认证 > 关于单一登录 (SSO) > 配置 SSO Agent

配置 SSO 代理

如果使用多个 Active Directory 域,您必须指定用于 SSO(单一登录)的域。 安装 SSO Agent 之后,您可以指定用于身份验证的域并通过 SSO Agent 同步域配置。 您还可以指定选项,以在没有 SSO Client 的情况下使用 SSO。 这种方式称为无客户端 SSO。 当您配置 SSO Agent 时,可以配置无客户端 SSO 的设置。 要配置 SSO Agent 设置,您必须在安装了 SSO Agent 的计算机上拥有管理员权限。

第一次启动 SSO Agent 时,它将生成 Users.xmlAdInfos.xml 配置文件。 这些配置文件已加密,保存着在您配置 SSO Agent 时指定的域配置详细信息。

SSO Agent 有两个默认帐户,即 administratorstatus。可以使用这些帐户登录 SSO Agent。 要更改 SSO Agent 配置,您必须使用管理员凭据登录。 在您第一次登录以后,我们建议您更改默认帐户的密码。 这些帐户默认的凭据(用户名/密码)是:

有关 Active Directory 的详细信息,请参阅配置 Active Directory Authentication

登录 SSO 代理配置工具

  1. 选择开始 > WatchGuard > WatchGuard SSO Agent 配置工具
    此时将显示 SSO Agent 配置工具登录对话框。
  2. 用户名文本框中,键入管理员的用户名 admin
  3. 密码文本框中,键入管理员的密码:readwrite
    此时将显示 SSO Agent 配置工具对话框。
  1. 按后续部分中的介绍配置您的 SSO 代理。
    自动保存配置更改。

管理用户的帐户和密码

在您第一次登录以后,您可以更改默认帐户的密码。 因为您必须用管理员凭据登录以更改 SSO 代理的设置,因此请务必记住这些为管理员帐户指定的密码。 您也可以添加新用户帐户并为现有用户帐户更改设置。 也可以使用 adminstatus 帐户打开 Telnet 会话,以配置 SSO Agent。

有关如何通过 SSO Agent 使用 Telnet 的详细信息,请参阅使用 Telnet 调试 SSO Agent

更改用户帐户密码

对于 adminstatus 帐户,只能更改帐户的密码,不能更改用户名。

SSO Agent 配置工具对话框:

  1. 选择编辑 > 用户管理
    将显示用户管理表单对话框。
  1. 选择要更改的帐户。
    例如,选择 admin
  2. 单击更改密码
    将显示更改密码对话框。
  3. 密码确认密码文本框中,键入此用户帐户的新密码。
  4. 单击确定

新增用户帐户

SSO Agent 配置工具对话框:

  1. 选择编辑 > 用户管理
    将显示用户管理表单。
  2. 单击添加用户
    将显示添加用户对话框。
  3. 用户名文本框中,键入此用户帐户的名称。
  4. 密码确认密码文本框中,键入此用户帐户的密码。
  5. 为此帐户选择一个访问选项:
  6. 单击确定

编辑一个用户帐户

当您编辑一个用户帐户时,您仅可以更改访问选项。 您不能更改该帐户的用户名或密码。 要更改用户名,您必须添加新用户帐户并删除旧用户帐户。

SSO Agent 配置工具对话框:

  1. 选择编辑 > 用户管理
    将显示用户管理表单。
  2. 选择要更改的帐户。
  3. 单击编辑用户
    此时将显示添加用户对话框。
  4. 为此帐户选择一个新的访问选项:
  5. 单击确定

删除一个用户帐户

SSO Agent 配置工具对话框:

  1. 选择编辑 > 用户管理
    将显示用户管理表单。
  2. 选择要删除的帐户。
  3. 单击删除用户
    将显示删除用户对话框。
  4. 检查用户名是否属于想要删除的帐户。
  5. 单击确定

为 SSO Agent 配置域

要配置您的 SSO 代理,您可以添加、编辑和删除关于您的 Active Directory 域的信息。 当您添加或编辑一个域时,您必须指定一个用户帐户来搜索您的 Active Directory Server。 我们建议您在服务器上创建特定用户帐户,该帐户具有搜索目录的权限和无限期的密码。

添加域

SSO Agent 配置工具对话框:

  1. 选择编辑 > 添加域
    此时将显示添加域对话框。
  2. 域名文本框中,输入域的名称。
    例如,键入:my-example.com
    Active Directory Server 的域名区分大小写。确保您键入的域名与 XTM 设备的认证服务器设置中的 Active Directory 选项卡上显示的完全相同。有关详细信息,请参阅配置 Active Directory Authentication
  3. NetBIOS 域名文本框中,输入域名的第一部分,其中不带有顶级扩展名(例如 .com)。
    例如,键入 my-example
  4. 域控制器 IP 地址文本框中,输入此域的 Active Directory Server 的 IP 地址。
    要为域控制器指定多个 IP 地址,请使用分号分隔 IP 地址,且不含空格。
  5. 端口文本框中,输入用于连接到此服务器的端口。
    默认设置为 100。
  6. 搜索用户部分,选择一个选项:
  7. 在相应的文本框中,输入所选选项的用户信息。
    确保指定一个拥有权限搜索您 Active Directory Server 上目录的用户。
  8. 搜索用户的密码确认密码文本框中,为指定的用户键入密码。
    此密码必须与 Active Directory Server 上此用户帐户的密码相匹配。
  9. 要添加另一个域,单击确定 & 添加下一个。 重复步骤 2–8。
  10. 单击确定
    SSO 代理配置工具列表将显示该域名。

