如果使用多个 Active Directory 域,您必须指定用于 SSO(单一登录)的域。 安装 SSO Agent 之后,您可以指定用于身份验证的域并通过 SSO Agent 同步域配置。 您还可以指定选项,以在没有 SSO Client 的情况下使用 SSO。 这种方式称为无客户端 SSO。 当您配置 SSO Agent 时,可以配置无客户端 SSO 的设置。 要配置 SSO Agent 设置,您必须在安装了 SSO Agent 的计算机上拥有管理员权限。
第一次启动 SSO Agent 时,它将生成 Users.xml 和 AdInfos.xml 配置文件。 这些配置文件已加密,保存着在您配置 SSO Agent 时指定的域配置详细信息。
SSO Agent 有两个默认帐户,即 administrator 和 status。可以使用这些帐户登录 SSO Agent。 要更改 SSO Agent 配置,您必须使用管理员凭据登录。 在您第一次登录以后,我们建议您更改默认帐户的密码。 这些帐户默认的凭据(用户名/密码)是:
有关 Active Directory 的详细信息,请参阅配置 Active Directory Authentication。
在您第一次登录以后,您可以更改默认帐户的密码。 因为您必须用管理员凭据登录以更改 SSO 代理的设置,因此请务必记住这些为管理员帐户指定的密码。 您也可以添加新用户帐户并为现有用户帐户更改设置。 也可以使用 admin 和 status 帐户打开 Telnet 会话,以配置 SSO Agent。
有关如何通过 SSO Agent 使用 Telnet 的详细信息,请参阅使用 Telnet 调试 SSO Agent。
对于 admin 和 status 帐户,只能更改帐户的密码,不能更改用户名。
从 SSO Agent 配置工具对话框:
从 SSO Agent 配置工具对话框:
当您编辑一个用户帐户时,您仅可以更改访问选项。 您不能更改该帐户的用户名或密码。 要更改用户名,您必须添加新用户帐户并删除旧用户帐户。
从 SSO Agent 配置工具对话框:
从 SSO Agent 配置工具对话框:
要配置您的 SSO 代理,您可以添加、编辑和删除关于您的 Active Directory 域的信息。 当您添加或编辑一个域时,您必须指定一个用户帐户来搜索您的 Active Directory Server。 我们建议您在服务器上创建特定用户帐户,该帐户具有搜索目录的权限和无限期的密码。
从 SSO Agent 配置工具对话框:
编辑一个 SSO 域时,可以更改除了域名以外的所有设置。 如果要更改域名,则必须删除此域名并添加一个有正确名称的新域。
从 SSO Agent 配置工具对话框:
从 SSO Agent 配置工具对话框:
如果 SSO Client 未安装或不可用,则可以将 SSO Agent 配置为使用无客户端 SSO,以从安装在每个域中的一台计算机上的 Event Log Monitor 获取用户登录信息。 用户尝试进行认证时,SSO Agent 会向 Event Log Monitor 发送客户端计算机的用户名和 IP 地址。 然后 Event Log Monitor 会使用此信息通过 TCP 端口 445 查询客户端计算机,并从客户端计算机上的登录事件检索用户凭据。 Event Log Monitor 从客户端计算机获取用户凭据,并且联系域控制器以获取用户的用户组信息。 然后,Event Log Monitor 会向 SSO Agent 提供此信息。
如果未在用户计算机上安装 SSO Client,请确保 Event Log Monitor 为 SSO Agent 联系人列表中的第一个条目。 如果将 SSO Client 指定为主联系人,而 SSO Client 不可用,则 SSO Agent 将查询 Event Log Monitor,但这将导致延迟。
安装 SSO Agent 之后,必须将安装 Event Log Monitor 的域的域信息添加到 Event Log Monitor 联系域列表中的 SSO Agent 配置。 如果只有一个域并且 SSO Agent 安装在域控制器上,或者如果有多个域并且 Event Log Monitor 安装在与 SSO Agent 相同的域中,则不需要在 Event Log Monitor 联系域列表的 SSO Agent 配置中指定域控制器的域信息。 如果在 Event Log Monitor 联系域列表中有多个 Event Log Monitor,则 SSO Agent 从列表中的第一个条目查询用户凭据和组信息。 如果第一个 Event Log Monitor 不可用,或者没有该用户的信息,则 SSO Agent 联系列表中的下一个 Event Log Monitor。 此过程继续,直到 SSO Agent 已联系列表中的所有可用 Event Log Monitor。
有关如何安装 Event Log Monitor 的详细信息,请参阅安装 WatchGuard 单一登录 (SSO) 代理。
在配置和启用无客户端 SSO 的设置之前,必须确保域中的客户端计算机已经打开 TCP 445 端口,或者已经启用文件和打印机共享,并且已配置正确的组策略,以使 Event Log Monitor 能够获取与用户登录事件相关的信息。 如果此端口未打开并且未配置正确的策略,则 Event Log Monitor 将无法获取组信息,而且 SSO 无法正确运行。
在您的域控制器计算机上:
您可以添加、编辑和删除无客户端 SSO 的域信息。 对于您添加的每个域名,可以为域控制器指定多个 IP 地址。 如果 Event Log Monitor 无法通过第一个 IP 地址联系域控制器,则会尝试通过列表中的下一个 IP 地址联系域控制器。
从 SSO Agent 配置工具对话框:
您可以为要联系的 Event Log Monitor 指定一个或多个域,以获取用户登录信息。
从无客户端设置对话框:
从无客户端设置对话框:
从无客户端设置对话框: