網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法
網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法網(wǎng)絡(luò)督察域驗(yàn)證方式有兩種方式(一) 類似于本地驗(yàn)證的方式.a. 配置方法:pqconf_nc.cnf中LocalAuth =
網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法
網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法
網(wǎng)絡(luò)督察域驗(yàn)證方式
有兩種方式
(一) 類似于本地驗(yàn)證的方式.
a. 配置方法:
pqconf_nc.cnf中
LocalAuth = "NTDOMAIN"
NtDoMainServer = "域服務(wù)器IP 地址"
在網(wǎng)絡(luò)設(shè)置中將管理的ip 范圍加在本地驗(yàn)證中.
在用戶管理中將需要管理的用戶帳號(hào)添加到系統(tǒng)中, 登錄名需要和域控制器中用戶的登錄名相同, 密碼可以任意值.
在上網(wǎng)綜合參數(shù)設(shè)置中將自動(dòng)增加用戶的選擇框的v 去掉.
b. 工作原理
用戶在上網(wǎng)時(shí), 彈出一個(gè)驗(yàn)證框, 需要用戶輸入登錄名和密碼, 網(wǎng)絡(luò)督察接收到驗(yàn)證信息后, 將其轉(zhuǎn)發(fā)給域服務(wù)器, 由域服務(wù)器驗(yàn)證, 通過(guò)后網(wǎng)絡(luò)督察返回" 您可以上網(wǎng)了" 的提示信息.
c. 可能出現(xiàn)的問(wèn)題及解決方法
1) 不能彈出驗(yàn)證框
檢查上網(wǎng)的電腦的ip 地址是否設(shè)在本地驗(yàn)證的ip 管理段.
2) 輸入登錄名和密碼后, 很長(zhǎng)時(shí)間沒(méi)有反應(yīng)
檢查域控制器和網(wǎng)絡(luò)督察驗(yàn)證用的通訊端口445是否開(kāi)放.
檢查pqconf_nc.cnf中的LocalAuth 和NtDoMainServer 參數(shù)是否設(shè)置正確.
3) 輸入登錄名和密碼后系統(tǒng)提示" 用戶名不存在"
檢查網(wǎng)絡(luò)督察用戶管理中該用戶是否存在, 域控制器中該用戶是否存在.
4) 輸入登錄名和密碼后系統(tǒng)提示" 密碼不正確"
檢查輸入的用戶名和密碼是否正確
5) 不管輸入任何的用戶名和密碼, 系統(tǒng)都提示" 您可以上網(wǎng)了"
檢查上網(wǎng)綜合參數(shù)設(shè)置中" 自動(dòng)添加用戶" 功能是否開(kāi)啟, 應(yīng)將其關(guān)閉.
d. 典型的應(yīng)用
公司域中的電腦比較多, 但很多電腦只能上局域網(wǎng)不能上互聯(lián)網(wǎng), 公司希望上
網(wǎng)需要授權(quán), 帳號(hào)借用域帳號(hào), 用戶購(gòu)買網(wǎng)絡(luò)督察的licence 用戶數(shù)只需要真正上
網(wǎng)的電腦數(shù)就可以了.
(二) 在域控制器中安裝客戶端的域驗(yàn)證方式
優(yōu)點(diǎn):對(duì)用戶完全透明, 只要用戶登錄到域, 就可以對(duì)用戶的上網(wǎng)行為完全控制.
缺點(diǎn):用戶沒(méi)登錄到域, 只能阻止其上網(wǎng), 不能具體控制其上網(wǎng)行為, 網(wǎng)絡(luò)督察的licence 用戶數(shù)需要和域中的用戶數(shù)相同, 需要在域控制器上安裝客戶端程序.
a. 網(wǎng)絡(luò)督察的配置方法:
1) pqconf_nc.cnf配置
StartNtAuth = "Yes" 啟動(dòng)網(wǎng)絡(luò)督察域認(rèn)證服務(wù)進(jìn)程, 默認(rèn)不啟動(dòng).
NtAuthMustSet = "No" 不管用戶的ip 地址是否落在第三方驗(yàn)證的ip 管理段,
用戶信息都要用域服務(wù)器中的用戶信息同步.
NtAuthMustSet = "Yes" 域服務(wù)器中的用戶信息只對(duì)ip 落在第三方驗(yàn)證IP 管理
,網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法
段的用戶進(jìn)行同步.
AddGroupByNt="Yes" 同步域用戶時(shí), 如果網(wǎng)絡(luò)督察中不存在部門, 系統(tǒng)自動(dòng)添加部門, 默認(rèn)狀態(tài)該功能開(kāi)啟.
