我服务器装的 Windows server 2012 R2 想用SSL VPN 以域控里的账号登陆VPn LDAP 该怎么设置路由器的SSL VPN
- 0关注
- 1收藏,1921浏览
问题描述:
我服务器装的 Windows server 2012 R2 想用SSL VPN 以域控里的账号登陆VPn
- 2020-09-02提问
- 举报
-
(0)
最佳答案
LDAP认证、授权配置举例
1. 组网需求
配置Device实现使用LDAP服务器对SSL VPN用户进行认证和授权。
· 一台LDAP服务器与Device相连,服务器IP地址为3.3.3.2,服务器域名为***.***,担当认证/授权LDAP服务器的职责。
· Device为SSL VPN网关,IP地址为1.1.1.2,服务端口为8080。
· LDAP服务器授权SSL VPN用户使用SSL VPN策略组resourcegrp1,该策略组中指定SSL VPN用户可以访问的URL资源。
2. 组网图
图1-27 SSL VPN用户LDAP认证授权配置组网图
3. 配置LDAP服务器
· 本文以Microsoft Windows Server 2008 R2的Active Directory为例,说明该例中LDAP服务器的基本配置。
· 在LDAP服务器上设置管理员admin的密码为admin!123456。
· 在LDAP服务器上添加用户名为sslvpn的用户,密码为ldap!123456,所属组织单位为sslvpn_usergroup,隶属于用户组users。
· Device已获取到CA证书ca.cer和服务器证书server.pfx,若SSL VPN网关不引用SSL 服务端策略,则使用设备缺省证书。
(1) 新建组织单位sslvpn_usergroup
a. 在LDAP服务器上,选择[开始/管理工具]中的[Active Directory用户和计算机],打开Active Directory用户和计算机界面;
b. 在Active Directory用户和计算机界面的左侧导航树中,右键单击***.***,选择[新建/组织单位],打开[新建对象-组织单位]对话框;
c. 在对话框中输入组织单位名称sslvpn_usergroup,并单击<确定>按钮。
图1-28 新建组织单位sslvpn_usergroup
(2) 新建用户sslvpn所属组织单位为sslvpn_usergroup
a. 在Active Directory用户和计算机界面的左侧导航树中,右键单击sslvpn_usergroup,选择[新建/用户],打开[新建对象-用户]对话框;
b. 在对话框中输入姓名和用户登录名为sslvpn,并单击<下一步>按钮。
图1-29 新建用户sslvpn
c. 在弹出的对话框的“密码”区域框内输入用户密码ldap!123456,并单击<下一步>按钮。用户账户的其它属性(密码的更改方式、密码的生存方式、是否禁用账户)请根据实际情况选择配置,图中仅为示例。
图1-30 设置用户密码
d. 单击<完成>按钮,创建新用户sslvpn。
(3) 将用户sslvpn加入Users组。
在Active Directory用户和计算机界面的左侧导航树中,单击sslvpn_usergroup,在右侧信息框中右键单击用户sslvpn,选择“属性”项;
在弹出的[sslvpn属性]对话框中选择“隶属于”页签,并单击<添加(D)...>按钮。
图1-31 修改用户属性
在弹出的[选择组]对话框中的可编辑区域框中输入对象名称“Users”,单击<确定>,完成用户sslvpn添加到Users组。
图1-32 添加用户sslvpn到用户组Users
4. 配置Device
(1) 配置接口IP地址、路由、安全域及域间策略保证网络可达,具体配置步骤略
(2) 配置PKI域
# 配置PKI域sslvpn。
<Device> system-view
[Device] pki domain sslvpn
[Device-pki-domain-sslvpn] public-key rsa general name sslvpn
[Device-pki-domain-sslvpn] undo crl check enable
[Device-pki-domain-sslvpn] quit
# 导入CA证书ca.cer和服务器证书server.pfx。
[Device] pki import domain sslvpn der ca filename ca.cer
[Device] pki import domain sslvpn p12 local filename server.pfx
(3) 配置SSL服务器端策略
# 配置SSL服务器端策略ssl。
[Device] ssl server-policy ssl
[Device-ssl-server-policy-ssl] pki-domain sslvpn
[Device-ssl-server-policy-ssl] quit
(4) 配置SSL VPN网关
# 配置SSL VPN网关gw的IP地址为1.1.1.2,端口号为8080,并引用SSL服务器端策略ssl。
<Device> system-view
[Device] sslvpn gateway gw
[Device-sslvpn-gateway-gw] ip address 1.1.1.2 port 8080
[Device-sslvpn-gateway-gw] ssl server-policy ssl
[Device-sslvpn-gateway-gw] service enable
[Device-sslvpn-gateway-gw] quit
(5) 配置SSL VPN访问实例
# 配置SSL VPN访问实例ctx,引用SSL VPN网关gw。
[Device] sslvpn context ctx
