SSL VPN在同一个/不同域下同时使用AD+本地认证配置方法
SSL VPN在同一个/不同域下同时使用AD+本地认证配置方法一、同一个域下同时使用AD+本地认证配置方法配置方法如下:1、要创建对应的安全域,如下图:https://forum.huawei.com/enterprise/api/file/v1/small/thread/586272710772789248.png?appid=esc_zhhttps://forum.huawei.com/enterprise/api/file/v1/small/thread/586272748030791680.png?appid=esc_zh高级选项这里要注意下,因为没有导入账号到设备,所以这里需要选择做为临时用户,默认是不允许新用户登录,这里不选择AD是无法认证成功的,如果要只使用用户组授权,那么需要在SSL VPN角色授权位置授权这个组如果要只使用AD导入的组授权,请使用下图中的方法:https://forum.huawei.com/enterprise/api/file/v1/small/thread/586273523628904448.png?appid=esc_zh2、SSL VPN的配置:https://forum.huawei.com/enterprise/api/file/v1/small/thread/586273827581726720.png?appid=esc_zh这里要选择认证域,其他的ssl vpn的配置参考手册标准配置3、下面的配置是重点,如果按照上面的配置,配置完成后的话,只有ad用户可以认证成功,本地用户是认证不成功的,日志会提示账号和密码错误,原因如下: 在一个认证方案中使用多种认证模式,可以避免单一认证模式无响应而造成的认证失败。例如:配置为authentication-mode radius local时,当RADIUS认证服务器连接失败的时候,设备无法完成RADIUS认证,将跳转到本地认证模式,根据本地的用户信息进行认证。配置为authentication-mode local radius时,如果用户输入的用户名在设备上存在,但输入的密码与设备上配置的密码不一致时,该用户认证失败;当该用户的用户名在设备上不存在时,将跳转到RADIUS认证模式,根据对应的RADIUS服务器上的用户信息进行认证。 根据这个多种认证模式规则,AD账号不能导入到设备,才可以满足AD+本地用户同时都可以认证。上面的配置完成后,设备的多认证模式的配置是这样的如下:domain hw.tac.cnauthentication-scheme admin_ad_local service-scheme webServerScheme1544685439600 ad-server 192.16.1.252 service-type internetaccess ssl-vpn l2tp ike internet-access mode password reference user current-domain new-user add-temporary group /hw.tac.cn auto-import hw.tac.cnAD在前,local在后,现在需要我们手动的在命令行去修改下这个参数,修改后的配置如下:authentication-scheme hw.tac.cn authentication-mode local addomain hw.tac.cnauthentication-scheme hw.tac.cn service-scheme webServerScheme1544685439600 ad-server 192.16.1.252 service-type internetaccess ssl-vpn l2tp ike internet-access mode password reference user current-domain new-user add-temporary group /hw.tac.cn
4、验证结果:https://forum.huawei.com/enterprise/api/file/v1/small/thread/586275260934787072.png?appid=esc_zh注:此种方式只能对组和本地的用户做授权和策略限制
二、不同域同时使用AD+本地认证配置方法(AD用户导入)1、在default域下创建本地账号,圈红为必选,如下图:https://forum.huawei.com/enterprise/api/file/v1/small/thread/586275656214384640.png?appid=esc_zh2、SSL VPN虚拟网关配置处,不能选择认证域,要选择none,如下图:https://forum.huawei.com/enterprise/api/file/v1/small/thread/586275772509851648.png?appid=esc_zh3、在AD域下要导入AD账号和组,并且认证服务器要选择AD认证服务器,如下图:https://forum.huawei.com/enterprise/api/file/v1/small/thread/586276020502269952.png?appid=esc_zh4、这种场景需要注意的就这两点,其他的配置按照手册标准示例配置即可。注:此种方式可以对本地&AD用户账号和组做授权和策略限制
页:
[1]