• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C F1070 防火墙 如何和微软 域用户认证结合

2020-12-10提问
  • 0关注
  • 1收藏,3871浏览
粉丝:0人 关注:1人

问题描述:

请问 :F1070 防火墙 如何和微软 AD 域结合,使特定的AD用户组才有权限 拨入VPN

组网及组网描述:

F10701 防火墙   微软AD 域    

最佳答案

粉丝:29人 关注:0人

配置案例:https://zhiliao.h3c.com/Theme/details/114849

配置需求及说明

1.1  适用的产品系列

本案例适用于软件平台为Comware V7系列防火墙:本案例适用于如M9006、M9010、M9014等M9K系列的防火墙。

注:本案例是在F1000-C-G2Version 7.1.064, Release 9323P19版本上进行配置和验证的。

服务器系统:windows server 2012 R2

1.2  配置需求及实现的效果

V7防火墙部署在互联网出口,外网终端通过INode软件拨入SSL VPN,防火墙通过LDAP Server 对用户进行远程认证和授权。认证成功后用户可以访问内网192.168.10.0网段的资源。IP地址及接口规划如下表所示:

外网接口

公网地址/掩码  

内网接口

内网地址/掩码

LDAP互联口  

LDAP服务器地址  

GE1/0/1 

222.1.1.100/24  

GE1/0/3

192.168.10.1/24 

GE1/0/8

10.88.142.171

组网图


配置步骤

1.1  Windows server 2012镜像安装

请参考微软镜像安装手册或者百度自行解决,本文对Windows server 2012系统安装不做赘述。

1.2  LDAP服务器设置

1、在服务器界面点击“开始”旁边的服务器管理器按钮,调出管理器界面后点击“添加角色和功能选项”。

2、在出现的角色和功能向导中点击下一步。

3、安装类型选择“基于角色或基本功能的安装”后点击下一步。

4、服务器选择显示为本机地址的服务器。

5、在服务器角色中点击Active Directory 域服务。

在点击过程中会弹出新的对话框,点击远程服务器管理工具后选择添加功能。

6、如果没有特殊需要不需要选择任何功能直接点击下一步即可。

7、出现Active Directory 域服务点击下一步。

8、确认无误后点击安装Active Directory 域服务程序,安装成功后关闭向导。

9、服务器部署成功后出现AD DS选项,点击“更多”打开域配置界面。

10、点击“将此服务器提升为域控制器”选项。

11、选择添加新林并且将根域名设置为***.***

12、创建目录服务还原密码后点击下一步。

13、在DNS选项设置中会出现报错无法创建DNS服务器,可以忽略直接下一步即可。

14、设置NetBIOS域名,系统已经根据根域默认为TEST不用修改点击下一步。

15、选择数据库、日志、SYSVOL文件夹的目录。

16、检查选项无误后选择下一步。

17、先决条件检查完成后选择安装,安装完成后点击关闭,关闭需要重启服务器后域名系统才能正常工作。

18、开启开启后选择管理工具。

19、点击Active Directory 用户和计算机

20、新建一个SVPN的组织单位用来存储SSL VPN用户。

21、在SVPN组中添加用户

22、添加用户为张三设置登录账号为zhangsan

23、设置密码并设置密码为永不过期。

24、设置完成后出现张三用户,至此LDAP服务器所有配置完成。



1.3  防火墙侧配置


1.3.1  配置SSL VPN网关


#选择 “网络”>SSL VPN>“网关”点击新建IP地址填写防火墙GE1口地址222.1.1.100,端口号修改为4433(缺省SSL VPN也是443端口与设备WEB登录端口冲突),勾选“使能”选项点击“确定”完成配置。


1.3.2  增加SSL VPN接入接口


#点击 “网络”>SSL VPN>IP接入接口”后新建IP接入接口,接口编号配置为1IPV4地址配置为10.10.10.1/24


1.3.3  增加客户端地址池


#点击 “网络”>SSL VPN>“客户端地址池”新建客户端地址池,地址池名配置为“SSLPOOL”、起始地址配置为10.10.10.2、结束地址配置为10.10.10.254,配置完成后点击确定。


1.3.4  配置SSL VPN访问实例


#点击 “网络”>SSL VPN>“访问实例”中新建访问实例,在“关联网关”中点击新建关联3.3.1创建的SSL VPN网关,在ISP域中添加ISP认证域,认证域名称配置为“svpn”其他选项全部为默认,配置完成后点击确定。



1.3.5  配置SSL VPN访问实例中的IP业务


#点击 “网络”>SSL VPN>“访问实例”>IP业务”IP接入接口选择3.3.2步骤添加的接口1SSLVPN-AC1)、客户端地址池选择3.3.3步骤添加的“SSLPOOL”、配置客户端掩码及主DNS服务器地址分别为24114.114.114.114后点击页面下方确定完成配置。


#在页面下面的IP接入资源中点击“新建”创建名称为NEIWANG的路由列表,然后在该路由列表中继续新建组网地址为192.168.10.0/24的内网资源,当SSL VPN用户拨入后可以直接访问该网段下的所有资源。


1.3.6  配置SSL VPN访问实例中的资源组


#点击 “对象”>ACL>IPv4”中新建高级ACL编号为3999,点击确定进入规则配置。


进入规则配置界面后IP协议类型选择ip、取消继续添加下一条规则选项后点击确定完成配置。



1.3.7  配置SSL VPN访问实例中的资源组


#点击 “网络”>SSL VPN>“访问实例”>“资源组”中新建名称为SSLVPNZIYUAN的资源组,

在指定路由接入VPN中选择子网资源、子网资源选择3.3.5步骤创建的资源NEIWANGIPV4 ACL用于控制SSL VPN接入用户,选择3.3.6步骤创建IPv4 ACL 3999点击确定完成配置。


1.3.8  配置SSL VPN访问实例中的资源组


#在 “网络”>SSL VPN>“访问实例”中点击使能开启SSL VPN实例。


1.3.9  创建SSL VPN用户组


#在 “对象”>“用户”>“用户管理”>“本地用户”>“用户组”中新建名称为svpn的用户组,在SSL VPN策略组中将3.3.7步骤中创建的SSLVPNZIYUAN组调用在该用户组。



1.3.10  创建LDAP服务器


#在 “对象”>“用户”>“认证管理”>LDAP>LDAP方案”新建名称为svpnLDAP认证方案。


配置LDAP服务器名称为svpnLDAP服务器地址为10.88.142.171、管理员DNcn=administrator,cn=users,dc=test,dc=com、管理员密码为administrator用户密码、用户DN查询的起点为ou=svpn,dc=test,dc=com、用户名属性为samaccountname。对于上述所有参数的解释说明:login-dnLDAP管理账号的路径(要求此管理账号有读权限或者管理员权限)、管理员密码对应administrator账号的密码、search-base-dn表示要查找的用户所在的目录、user-parameters samaccountname参数表示查找用户属性samaccountname值,设备默认查询用户属性查询CN值。



1.3.11  创建LDAP方案(需在命令行完成)


创建LDAP方案将LDAP认证和授权全部指向3.3.10步骤中创建的LDAP服务器。


[H3C]ldap scheme svpn


[H3C-ldap-svpn]authentication-server svpn


[H3C-ldap-svpn]authorization-server svpn


1.3.12  创建SSL VPN认证域(需在命令行完成)


创建SSL VPN认证域,将认证授权全部改向3.3.11步骤创建的svpn方案,并且指定3.3.9步骤中创建的认证用户组svpn


[H3C]domain svpn


[H3C-isp-svpn]authorization-attribute user-group svpn


[H3C-isp-svpn]authentication sslvpn ldap-scheme svpn


[H3C-isp-svpn]authorization sslvpn ldap-scheme svpn


[H3C-isp-svpn]accounting sslvpn none


1.3.13  配置与LDAP服务器互联端口


#在 “网络”>IP”找到1/0/8接口并配置1/0/8接口地址为10.88.142.1掩码配置为255.255.255.0


1.3.14  SSL VPN端口加入安全域,放通对应安全策略


#在 “策略”>“安全域”中新建名称为SSLVPN的安全域,将步骤3.3.2添加的SSLVPN-AC1接口添加到SSLVPN域。


#在 “策略”>“安全域”中新建名称为LDAP的安全域,将步骤3.3.13添加的与LDAP服务器互联接口GE1/0/8添加到LDAP域。


#在 “对象”>“服务对象组”中新建名称为4433的对象组,点击页面中添加按钮后将目的端口设置起始端口和结束端口都设置为44333.3.1步骤中SSL VPN网关的端口)。


#在 “策略”>“安全策略”中将UntrustLocal域目的端口为TCP4433端口放通。



#配置配置安全策略放通源安全域为SSLVPN,目前安全域为“Trust”的数据流量


#配置配置安全策略,放通安全域为DMZLocal域的数据流量。(点击多选按钮可以选择多个安全域)


1.4  保存配置


1.5  配置验证,查看拨号成功的用户


可以在WEB界面SSL VPN统计信息中查看SSL VPN拨入信息,也可以在命令行通过dis sslvpn session verbose查看用户信息。


dis sslvpn session verbose


User              : zhangsan


Context           : SSLVPN


Policy group      : SSLVPNZIYUAN


Idle timeout      : 30 min


Created at        : 19:52:36 UTC Sun 04/19/2020


Lastest           : 19:52:36 UTC Sun 04/19/2020


User IPv4 address : 10.88.26.145


Alloced IP        : 10.10.10.2


Session ID        : 14


Web browser/OS    : Windows


客户端使用INode登录截图:





配置关键点

注意事项

1、安装Active Directory后服务器所在域会变更导致重启后无法使用原账号登录,登录时需要使用“域名\用户名”的方式去登录。

2、因为设备默认查询用户属性是查询CN值,当LDAP服务器用户名与登录账号不一致情况下需要设备查询samaccountname值来确定用户登录名,因此在设备LDAP Server下“user-parameters user-name-attribute samaccountname”命令是一定要添加的。

为什么我这个版本没有LDAP选项, 认证管理里面只有 ISP域 和RADIUS, 我该如何操作

zhiliao_83UH1I 发表时间:2020-12-10 更多>>

没有权限访问 怎么办啊

zhiliao_83UH1I 发表时间:2020-12-10

为什么我这个版本没有LDAP选项, 认证管理里面只有 ISP域 和RADIUS, 我该如何操作

zhiliao_83UH1I 发表时间:2020-12-10
0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明