SANGFOR_SSL_v58_XXXX年度渠道初级认证培训03_用户认

SANGFORSSLVPN用户认证技术培训内容培训目标用户认证技术1、了解SSLVPN支持的所有认证方式2、了解各种认证方式下能实现的功能主要认证1、掌握主要认证包含的认证方式及功能2、结合案例掌握用户名密码和数字证书认证方式的配置步骤辅助认证1、掌握辅助认证包含的认证方式及功能2、结合案例掌握硬件特征码和短信认证方式的配置步骤策略组1、了解策略组功能的作用2、掌握策略组里各项功能的设置用户认证功能介绍深信服公司简介策略组功能介绍练练手SANGFORSSL用户认证配置和案例学习SSL用户和用户组用户：登录SSLVPN的账号，分为公有用户和私有用户。私有用户只能同时一人登陆，公有用户允许多人同时登陆。用户组：由“用户”组成，每个“用户”必须属于唯一的“用户组”，root根组和默认用户组无法删除。SSL用户组的添加选择账户类型和认证方式填写组名和所属组可选关联策略组与角色保存配置后，必须点击“立即生效”使配置生效。SSL用户的添加如果勾选“继承所属组的认证选项”，则用户按照“support”组的认证方式填写密码即可。不勾选“继承所属组认证选项”，则用户可以自定义认证方式。保存和生效配置SSLVPN用户认证方式外部认证认证方式本地认证用户名、密码认证数字证书硬件特征码认证短信认证LDAP认证RADIUS认证辅助认证（可选）主要认证（必须选择一种）令牌认证（RADIUS认证）/DKEY认证（私有用户）（私有用户）（公有/私有用户）（公有/私有用户）（公有/私有用户）（公有/私有用户）（公有/私有用户）SSLVPN用户认证方式SSLVPN的用户必须使用一种主要认证方式，也可以使用主要认证再结合多种辅助认证的方式。如果设置了多种主要认证方式，可选择必须通过所有的主要认证或通过其中一种主要认证方式即可。SSLVPN用户认证方式本PPT介绍四种常用的主要认证和辅助认证方式：1.用户名密码认证2.数字证书认证3.短信认证4.硬件特征码认证用户名密码认证用户名密码认证，即用户通过输入用户名和密码登录SSLVPN。认证方式选择“用户名/密码”用户名密码信息保存在设备数据库中，属于本地认证“同时使用”表示设置了多种主要认证方式时，所有认证都必须通过。“任意一种”表示其中一种主要认证方式通过即可。公有用户和私有用户均可设置用户名密码认证。用户名密码认证为了加强用户名密码认证的安全性，可启用密码安全策略，软键盘和图形校验码功能。数字证书认证第三方CA自建CA数字证书数字证书DKEY数字证书认证DKEY有驱DKEY无驱DKEY数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，用来标志和证明网络通信双方的身份，此认证方法更为安全可靠。SANGFOR数字证书认证支持设备自建CA认证和第三方CA认证。生成了无驱DKEY，不能再生成有驱DKEY；有驱DKEY，可再生成无驱DKEY。数字证书认证（生成证书）设置登录的用户名只有私有用户类型才能选择数字证书/DKEY认证设置证书密码，用户安装此证书时需要填入相同的密码才允许安装。数字证书认证（生成有驱DKEY）生成有驱DKEY，管理员和用户均需下载安装DKEY驱动，管理员还需下载安装DKEY导入控件如果要实现有驱KEY拔KEY注销功能，必须启用USBKeyV2创建DKEY之前需将DKEY插入电脑中数字证书认证（生成无驱DKEY）生成无驱DKEY无驱DKEY，必须启用USBKEYV2，才能实现DKEY接入和拔出注销。创建DKEY之前请先将DKEY插入电脑中硬件特征码认证通过硬件特征码认证可实现SSLVPN帐号和电脑硬件特征的绑定，某账号只能通过固定的一台或几台电脑登陆，确保了接入的安全性。硬件特征码认证读取接入电脑的硬件信息顺序:硬盘ID-网卡MAC-C盘ID-D盘ID-E盘ID...硬件特征码认证属于辅助认证，必须同时使用一种主要认证。一般先开启硬件特征码收集，待用户全部提交硬件特征码后，再启用硬件特征码认证。勾选“硬件特征码”短信认证SSL设备通过发送短信校验码至用户绑定的手机号码上,用户正确输入短信校验码后才能登陆SSL。短信认证需开通序列号才能使用。短信认证属于辅助认证，必须同时使用一种主要认证。开启短信验证码通过设备直连短信服务器发送短信设备和短信网关均连到PC，PC上安装短信服务器软件。在机房信号不佳的情况下，建议选择外部短信网关。短信猫中插入的手机卡的短信中心号码，支持GSM和CDMA手机卡。可支持如下短信网关类型使用默认参数即可。注：新短信猫（带有深信服LOGO）的波特率为115200短信认证（使用内置短信猫）1、内置短信猫的安装短信猫直接连接设备的接口，如下：设备发货时会配好对应的串行线接线注意事项：a)将一张手机SIM卡放入短信Modem内。b)短信Modem通过发货时自带的串口线连接到设备的com口。短信认证（使用内置短信猫）2、短信认证设置短信认证必须选择私有用户账号类型选择短信认证填入用户对应的手机号码短信认证（使用外置短信网关）1、外置短信网关服务器软件安装接线注意事项：a)将一手机SIM卡放入短信Modem内。b)短信Modem通过发货时自带的串口线连接到短信服务器（电脑）的COM口。c)确保串口线和短信Modem以及串口线和短信服务器接触良好。系统要求：WindowsXP、Windows2000/2003/2008，不支持vista系统。在服务器上安装短信网关服务器软件a双击短信服务软件安装包，按照安装提示，点击下一步，直到出现以下软件安装目录选择页面，请保留默认的安装路径，否则短信服务无法正常启动。短信认证—外置短信网关1、外置短信网关服务器软件安装b按照安装提示操作，最后完成安装c软件安装完成后，短信服务会以系统服务的形式自动运行短信服务进程为SMSSP.exe在服务列表中能够看到短信服务SMSSERVICEd在系统的“开始”菜单打开短信服务软件的控制台，进行配置在系统桌面右下角的控制台能够看到当前短信服务的状态，左图为服务正常，右图为服务异常如果软件安装好后，服务仍然显示停止，一般情况下是由于软件没有安装在系统盘下造成的，请把软件重新安装在默认路径下。e鼠标右键点击控制台，选择【Config】在软件服务的监听端口设置对话框里，设置好监听端口（TCP端口），如果服务器还提供其他服务，要保证设置的端口和这些服务的端口不冲突如果短信服务器上装有防火墙软件，必须保证防火墙有放通此处设置的短信服务监听端口。至此外置短信服务器设置完毕。短信认证（使用外置短信网关）3、短信认证设置填写安装短信网关服务器的IP和端口填入用户对应的手机号码短信认证必须选择私有用户账号类型选择短信认证SSL用户配置案例学习SSL用户配置案例学习背景介绍：某客户公司希望实现财务部用户通过数字证书，其余用户通过账号密码，且所有用户均只能使用自己的工作电脑接入SSLVPN。配置思路：1）开启硬件特征码认证2）添加2个用户组，财务组使用数字证书和硬件特征码认证，普通用户组使用用户名密码和硬件特征码认证。3）添加用户关联到组，使用组属性。SSL用户配置案例学习1）开启硬件特征码认证控制台左树依次展开【SSLVPN设置】-【认证设置】点击【硬件特征码】处的设置开启硬件特征码认证SSL用户配置案例学习2）添加用户组控制台左树依次展开【SSLVPN设置】-【用户管理】，点击【新建】-【用户组】SSL用户配置案例学习3）添加用户关联到组，使用数字证书以及硬件特征码认证。设置用户名选择所属用户组SSL用户配置案例学习4）添加用户关联到组，使用用户名密码以及硬件特征码认证。设置用户名密码选择所属用户组SSL用户配置案例学习1.数字证书和硬件特征码认证的用户登录访问SSLVPN的过程：1）将生成的数字证书发给移动用户2）移动用户双击数字证书进行安装，如下图所示：填入生成证书时管理员设置的密钥可以通过查看浏览器，检查证书是否安装成功表示安装和导入证书成功SSL用户配置案例学习1.数字证书和硬件特征码认证的用户登录访问SSLVPN的过程：3）移动用户通过IE浏览器登录SSLVPN表示用户认证成功SSL用户配置案例学习2.用户名密码和硬件特征码认证的用户登录访问SSLVPN的过程：移动用户通过IE浏览器登录SSLVPN表示用户认证成功SSL用户配置案例学习管理员如何查看、审批、删除硬件特征码？查看硬件特征码选择用户，进行硬件特征码的审批和删除操作SSL用户配置案例学习如何设置用户与硬件特征码的一一对应关系？可设置范围为1-100设置策略组名称SSL用户配置案例学习用户认证不成功示例：1.用户名密码错误2.未安装数字证书3.硬件特征码认证失败策略组功能介绍SSL策略组策略组用来设置用户的接入客户端相关选项，账号属性和安全桌面相关信息。策略组设置完成后，需被用户或者用户组关联才生效。根据需求的不同，可设置不同的策略组分别与用户，用户组关联。策略组---客户端选项客户端选项用来设置客户端的隐私保护，带宽会话，是否允许PPTP方式接入，SSL专线，硬件特征码个数限制。用户退出SSLVPN后，客户端电脑自动清除缓存文件，cookies和浏览历史等。为了防止某用户接入SSLVPN耗费了大量的带宽和服务器资源，可对客户端进行带宽和会话限制。允许手机用户通过系统自带的PPTPVPN接入和访问资源。用户接入SSLVPN后，不允许上外网。用户拥有的硬件特征码个数策略组---账号控制账号控制用来设置账号相关的权限。启用系统托盘登录SSL后，自动跳转到某个资源的页面仅允许用户在指定时间内登录SSLVPN记录用户访问资源的日志账号失效时间和账号无流量自动断开时间允许私有用户修改相关信息，提高易用性。策略组---安全桌面安全桌面相关设置：开启安全桌面功能安全桌面功能介绍及详细配置请参见渠道高级培训PPT《安全桌面功能培训》策略组---远程应用远程应用相关设置：远程应用功能介绍及详细配置请参见渠道初级培训PPT《远程应用发布功能培训》练练手某客户希望实现用户登录SSLVPN时，除了输入自己的账号和密码，设备还能发一条短信，把校验码发到用户的手机，用户必须输入校验码才能成功登录。您有什么样的方案能满足客户的需求呢？我们的建议：1、添加用户组，设置用户名密码加短信认证2、添加用户到用户组，设置密码和手机号码1.请问以下图片中为什么短信和数字证书是灰色的，是否需要开通相应授权？2.客户已经购买了一台SSLVPN设备并且购买了短信猫，请问要如何配置才能使用短信认证？3.某客户咨询公司监控室有3台PC需要接入SSLVPN，监控室有3个人，管理员想让这三个人的SSLVPN账号只能在监控室3台电脑上登陆，请问是否可以实现？怎样实现的？问题思考