XX电信CheckPoint防火墙集成域用户单点登录实施方案目录1.现状..........................................................................................................................................32.解决方案..................................................................................................................................33.方案原理..................................................................................................................................44.实施测试..................................................................................................................................55.实施计划..................................................................................................................................71.现状上图是XX省电信OA网用户访问DCN网时的安全控制示意图。OA网用户访问DCN网时，要通过Checkpoint（CP）防火墙的用户身份认证，只有指定的用户才能访问DCN网。OA网用户在打开电脑后会登录WindowsAD域。用户访问DCN网时，仍然要登录到CP的用户验证网页，重新输入AD域的用户名密码进行安全验证，操作较为繁琐，因此需要单点登录（SSO）解决方案，即用户只需一次登录到Windows域，然后访问DCN网时，不需要重新输入用户名和密码，CP自动取得已登录的用户身份进行访问控制。2.解决方案方案采用CheckPointUserAuthority（UA）模块，实现集成域验证的单点登录。下图是部署图。在现有的CP上增加UA模块，在一台加入域的计算机上安装CheckPointUA模块，并配置uatcs-acl.txt文件，使该UA模块与Windows域控制器建立联系，当有访问DCN网权限的OA网用户登录Windows域时，将自动在其电脑上安装客户端软件UASecureClient。用户登录Windows域后，当其访问DCN网服务器，将不需要用户再次输入用户名和密码。3.方案原理A）、当不使用UA时，用户验证过程如下图所示：1、用户登录到域。2、用户访问外部资源3、防火墙拦截访问，验证用户身份4、用户输入用户名和密码，将信息发到防火墙5、防火墙根据用户身份决定是否允许该用户访问外部资源B）、当使用UA时1、用户登录到域。2、用户访问外部资源3、防火墙拦截访问，验证用户身份4、防火墙要求安装在自身的UA模块验证用户身份5、防火墙的UA模块将验证请求发给域控制器的UA模块6、域控制器的UA模块与用户电脑的SecureAgent取得联系7、用户身份通过域控制器传给防火墙8、防火墙根据用户身份决定是否允许访问4.实施测试环境准备：1.测试PC三台，分别命名为DCTest01、DCTest02、DCTest03，要求的硬件为PIII1G以上，内存512M以上，硬盘10G以上空闲。（由省电信准备）2.Windows2003Server安装光盘，测试序列号一个。（由省电信准备）3.FortiGate100A防火墙一台（由XX准备）测试步骤：A：安装测试1.按照下图所示将Fortigate防火墙和三台测试PC与现有的网络相连，配置合适的IP地址，并做好的相应的路由设置，使DCTest01与OA网能够互通。2.在DCTest01上安装Windows2003ServerAD域控制器和DNS服务，并加入到省电信现有的AD域环境中，作为省电信的第28个DC。3.在DCTest01上安装与生产DC上完全一致的补丁。4.将省电信的现有的AD域数据复制到新装的DCTest01上。5.在FortiGate防火墙上配置策略，使DCTest01仅保持与NOKIAIP1220、DCTest02和DCTest03的通讯，切断其他任何网络通讯。6.在DCTest02和DCTest03做必要的配置，使其从指定的域控制器DCTest01登录域。7.在DCTest02上安装CheckpointR60UA模块。8.配置安装的UserAuthority模块与Firewall的通讯密钥。9.重新启动安装UA模块的DCTest02。10.编辑DCTest02上的uatcs-acl.txt文件，使该UA模块与DCTest01建立联系。11.将DCTest02的UA模块安装目录中的Instuatc.exe、uatc.exe、uatcs.bat、uatcs_uninstall.bat、uatcs-acl.txt等文件拷贝至DCTest01的Netlogon目录。12.检查是否有发生密码过期的情况，如果没有发生密码过期情况，继续以下的步骤，如果发生过期情况，转到恢复步骤。13.在DCTest01上编辑登录...