SANGFORSSLVPN用户认证技术.ppt

SANGFOR SSL VPN 用户认证技术SANGFOR SSL 用户认证配置深信服公司简介SANGFOR SSL 用户配置案例SANGFOR SSL 练练手SANGFOR SSLSSL 用户和用户组用户：登录SSL VPN的账号，分为公有用户和私有用户 私有账 号只能同时一个人登陆，公有用户允许多人同时登陆用户组：由“用户”组成，每个“用户”必须属于唯一的“用户组”，root 根组无法删除SSL用户及用户组的添加 填写组名（名称）并 选择所需认证方式选择是否强制子 组及用户继承配置完成,确定保存采用用户 名密码及 硬件特征 码认证新增组点击新增用户填写用户名(根据 认证属性决定是否 需要填写密码以及 生成证书,详细请 参照”用户认证方 式”部分； 选择此用户所属组test组认证属性为用户名密码 及硬件特征码认证，如勾选继 承用户组属性，则只需要填写 密码不需要生成证书如去掉勾则为此用户单独定义认证方式SSL VPN 用户认证方式外部认证认证方式本地认证用户名、密码认证数字证书硬件特征码认证短信认证LDAP认证RADIUS认证辅助认证（可选）主要认证（必须）令牌认证（RADIUS认证）/DKEY认 证SSL VPN 用户认证方式SSL VPN的用户必须使用一种主要认证方式，也可以使用 主要认证再结合多种辅助认证的方式。

本PPT介绍常用的四种主要认证和辅助认证方式：1. 用户名密码认证2. 数字证书认证3. 短信认证4. 硬件特征码认证用户名密码认证配置填写登录时使用的用户名填写登录时使用的密码并 重复输入进行确认使用用户名密码认证时，可 选择【公共用户】或【私有 用户】,根据客户需求选择 公共用户:允许多个人同时 使用此账号登录； 私有用户:同一时间内只允 许一个人使用此账号登录勾选【用户名/密码】,表示 启用用户名密码认证方式当启用多种认证方式时需 选择【与】、【或】 与:所有启用的认证方式均 通过才表示认证成功； 或:启用认证方式中任一 一个通过则表示认证成功 最基本的认证方式 ，所添加用户的用 户名密码信息库保 存在SSL设备中，属 于设备本地认证数字证书是一个经证书授权 中心数字签名的包含公开密 钥拥有者信息以及公开密钥 的文件用来标志和证明网络 通信双方的身份，此认证方 法更为安全可靠Sangfor SSLVPN设备支持内置CA中 心以及与第三方CA认证中 心的结合数字证书认证配置填写登录时使用的用户名只启用数字证书认 证可不用填写密码当选择为【公共用户】时 ，【数字证书/Dkey认证 】及【短信】为不可选状 态,必须选择【私有用户 】。

选择【私有】用户并勾选 【数字证书/Dkey认证】给用户生成数字证书企业自建CA时【导 入证书】不可选点击下一步颁发给指定为用 户名不可修改个属性栏可随意填写但不能留空（证书密码可以留空 ）生成证书下载保存到本地PC硬件特征码认证实现SSL VPN帐号和电脑硬件特征的绑定(读取绑定信息顺序:硬盘ID ->网卡mac ->C盘ID ->D盘ID->E盘ID...），防止他人盗用帐号在 其他电脑上登录 硬件特征码认证属于辅助认证，必须同时使用一种主要认证此页面用 于全局启 用硬件特 征码功能单个用户日常使用多 台电脑登录SSL时需绑 定多个硬件特征码勾选【硬 件特征码 】短信认证申请开通短信认证序列号设备端发送短信校验码至用户上,用户正确输入后才能登陆SSL 短信认证属于辅助认证,必须同时使用一种主要认证内置短信模块:短信猫直连SSL设备 外置短信模块:短信猫连接PC,PC上安装外置 短信服务器软件实现设备与短信猫的通讯SMSC号码:填写当地移动短 信服务号码（短信猫暂不支 持联通）,其他保持默认即可地址:填写安装短信网关服务器软件PC的IP地址 端口:与服务器软件设置相同即可（需保证PC上没有其他服务使用此端口产生冲突）短信认证—短信猫1、内置短信猫的安装短信猫直接连接设备,根据设备 型号不同，可用户连接短信猫 的接口分别有：设备发货时会配好串行线，如 接口为以太口则会配备转接线接线注意事项： a.将一sim 卡放入短信Modem 内。

