要使用单一登录 (SSO),必须安装 WatchGuard Authentication Gateway,它包括两个组件:SSO Agent(强制安装)和 Event Log Monitor(可选)。
SSO Agent 是一项服务,接收 Firebox 身份验证申请并使用 Active Directory Server 检查用户状态。 服务将在安装 SSO Agent 软件的计算机上以名称 WatchGuard Authentication Gateway 运行。 该计算机必须已安装 Microsoft .NET Framework 3.5 或更高版本。 要使用单一登录,必须安装 SSO Agent。
Event Log Monitor 是 WatchGuard Authentication Gateway 的可选组件。 如果没有在所有客户端计算机上安装 SSO Client,我们建议您安装 Event Log Monitor。 发生登录事件时,Event Log Monitor 会轮询用于登录的用户名和域名的目标 IP 地址(客户端计算机)。 Event Log Monitor 根据用户名信息查找关于哪些用户属于哪个用户组的信息,并将该信息发送到 SSO Agent。 这使 SSO Agent 能够正确识别用户,并确保每个用户一次只能从一台计算机登录。
如果有多个域,则只在网络中的一个域控制器上安装 SSO Agent,并在每个域中的一台计算机或域控制器上安装 Event Log Monitor。 SSO Agent 随后将联系每个 Event Log Monitor 以获取域中用户的信息。
当您运行安装程序并仅安装 Event Log Monitor 时,请确保清除针对 SSO Agent 组件的复选框。
要在已经安装某个组件的计算机上安装额外的 WatchGuard Authentication Gateway 组件,请重新运行安装程序并同时选择要安装的新组件和之前已安装组件的复选框。 如果没有选择之前已安装组件的复选框,那些组件将会被卸载。
例如,如果已经在域控制器上安装了 SSO Agent 并且想要添加 Event Log Monitor,请重新运行安装程序并确保同时选中 SSO Agent 和 Event Log Monitor 复选框。 如果清除 SSO Agent 复选框,它将被卸载。
WatchGuard Authentication Gateway 服务必须作为域管理员组成员的用户运行。 建议创建用于此用途的新用户帐户,然后将这个新用户添加到域管理员组。 要使此服务正常运行,请确保以不会过期的密码配置此域管理员用户帐户。
启动 SSO Agent 安装程序之前,请确保在您要安装 WatchGuard Authentication Gateway 的服务器上已安装 .NET Framework v3.5。 如果未安装 .NET Framework v3.5,SSO Agent 将无法正常运行。
如果有多个域,请确保在每个域控制器上安装 Event Log Monitor。
例如,如果域是 example.com,并且使用域帐户 ssoagent,请键入 example\ssoagent。
还可以使用用户名的 UPN 格式:username@example.com。 如果使用用户名的 UPN 格式,必须包含域名的 .com 或 .net 部分。
完成向导后,WatchGuard Authentication Gateway 服务将自动启动。 计算机每次重新启动时,该服务都将自动启动。
完成 Authentication Gateway 安装后,必须配置 SSO Agent 和 Event Log Monitor 的域配置。 有关详细信息,请参阅配置 SSO 代理。