当前位置：首页 > news >正文

深信服上网行为 SANGFOR_AC_v11.0_AD域密码认证配置

news 2025/11/1 8:13:27

.一、结合公司服务器AD域对内网用户进行密码验证。

二、AD域密码认证的应用场景：企业结合公司服务器AD域对内网用户进行密码验证

三、硬件资源：

1、一台AC设备（软件版本为11.0），一台PC机，一台AD域服务器。

2、部署好网络环境，确保AC设备能够与域服务器保持正常通讯。

四、配置方式及截图

1、外部认证服务器配置 1、编辑【用户认证与管理】----【外部认证服务器】-----【新增】----【LDAP服务器】

2、配置LDAP服务器信息

【IP地址】：LDAP服务器的IP地址。

【认证端口】：LDAP服务器连接的端口，例如AD域为389.

【超时】：设定认证请求的超时时间，系统把认证请求转发到LDAP服务器后，如果超过这个时间无回应，则视为认证失败，如果此设备到LDAP服务器间的网络比较慢，可以尝试把超时时间设大一些（例如10秒）。

【匿名搜索】：LDAP服务器支持匿名搜索时，可以使用此选项。

【管理员账号】：用于到LDAP服务器去查询以及同步的用户账号；比如账号为：administrator，域名为：sangfor.com，那么格式为：用户名@域名，administrator@sangfor.com.cn

【管理员密码】: 用于绑定服务器的用户所对应的密码。

【BaseDN】：指定域搜索路径的起点，该起点决定了该条LDAP规则的生效范围。如果用户在指定的BaseDN以外，则该用户无法做外部服务器认证，所配置的策略对该用户也不会生效。所以可以通过BaseDN来划分不同管理员的所属区域。

3、测试有效性【测试有效性】

【修改密码】：AD域账号如果勾选了初次认证可以修改密码，那么可以可以直接在这里修改密码。

【账户有效性】：测试AC设备是否能和AD域直接通信正常，验证账号是否有效

4、编辑【同步配置】（如若无特殊要求，不建议编辑修改，保持默认即可）

【用户属性】：指定LDAP服务器上，唯一标识用户的属性字段，例如AD域上sAMAccountName 属性标识了用户，而NovellLDAP上，uid属性标识了用户。

【显示名属性】：指定LDAP服务器上，唯一标识用户显示名的属性字段，例如AD域上 displayName属性标识了用户的显示名。

【描述属性】：指定LDAP服务器上，唯一标识用户描述的属性字段，例如AD域上description 属性标识了用户的描述。

【用户过滤】：指定LDAP服务器的用户过滤条件，即通过这条件可以确定某个节点是否为用户，例如AD域上可以通过填写"(|(objectClass=user)(objectClass=person))"来过滤某个节点是否为用户。

【组织单位过滤】：指定LDAP服务器的组织单位过滤条件，即通过这条件可以确定某个节点是否为组织单位，例如AD域上可以通过填写 "(|(objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domain DNS)(objectClass=container))"来过滤某个节点是否为组织单位。

安全组过滤】：指定LDAP服务器的（安全）组过滤条件（注：对于AD域而言，这里是安全组，对于非AD域而言，这里是group），即通过这条件可以确定某个节点是否为（安全）组，例如 AD域上可以通过填写"(objectClass=group)"来过滤某个节点是否为安全组。

【安全组成员属性】：指定AD域服务器上哪个属性标识了安全组的成员列表，该属性只有LDAP 服务器为AD域的时候生效。该字段如没有特别情况，一般填写member即可。当服务器类型选择“MSActiveDirectory”时上面这些参数是设置好的，一般采用默认参数即可，如果服务器是其他类型的LDAP，则需要根据实际情况调整，以便设备能读取到LDAP上正确的信息。

【启用安全组实时更新】：勾选以后将实时请求LDAP服务器，将所需同步的内容同步到本地，但是将增加LDAP服务器的压力。本选项只对AD域生效。

【设置安全组和用户的关联方式】：此处建议使用默认配置。

【关联方法】：可以选择"用户找组（推荐）"或"组找用户"。如果LDAP服务器上，用户存在某个属性保存了其所属组，这时可以选择"用户找组（推荐）"，因为这种方式将会提供更好的性能，深信服公司版权所有 www.sangfor.com.cn 第8页，共12页配置指导文档同时减少LDAP服务器的性能压力。如果LDAP服务器上，用户和组之间没有相互保存的信息，只有组保存了所属用户，这种情况需要勾选"组找用户"。

【关联属性】：如果选择了"用户找组（推荐）"模式，该字段需要填写LDAP服务器上组或者用户保存其父组的属性。例如AD域上memberOf属性标识了某个节点的父组，所以搜索的时候，将使用memberOf属性来搜索其父组。如果选择了"组找用户"，该字段需要填写LDAP服务器上组保存子用户的属性。例如AD域上member属性标识了某个组的子用户，所以搜索的时候，将使用member属性来搜索某个组的子用户。

【支持安全组嵌套】：该复选框决定了配置（安全）组的时候，是对该组下的用户生效，还是对该组下的用户以及子组都递归生效。勾选该字段以后表示对应（安全）组的用户以及子组都递归生效；如果不勾选，则表示仅对配置的（安全）组下直属用户生效，忽略所有子组。

【嵌套属性】：嵌套属性只有在勾选了"支持安全组嵌套"以后才可以填写。该选项表示递归查找的时候需要搜索的组使用哪个属性来标识。如果选择了"用户找组（推荐）"模式，该字段只需要和"关联属性"保持一致即可。如果选择了"组找用户"，该字段需要填写LDAP服务器上组保存子组的属性。例如AD域上member属性标识了某个组的所有子组，所以搜索的时候，将使用member属性来搜索某个组的所有子组。

【分页搜索】：使用使用扩展API对LDAP服务器进行搜索，这里建议保留默认配置。

【页面大小】：LDAP分页时返回的大小，0表示无限制，这里建议保留默认配置。

【大小限制】：同步LDAP时的sizelimit选项，这里建议保留默认配置。

五、用户认证策略配置 1、编辑【用户认证管理】-【用户认证】-【认证策略】