AddGroupByNt="No"同步域用戶時(shí), 若該用戶所屬的部門在網(wǎng)絡(luò)督察中存在, 將該用戶自動(dòng)歸到該部門中, 不存在則歸到未知部門中.
NtAuthCtl = "No" 當(dāng)用戶沒(méi)有登錄到域時(shí), 網(wǎng)絡(luò)督察對(duì)用戶的上網(wǎng)行為不作控制. NtAuthCtl = "Yes" 用戶沒(méi)有登錄到域時(shí), 網(wǎng)絡(luò)督察不允許用戶上網(wǎng).
默認(rèn)狀態(tài)NtAuthCtl = "Yes"
當(dāng)用戶網(wǎng)絡(luò)中使用ISA 代理時(shí), 用戶不登錄到域, ISA 可以控制不讓用戶上網(wǎng), 在這種情況, 最好設(shè)置NtAuthCtl = "No" ,否則有可能造成ISA 不能正常工作的現(xiàn)象.
2) 網(wǎng)絡(luò)督察界面上的配置
在網(wǎng)絡(luò)設(shè)置中將管理的ip 范圍加在本地驗(yàn)證中.
在第三方驗(yàn)證中點(diǎn)擊" 高級(jí)" 添加域驗(yàn)證客戶端帳號(hào)信息.
如果域服務(wù)器的操作系統(tǒng)不是簡(jiǎn)體中文, 則需要選擇域服務(wù)器的操作系統(tǒng)的語(yǔ)言, 否則用戶信息有可能出現(xiàn)亂碼.
如果帳號(hào)信息沒(méi)法添加, 在后臺(tái)檢查一下ncntserver 的表, 在mysql 交互界面下執(zhí)行delete from ncntserver 清空該表, 再嘗試添加.
為了保證域用戶顯示名, 域用戶的部門正確顯示在網(wǎng)絡(luò)督察上, 必須正確選擇" 域用戶顯示名對(duì)應(yīng)于系統(tǒng)域用戶GROUP 對(duì)應(yīng)于系統(tǒng)域用戶OU 對(duì)應(yīng)于系統(tǒng)的值. 默認(rèn)狀態(tài)用戶的顯示名和登錄名都對(duì)應(yīng)域用戶的登錄名, 改變配置后, 需要重啟網(wǎng)絡(luò)督察.
常.
3) 域驗(yàn)證客戶端的安裝
在安裝域驗(yàn)證客戶前, 以下準(zhǔn)備工作是必須的:
a. 域驗(yàn)證客戶端和網(wǎng)絡(luò)督察通訊用的通訊端口是10000, 必須要保證該端口是開(kāi)
放的. 界面上的最后通訊時(shí)間指的是域驗(yàn)證客戶端和網(wǎng)絡(luò)督察最后通訊時(shí)間, 如果這個(gè)時(shí)間和當(dāng)前時(shí)間差超過(guò)5分鐘, 需要檢查一下當(dāng)前域驗(yàn)證客戶端和網(wǎng)絡(luò)督察通訊是否正
b. 在網(wǎng)絡(luò)督察上添加該客戶端注冊(cè)網(wǎng)絡(luò)督察的帳號(hào), 默認(rèn)應(yīng)該有一個(gè)nt001和
nt002的帳號(hào).
c. 在域控制器中添加一個(gè)供該客戶端軟件訪問(wèn)目錄服務(wù)的帳號(hào).
d. 域控制器上策略的設(shè)置
域控制器安全策略設(shè)置:
本地策略—審核策略—審核賬戶登錄事件和審核登錄事件登錄成功
設(shè)為審核.
