联系我们

网域数据安全,专注上网行为管理 网络安全设备

上网行为管理如何实现AD域集成身份认证

1、应用场景如下:

AD SSO

单点登录一般适用于客户网络中已经采用 AD 域认证,希望通过 AD 域认证之后,自动通过上网行为备认证,并且设备能获取到用户对应的域用户名;而未加入域的终端需要经过域账号和密码认证,从而对上网的用户进行全面控制和审计。 

2、配置步骤

1.启用AD SSO强制单点登录

2.配置 AD域集成身份认证信息

3.配置认证策略

4.将AD域服务器地址添加白名单确保,终端用户与域服务器协商。

注意事项:

1.先升级相关域认证依赖补丁包,升级后需要重新,再升级版本,每次升级都需要重启设备。

2.保证域服务器和上网行为管理设备、终端网络通信连通。

详细步骤

一、启用AD SSO 强制单点登录功能

1.进入【行为管理】>【认证选项】进入【SSO】,选择【AD SSO】。

2.启用AD SSO域登录脚本方式,如下图:

二、配置AD集成身份验证

1.进入【行为管理】>【认证选项】进入【SSO】,选择【AD SSO】。

2.启用AD SSO域登录脚本方式

3.加入AD域验证,如下图:

参数说明:

计算机名称:设备的系统名称

域名:域服务器域名。如:hua.com。

域DNS服务器:AD域名解析DNS服务器IP地址(DNS服务器同AD域服务器同在一个主机上)。

域帐号:域服务器管理员帐号。

域帐号密码:同上述域管理员帐号密码。

三、配置AD域单点集成身份认证策略

1.进入【行为管理】>【认证策略】进入【新增】,认证配置如下图:

认证页面选择分“强制单点登录”和“密码认证与强制单点登录”

认证方式选择说明:

强制单点登录:加入域用户登录终端强制认证登录无需手动认证,未使用域用户登录需要安装插件强制登录。

密码认证与强制单点登录:加入域用户登录终端强制认证登录无需手动认证,未使用域用户登录终端可选择密码认证。

四、AD域服务器地址添加白名单

1.进入【行为管理】>【白名单管理】>【IP白名单】进入【新增】,允许局域网内终端可以访问AD,认证配置如下图:

控制白名单:IP地址填写AD域服务器IP地址

五、AD集成验证

1、在域里面的电脑终端,登录域之后,可直接实现上网,无需再次认证,在设备“在线用户”界面可看到上线的域终端。

2、未使用域用户登录的电脑终端,无法直接访问外网。认证需要启用IE浏览器,访问http链接如访问:www.163.com;使用密码认证,通过认证后可以访问外网。

故障排除:

1.域验证失败

解决方法:

域名是否同AD域服务器一致;

域账户密码是否正确。

2.DNS服务器查询不到域信息

解决方法:

域服务器和DNS服务器网络连通,可否正确解析;

3.检测不到有效域名

解决方法:

计算机名称是否有冲突域用户名称

4.域认证解析不正确

确认DNS服务器中是否存在设备计算机名称对于的3.4.5.6主机地址。

更多推荐: