設置基於 NTLM v2 或 Kerberos 的單一登入,以使用 Windows 登錄憑證透明地驗證內部部署 Active Directory 用戶。
 |
注意NTLM v2 和基於 Kerberos 的單一登入僅適用於 Active Directory 網域中的使用者裝置。在啟用這些服務之前,請確保您已將必要的使用者裝置加入到您內部部署的
Active Directory 網域,並檢視以下主題:
|
在規劃基於 NTLM v2 或 Kerberos 的單一登入時,請考慮以下限制:
-
沒有安裝安全存取模組的使用者,無法通過網路存取雲端閘道所識別的公司網路外部位置進行身份驗證。
-
針對基於 NTLM v2 的單一登入:如果您使用 Active Directory 全域目錄伺服器,對於組織中具有相同使用者名稱的使用者,可能會發生網路存取規則不匹配的情況。
-
對於基於 Kerberos 的單一登入:如果 Kerberos 驗證用戶的用戶主體名稱與 Active Directory 中使用的名稱不同,您可能無法對該用戶應用基於用戶或群組的規則。
步驟
- 前往,然後點選Single Sign-On with Active Directory (On-Premises)。
- 啟用單一登入。
- 選擇單一內部部署閘道或負載平衡器後的多個內部部署閘道作為驗證Proxy,以與Active Directory進行驗證通信。
-
單一閘道:所有內部部署的 Active Directory 使用者都會通過指定的內部部署閘道與指定的 Active Directory 伺服器進行身份驗證。
注意
-
內部部署閘道使用 8089 埠進行驗證流量。
-
僅顯示具有驗證 Proxy 支援的內部部署閘道。
-
-
多重閘道:為確保高服務可用性,使用者透過負載平衡器進行身份驗證,連接至多個內部閘道。您必須指定已配置的負載平衡器的 IP 位址或 FQDN。要了解如何指派和配置負載平衡器,請參閱 配置負載平衡器以使用多個網路存取內部閘道作為驗證Proxy。
-
- 從您組織中選擇並匯入受信任的伺服器憑證。
注意
-
預設情況下,網路存取使用內建的 CA 憑證進行 HTTPS 檢查,以簽署伺服器憑證進行用戶驗證。若要使用自訂憑證,請選擇該選項,上傳您自己的憑證和私密金鑰,並提供和確認密碼。
-
憑證上的通用名稱 (CN) 和主體替代名稱 (SAN) 必須與指定的內部部署閘道或負載平衡器的主機名稱相符。
-
- 如有需要,選擇啟用基於 NTLM v2 的單一登入。
- 在 Trend Vision One 主控台上,選擇您的 Active Directory 伺服器類型。
- 在與 Active Directory 通訊時,選擇Use LDAPS以保護驗證資料。
- 指定單一模式或高可用性模式。
-
單一模式下,請指定您 Active Directory 伺服器的 IP 位址或 FQDN。
-
若要啟用高可用性模式,請選擇流量分配方法。
-
如果選擇故障轉移,請指定您主要和次要 Active Directory 伺服器的 IP 位址或 FQDN。
-
如果選擇循環分配,請指定您希望用於驗證的所有 Active Directory 伺服器的 IP 位址和 FQDN。
-
-
- 根據選定的伺服器類型和通訊協定,指定傳輸驗證資料的端口。通訊協定Microsoft Active DirectoryMicrosoft Active Directory 全域目錄LDAP3893268LDAPS6363269
- 登入到您的主要 Active Directory 伺服器,使用具有管理員權限的帳戶。
- 前往。Group Policy Management 畫面出現。
- 從左側導航選單中選擇您的樹系和網域。
- 在您的網域下右鍵點選Default Domain Policy,然後選擇Edit...。Group Policy Management Editor 出現。
- 在Computer Configuration下,前往。
- 如果您正在使用 LDAP:
-
雙擊Domain controller: LDAP server signing requirements。
-
點選Define this policy setting。
-
選擇無。
-
點選Apply,然後點選確定。
-
請對您希望用於驗證的所有其他 Active Directory 伺服器重複配置程序。
-
- 如果您正在使用 LDAPS:
-
雙擊Domain controller: LDAP server channel binding token requirements。
-
點選Define this policy setting。
-
選擇Never。
-
點選Apply,然後點選確定。
-
請對您希望用於驗證的所有其他 Active Directory 伺服器重複配置程序。
NTLM v2 驗證在群組原則變更生效後可以成功啟動,這可能需要長達兩個小時。 -
- 如有需要,啟用基於 Kerberos 的單一登入並上傳所需的 keytab 檔案。
- 使用具有管理員權限的帳戶登入您的 Active Directory 網域控制站。
- 建立一個新的 Active Directory 使用者作為 Kerberos 驗證的服務主體名稱 (SPN)。
-
請指定帳戶的使用者名稱和密碼。
-
選擇選項Password never expires以確保 keytab 檔案保持有效。
-
選擇選項This account supports Kerberos AES 256 bit encryption以允許該帳戶用於驗證。
注意
您可以隨時通過在 Active Directory 中選擇相應的用戶,然後轉到 來驗證驗證帳戶的配置。
-
- 從命令列執行以下命令,將新使用者設為 SPN。
setspn -a HTTP/<auth proxy fqdn> <user name>
注意
<auth proxy fqdn>是託管網路存取內部閘道的服務閘道的 FQDN。該 FQDN 是在 配置 Active Directory 伺服器 時創建的。 - 執行以下命令以生成將新 SPN 與 Kerberos 服務關聯的 keytab 文件。
ktpass -princ HTTP/<auth proxy fqdn>@<DOMAIN> -mapuser <user name>@<domain> -pass <user password> -out swg.keytab -ptype KRB5_NT_PRINCIPAL -mapop add -crypto all
名為swg.keytab的 keytab 檔案已生成並儲存在C:\Users\Administrator。注意
-
Kerberos 指令區分大小寫。在 keytab 生成指令中,根據您內部部署閘道的伺服器 FQDN (<auth proxy fqdn>) 全部使用小寫,而 Kerberos 領域 (Active Directory 網域, @<DOMAIN>) 應全部使用大寫。
-
如果 keytab 檔案被更改,使用者可能需要清除他們的 Kerberos 快取以避免驗證失敗。
-
- 將生成的 keytab 檔案上傳到 Trend Vision One 控制台的 Single Sign-On with Active Directory (On-Premises) 中的 Kerberos 設定。
- 按一下「儲存」。配置可能需要幾分鐘才能生效。
- 在 Gateways 畫面中查看內部部署閘道狀態。
-
Setting up auth proxy:網路存取正在將 NTLM v2 或基於 Kerberos 的單一登入設定應用於內部閘道。
-
Used as auth proxy:內部部署閘道已成功配置為驗證Proxy。
-
Auth proxy error:由於以下其中一個問題發生錯誤:
-
本地閘道嘗試與 Active Directory 伺服器或 Trend Vision One 通訊,而 Zero Trust Secure Access 本地閘道服務在服務閘道設備上被停用或解除安裝。
-
服務閘道設備已斷線。
-
內部部署閘道主機名稱未與 Kerberos keytab 檔案中的任何 SPN 關聯。
-
-