编辑域

编辑一个 SSO 域时,可以更改除了域名以外的所有设置。 如果要更改域名,则必须删除此域名并添加一个有正确名称的新域。

SSO Agent 配置工具对话框:

  1. 选择要更改的域。
  2. 选择编辑 > 编辑域
    此时将显示添加域对话框。
  3. 为该域更新设置。
  4. 单击确定

删除域

SSO Agent 配置工具对话框:

  1. 选择要删除的域。
  2. 选择编辑 > 删除域
    将显示确认消息。
  3. 单击

配置无客户端 SSO

如果 SSO Client 未安装或不可用,则可以将 SSO Agent 配置为使用无客户端 SSO,以从安装在每个域中的一台计算机上的 Event Log Monitor 获取用户登录信息。 用户尝试进行认证时,SSO Agent 会向 Event Log Monitor 发送客户端计算机的用户名和 IP 地址。 然后 Event Log Monitor 会使用此信息通过 TCP 端口 445 查询客户端计算机,并从客户端计算机上的登录事件检索用户凭据。 Event Log Monitor 从客户端计算机获取用户凭据,并且联系域控制器以获取用户的用户组信息。 然后,Event Log Monitor 会向 SSO Agent 提供此信息。

如果未在用户计算机上安装 SSO Client,请确保 Event Log Monitor 为 SSO Agent 联系人列表中的第一个条目。 如果将 SSO Client 指定为主联系人,而 SSO Client 不可用,则 SSO Agent 将查询 Event Log Monitor,但这将导致延迟。

安装 SSO Agent 之后,必须将安装 Event Log Monitor 的域的域信息添加到 Event Log Monitor 联系域列表中的 SSO Agent 配置。 如果只有一个域并且 SSO Agent 安装在域控制器上,或者如果有多个域并且 Event Log Monitor 安装在与 SSO Agent 相同的域中,则不需要在 Event Log Monitor 联系域列表的 SSO Agent 配置中指定域控制器的域信息。 如果在 Event Log Monitor 联系域列表中有多个 Event Log Monitor,则 SSO Agent 从列表中的第一个条目查询用户凭据和组信息。 如果第一个 Event Log Monitor 不可用,或者没有该用户的信息,则 SSO Agent 联系列表中的下一个 Event Log Monitor。 此过程继续,直到 SSO Agent 已联系列表中的所有可用 Event Log Monitor。

有关如何安装 Event Log Monitor 的详细信息,请参阅安装 WatchGuard 单一登录 (SSO) 代理

在配置和启用无客户端 SSO 的设置之前,必须确保域中的客户端计算机已经打开 TCP 445 端口,或者已经启用文件和打印机共享,并且已配置正确的组策略,以使 Event Log Monitor 能够获取与用户登录事件相关的信息。 如果此端口未打开并且未配置正确的策略,则 Event Log Monitor 将无法获取组信息,而且 SSO 无法正确运行。

在您的域控制器计算机上:

  1. 打开组策略对象编辑器,并编辑默认域策略
  2. 确保审计策略计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 审计策略)已启用审计帐户登录事件审计登录事件策略。
  3. 在命令行中,运行命令 gpupdate/force/boot
    运行此命令时,将显示以下消息字符串:
    正在更新策略... 用户策略更新已成功完成。 已成功完成计算机策略更新。
    该命令运行并且策略更新完成后,计算机将自动重新启动。

您可以添加、编辑和删除无客户端 SSO 的域信息。 对于您添加的每个域名,可以为域控制器指定多个 IP 地址。 如果 Event Log Monitor 无法通过第一个 IP 地址联系域控制器,则会尝试通过列表中的下一个 IP 地址联系域控制器。

SSO Agent 配置工具对话框:

  1. 选择编辑 > 无客户端设置
    此时将显示无客户端设置对话框。
  1. SSO Agent 联系人列表中,选择所有 SSO Agent 联系人的复选框:
  2. 要更改 SSO Agent 联系人的顺序,可选择联系人并单击上移下移
  3. 按照下面部分的描述添加编辑删除域。
  4. 单击确定以保存设置。

添加域

您可以为要联系的 Event Log Monitor 指定一个或多个域,以获取用户登录信息。

无客户端设置对话框:

  1. 单击添加
    此时将显示 Event Log Monitor 设置对话框。
  2. 域名文本框中,输入要 Event Log Monitor 与其联系以获取登录凭据的域的名称。
  3. 域控制器的 IP 地址文本框中,输入域的 IP 地址。
    要为域控制器指定多个 IP 地址,请使用分号分隔 IP 地址,且不含空格。
  4. 单击确定
    您指定的域信息将显示在 Event Log Monitor 联系域列表中。

编辑域

无客户端设置对话框:

  1. 选择要更改的域。
  2. 单击编辑
    此时将显示 Event Log Monitor 设置对话框。
  3. 为该域更新设置。
  4. 单击确定

删除域

无客户端设置对话框:

  1. 选择要删除的域。
  2. 单击删除
    从列表中移除域。

请参阅

关于单一登录 (SSO)

安装 WatchGuard 单一登录 (SSO) 客户端

安装 WatchGuard 单一登录 (SSO) 代理

启用单一登录 (SSO)

提供反馈  •   获得支持  •   全部产品文件  •   知识库