试环境,设备路由或网桥部
4、署,AD域部署在内网交换机,如下图所示。此文主要以此环境介绍脚本单点的登录的测试方法。脚本单点登录另一种使用场景是员工在总公司与分公司出差,实现平滑认证。具体需求是公司总部和分公司都有一台AC,总公司员工在总部时使用单点登录通过总公司AC上网,当出差到分公司时,仍然使用自己的域帐号登录到总部的域服务器,但上网是通过分公司的AC上网,所以希望出差员工登录到总部域时,也能够通过分支AC单点登录上网。这部分需求在此文档第7章节“高级用法”中介绍。 4.2 测试条件4.2.1. 需要确保内网测试电脑已成功登录域,且和AC通信正常(与AC udp 1773,udp 1775端口通信正常)4.2.2.准备
5、好单点登录脚本并上传到AD域 上,脚本可从设备上下载并解压,如下图4.3 预期测试效果单点登录认证及注销正常,应该有如下效果4.3.1.用户开机登录域,自动通过AC认证,打开网页无法再次认证,且在线用户管理可以看到测试PC以域用户上线。4.3.2.PC上网,查看数据中心日志记录用户名为域用户。4.3.3.域用户从域中注销时,同时也从AC下线,即设备在线用户管理看不到测试机在线。5 测试过程5.1.AC上配置AC上的配置可以分为新建LDAP服务器,新建认证策略及配置单点登录3个步骤,具体如下:5.1.1. 新建LDAP服务器,如下图所示【注意】上图“新增外部认证服务器”页面,有个“测试有效性”,
6、可以通过此功能测试域帐号的有效及修改域帐号的密码,如下图所示上图“新增外部认证服务器”页面,有“同步配置”和“高级选项”两个页面,AD域及sun域默认只配置“基本配置”即可,“同步配置”和“高级选项”保持默认,其它域按常规配置无法读取到域结构时,可以通过调整“同步配置”参数。如果客户的域环境是独立域,添加外部认证服务器时,认证端口填写389;如果是父子域,如父域,子域,等,且外部认证服务器配置的是父域的地址,则端口需要填3268。建好域服务器,域组织结构会自动同步至设备后台,默认1个小时触发一次自动同步,如果域中用户或OU结构变化,变化后的结构需要立即同步至设备,则点击下图的“立即同步所有LD
7、AP”按钮5.1.2. 新建单点登录认证策略,如下图所示【注意】上图“单点登录失败的用户”有三种处理方式,分别为“不需要认证,自动上线”、“密码认证”及“跳转到”,三种处理方式分别对应着三种不同的场景。当用户对认证失败比较敏感,即使认证失败了,也不希望内网用户上网需要密码认证,则选择“不需要认证,自动上线”,如果单点登录失败,则不需要认证上线,对终端用户完全透明;当用户对认证要求严格,即用户产生的所有上网日志必须要准确记录到具体域用户上,则选择“密码认证”,如果单点登录失败,则采用用户名密码认证;当用户对认证要求严格,即用户产生的所有上网日志必须要准确记录到具体域用户上,也可以选择“跳转到”提
8、示页面,如选择“跳转到内置提示页面”,则单点登录不成功的用户打开网页重定至如下图页面,从图中链接下载“身份认证工具(logon)”双击进行手动认证。5.1.3. 配置单点登录如下图,启用单点登录,并配置共享密钥,此密钥和后面介绍的AD上配置logon脚本时的密钥要保持一致。5.2.AD域上配置以windows 2008 server为例,AD域的配置主要有新建组策略配置logon登录脚本,配置logoff注销脚本,强制刷新组策略。5.2.1. 新建组策略并配置logon登录脚本,以实现用户开机登录域时,自动通过AC认证AD域服务器“运行”输入gpmc.msc,打开组策略编辑器,如下图。右建需要
9、测试单点登录的OU,并选择“在这个域中创建GPO并在此处链接”,如下图,新建名称为“脚本单点登录”的组策略右键选中新建的单点登录组策略“脚本单点登录”,并编辑,如下图配置logon脚本参数,配置格式如下图,点击“浏览”添加脚本。logon脚本参数最简单的配置只有三个参数,即 acip, 端口为UDP 1775, 密钥(需要和AC控制台上配置 密钥保持一致),三个参数间通过空格隔开,如 10.10.10.4 1775 sangfor。 至此,logon脚本配置完毕【注意】AC11.0的logon脚本参数配置时只支持udp 1775端口。AC11.0同时也兼容老版本的logon,如果使用老版本的l
10、ogon,则使用udp 1773端口。如果是在IPv6环境,只支持使用11.0的logon,不支持使用11.0之前老版本的logon5.2.2. 按相同的方法配置logoff脚本,以实现用户从域中注销时,可以自动从AC下线,如下图配置logoff参数,点击“浏览”添加logoff脚本。logoff参数只配置ACIP地址即可,如下图至此,logoff脚本配置完毕5.2.3. 刷新组策略为了使用更改的组策略立即生效,需要刷新组策略,刷新组策略命令为gpupdate.exe /force,如下图【注意】因为脚本单点登录需要修改域组策略,且脚本会下发到客户端PC,所以测试阶段建议只针对需要测试的OU配
11、置logon和logoff脚本,不要整个域配置logon,logoff脚本。经和客户协商后,如果全域用户都需要单点登录,则只需要修改配置logon和Logoff脚本即可实现所有域用户单点登录。6 测试效果单点登录认证及注销正常,效果如下6.1.用户开机登录域,自动通过AC认证,打开网页无法再次认证,且在线用户管理可以看到测试PC以域用户上线,如下图。6.2.PC上网,查看数据中心日志记录用户名为域用户,如下图。6.3.域用户从域中注销时,同时也从AC下线,即设备在线用户管理看不到测试机在线。6.4. Logon默认启用了首次执行将Logon复制到PC启动项中,当下次同一个域帐号再次登录域时,即
12、使登录域失败(如离线登录域),也会不影响正常单点登录认证,开机启动时会执行启动项中上次下发的Logon。所以测试电脑启动项中,会看到logon已下发,运行中输入“%appdata%MicrosoftWindowsStart MenuProgramsStartup”,打开windows启动项,如下图。6.5.logon默认启用了常驻内存功能,常驻内存功能实时检测PC IP变化,当地址发生变化,则立即将变化后的IP地址单点登录上线,以实现IP变化实现认证平滑切换。所以在任务管理器中,可以看到Logon.exe一直在运行。7 高级用法在第5章节测试过程中,我们介绍了logon脚本参数配置的基本方法,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- SANGFOR_AC_v11 脚本 方式 单点 登录 测试 指导书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【二***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【二***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。