,網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法
e. 安裝域驗(yàn)證客戶端程序
在安裝域驗(yàn)證客戶端程序時(shí), 需要輸入以下參數(shù)
: 事件日志設(shè)置保存方式要確保日志有適當(dāng)?shù)拇鎯?chǔ)空間. ◆ 域安全策略的設(shè)置方法同上. ◆ 如果域控制器中的用戶數(shù)超過(guò)1000, 還需要修改LDAP 策略. 目錄服務(wù)通過(guò)LDAP 訪問(wèn)用戶信息的默認(rèn)最大記錄數(shù)為1000, 當(dāng)AD 中用戶數(shù)超過(guò)1000時(shí), 需要修改LDAP 策略中的MaxPageSize 參數(shù), 否則一次查詢最多只能訪問(wèn)1000個(gè)用戶. 修改LDAP 策略的方法: 在運(yùn)行中輸入cmd, 進(jìn)入控制臺(tái)界面 輸入Ntdsutil 命令 輸入help 顯示所有的命令 輸入LDAP pllicies 輸入help 顯示該級(jí)菜單的所有命令 輸入connections 輸入help 顯示該級(jí)菜單的所有命令 輸入connect to domain 域名 輸入q 回到前一級(jí)菜單 輸入help 顯示該級(jí)菜單的所有命令 輸入show values 可以看到LDAP 策略中的MaxPageSize 的值 輸入Set MaxPageSize to 2000 將 MaxPageSize 的值改為2000 輸入commit changes 讓修改生效 輸入show values 檢查修改后的值 輸入q 輸入q 退出
,網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法
服務(wù)器IP 地址—網(wǎng)絡(luò)督察的IP 地址 使用端口和通訊超時(shí)時(shí)間可以取默認(rèn)值. 校驗(yàn)鍵值對(duì)應(yīng)于網(wǎng)絡(luò)督察中設(shè)置的通訊密鑰
登錄EIM 賬號(hào)對(duì)應(yīng)于網(wǎng)絡(luò)督察中的登錄名 其它域控制器IP 地址, 該欄目前沒(méi)有使用, 可以填0.
網(wǎng)絡(luò)督察域認(rèn)證安裝配置及故障處理方法
登錄域帳號(hào)和登錄域密碼指的是域控制器為本軟件開(kāi)設(shè)的供該軟件訪問(wèn)目錄服務(wù)的帳號(hào), 特別需要注意的是帳號(hào)對(duì)應(yīng)的是域用戶的顯示名, 而不是登錄名.
4) 運(yùn)行域認(rèn)證客戶端程序
開(kāi)始—所有程序—域認(rèn)證服務(wù)—StartServ
5) 停止域認(rèn)證程序
開(kāi)始—所有程序—域認(rèn)證服務(wù)—StopServ
本程序安裝后第一次需要手工啟動(dòng), 以后隨電腦啟動(dòng)而自啟動(dòng).
6) 可能出現(xiàn)的問(wèn)題及解決方法
域驗(yàn)證客戶端運(yùn)行后, 在C:/winnt/radiusserv目錄下生成一個(gè)raduis.log 文件, 該文件記錄了程序運(yùn)行的狀態(tài), 是診斷問(wèn)題的重要線索.
a) 程序啟動(dòng)時(shí)在raduis.log 文件中連續(xù)出現(xiàn)" can not registry to the system”的
信息.
檢查網(wǎng)絡(luò)督察中的域服務(wù)進(jìn)程是否已經(jīng)啟動(dòng):在網(wǎng)絡(luò)督察的主頁(yè)左邊當(dāng)前進(jìn)程的旁邊, 點(diǎn)擊 ”more ”的按鈕, 進(jìn)程表中是否有" NtAuth " 的進(jìn)程.
檢查10000端口是否開(kāi)放.
檢查安裝時(shí)輸入的登錄EIM 帳號(hào)和通訊密碼是否正確.
b) radius.log 文件中出現(xiàn)open ldap fail!信息, 用戶信息中沒(méi)有g(shù)roup 和ou 信息.
訪問(wèn)目錄服務(wù)出錯(cuò), 檢查安裝時(shí)輸入的登錄域帳號(hào)和登錄域密碼是否正確. c) login 返回-1
網(wǎng)絡(luò)督察和域驗(yàn)證軟件通訊中斷.
d) log in 不斷返回11
網(wǎng)絡(luò)督察不斷在重啟, 需要排除網(wǎng)絡(luò)督察不斷重啟的故障.
e) radius.log 文件沒(méi)有報(bào)錯(cuò), 網(wǎng)絡(luò)督察和驗(yàn)證程序最近通訊時(shí)間正常, 但在線用戶
只有SYSTEM 的用戶
檢查域控制器中的安全事件, 查詢事件ID 為540,672和673的事件, 檢查有沒(méi)有用戶登錄域, 如沒(méi)有, 需要檢查域策略設(shè)置是否正確.
如果安全事件中有用戶登錄的記錄, 檢查一下該用戶登錄的域是否是軟件安裝時(shí)設(shè)置的域服務(wù)器名.
f) 網(wǎng)絡(luò)督察在線用戶中用戶只有登錄名, 沒(méi)有顯示名, 也沒(méi)有部門名.
檢查radius.log 文件中l(wèi)ogin 的用戶信息是否正常, 如正常, 檢查第三方驗(yàn)證高級(jí)設(shè)置中的設(shè)置是否正確.