[Device-sslvpn-context-ctx] gateway gw
# 配置SSL VPN访问实例使用ISP域bbb进行AAA认证。
[Device-sslvpn-context-ctx] aaa domain bbb
# 创建URL表项urlitem,并配置资源的URL。
[Device-sslvpn-context-ctx] url-item urlitem
[Device-sslvpn-context-ctx-url-item-urlitem] url http://20.2.2.2
[Device-sslvpn-context-ctx-url-item-urlitem] quit
# 创建URL列表urllist。
[Device-sslvpn-context-ctx] url-list urllist
# 配置URL列表标题为web。
[Device-sslvpn-context-ctx-url-list-urllist] heading web
# 配置URL列表引用的URL表项。
[Device-sslvpn-context-ctx-url-list-urllist] resources url-item urlitem
[Device-sslvpn-context-ctx-url-list-urllist] quit
# SSL VPN访问实例ctx下创建策略组resourcegrp1,引用URL列表urllist。
[Device-sslvpn-context-ctx] policy-group resourcegrp1
[Device-sslvpn-context-ctx-policy-group-resourcegrp1] resources url-list urllist
[Device-sslvpn-context-ctx-policy-group-resourcegrp1] quit
# 开启SSL VPN访问实例ctx。
[Device-sslvpn-context-ctx] service enable
[Device-sslvpn-context-ctx] quit
(6) 配置LDAP
# 创建LDAP服务器ldap1。
[Device] ldap server ldap1
# 配置LDAP认证服务器的IP地址为3.3.3.2。
[Device-ldap-server-ldap1] ip 3.3.3.2
# 配置具有管理员权限的用户DN为cn=admin,cn=users,dc=ldap,dc=com。
[Device-ldap-server-ldap1] login-dn cn=admin,cn=users,dc=ldap,dc=com
# 配置具有管理员权限的用户密码为明文的admin!123456。
[Device-ldap-server-ldap1] login-password simple admin!123456
# 配置查询用户的起始目录为dc=ldap,dc=com。
[Device-ldap-server-ldap1] search-base-dn dc=ldap,dc=com
[Device-ldap-server-ldap1] quit
# 创建LDAP属性映射表test。
[Device] ldap attribute-map test
# 配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性User group。
[Device-ldap-attr-map-test] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
[Device-ldap-attr-map-test] quit
# 创建LDAP方案shml。
[Device] ldap scheme shml
# 配置LDAP认证服务器和授权服务器均为ldap1。
[Device-ldap-shml] authentication-server ldap1
[Device-ldap-shml] authorization-server ldap1
# 配置引用的LDAP属性映射表为test。
[Device-ldap-shml] attribute-map test
[Device-ldap-shml] quit
(7) 配置ISP域
# 创建ISP域bbb,为SSL VPN用户配置AAA认证方法为LDAP认证、LDAP授权、不计费。
[Device] domain bbb
[Device-isp-bbb] authentication sslvpn ldap-scheme shml
[Device-isp-bbb] authorization sslvpn ldap-scheme shml
[Device-isp-bbb] accounting sslvpn none
[Device-isp-bbb] quit
(8) 配置本地用户组
# 创建本地用户组users,指定授权SSL VPN策略组为resourcegrp1。
[Device] user-group users
[Device-ugroup-users] authorization-attribute sslvpn-policy-group resourcegrp1
[Device-ugroup-users] quit
5. 验证配置
用户在浏览器地址栏中输入https://1.1.1.2:8080,按照页面提示输入用户名sslvpn@bbb及正确的密码ldap!123456后,可成功登录SSL VPN的Web页面,并具有SSL VPN策略组resourcegrp1中配置的URL资源的访问权限。
- 2020-09-02回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论