b.短信Modem 通过发货时自带的串口线（一端为公头，另一端为母头）连接到设备的 com或console 口 c.把接口上的旋钮扭紧，确保串口线和短信Modem 以及串口线和设备接触良好短信认证—短信猫2、短信认证设置选择【启用内 置短信模块】根据喜好设置验证有效时间（ 如超时则需要重新获取短信验 证码进行认证）和短信内容填写当地移动短信服务 号码，可向移动询问到 添加用户时勾 选【短信认证 】填写要发送短 信的号码短信认证—外置短信网关1、外置短信网关服务器软件安装接线注意事项： a.将一sim 卡放入短信Modem 内 b.短信Modem 通过发货时自带的串口线（一端为公头，另一端为母头）连接到短信服务器（电 脑）的com 口 c.把接口上的旋钮扭紧，确保串口线和短信Modem 以及串口线和短信服务器接触良好 系统要求：Windows XP、Windows 2000、Windows 2003，不支持vista 系统在服务器上安装短信网关服务器软件a 双击短信服务软件安装包，按照安装提示，点击下一步，直到出现以下软件安装目录选择页面，请保留默认的安装路径，否则短信服务无法正常启动。

短信认证—外置短信网关1、外置短信网关服务器软件安装b 按照安装提示操作，最后完成安装c 软件安装完成后，短信服务会以系统服务 的形式自动运行短信服务进程为SMSSP.exe在服务列表中能够看到短信服务SMSSERVICEd 在系统的“开始”菜单打开短信服务软件的控制台，进行配置在系统桌面右下角的控制台能够看到当前短信服务的状态，左图为服务正常，右图为服务异常如果软件安装好后，服务仍然显示停止，一般情况下是由于软件没 有安装在系统盘下造成的，请把软件重新安装在默认路径下e 鼠标右键点击控制台，选择【Config】在软件服务的监听端口设置对话框里，设置好监听端口（TCP 端口），如 果服务器还提供其他服务，要保证设置的端口和这些服务的端口不冲突如果短信服务器上装有防火墙软件，必须保证防火墙有放通此 处设置的短信服务监听端口至此外置短信服务器设置完毕短信认证—外置短信网关2、短信认证设置选择【启用外置短信模块 】，并设置短信服务器的IP 和端口根据喜好设置验证有效时间（ 如超时则需要重新获取短信验 证码进行认证）和短信内容填写当地移动短信服务 号码，可向移动询问到添加用户时勾 选【短信认证 】填写要发送短 信的号码SSL用户配置案例背景介绍： 客户需求，外网用户登录SSL，只能在自己的电脑上使用自己的用 户名和密码登录，并且为了确保安全，需要启用数字证书进行双向 认证。

配置思路： a 全局开启硬件特征码认证 b 添加用户组 c 添加用户关联到组，使用用户名密码、数字证书以及硬件特征码 认证SSL用户访问案例配置a 全局开启硬件特征码认证控制台左树依次展开【SSLVPN设置】->【基础配置】点击【硬件特征码配置】启用认证SSL用户访问案例配置b 添加用户组控制台左树依次展开【SSLVPN设置】->【用户管理】点击【用户数据】填写组的【名称 】，勾选客户需 求的认证方式SSL用户访问案例配置c 添加用户关联到组，使用用户名密码、数字证书以及硬件特征码认证刚添加的组显示在列表里填写好为此 用户分配的 用户名密码填写相应 信息后点 击【生成 】证书保存 到本地生成的证书字段选择此用 户所要关 联到的组点击选择 【一般用 户组】刚生成的用户最后一定要点 击【配置生效 】SSL用户访问案例配置用户登录访问SSL VPN的过程1、将生成的数字证书 发送给移动用户并安装证书2、移动用户通过浏览器登录SSLVPN2.1、输入用户名密码2.2、自动提交硬件特征码双击数字证书 进行安装,出现左图通过浏览器查看证 书是否成功安装如图表示导入成功浏览器内输入SSLVPN 登录地址打开登录页面点击登录会出现此提示页面，稍 等几秒页面会自动跳转设备管理界面如图 会保存移动用户所 提交的特征码信息最后跳转至此页 面表示登陆成功用户登录认证不成功实例1、用户名密码错误2、未安装数字证书3、1个用户只能帮定1个硬件特征码时，更换PC登录SSL用户访问案例配置正确密码为 123456,现 输入123 提示错误填写正确的 用户名密码提示错误1个用户最多可拥有1个硬件特征码用户名密码及数字证书认 证成功后页面提示如图点击【提交硬件特征码】练练手某客户希望实现用户登录SSL VPN时，除了输入自己的账 号和密码，设备还能发一条短信，把校验码发到用户的手 机，用户必须输入校验码才能成功登录。

您有什么样的方案 能满足客户的需求 呢？我们的建议：1、 添加用户组，设置用户名密码加短 信认证2、 添加用户到用户组，设置密码和手 机号码。