集成身份验证说明

集成windows 身份验证使用说明概述本文档说明了如何启用并配置集成windows 身份验证，启用成功后，内网用户登录到域并访问web 页面，即可登录到深信服设备。基本用法1、启用集成windows

集成windows 身份验证使用说明

概述

本文档说明了如何启用并配置集成windows 身份验证，启用成功后，内网用户登录到域并访问web 页面，即可登录到深信服设备。

基本用法

1、启用集成windows 身份验证功能

登录sangfor 网关设备的控制台页面；

点击左侧导航栏：用户与策略管理->用户认证->认证选项；

点击右侧tab ：单点登录选项->AD域；

。 勾选“启用域单点登录”和“启用集成windows 身份验证”

2、配置集成windows 身份验证

填写计算机名、域名、域DNS 服务器、域账号以及域账号密码；

，检测各个参数是否有效，测试通过之后点击“提交”； 点击“测试有效性”

10s 之后会在右下方，弹出小喇叭并提示加入域成功。

注：（1

）若测试有效性失败，页面会弹出错误框提示具体原因，并给出修改建议。

（2）若提交之后，设备加入域失败，10s 之后会在右下方弹出小喇叭，提示错误原因，并

给出修改建议。

3、页面参数说明

参数要求长度范围说明

提交后设备会以完整的计算机名加入域，该完整的计算机名包括用户可填写部分 “-” 网关序号后缀设备要加入的域的名称，如：

logon2008r2.com DNS 服务器的IP 地址，一般DNS 服务器和域控制器在一台设备上，也可以是一台单

独的设备。支持管理员账号和非管理员账号，域账号可以通过在域控制器上新建用户获得。

计算机名（用户可填

写部分）只支持字母，数字以及连接符-

最多支持10个字节

域名

只支持字母，数字，

连接符-，下划线_以最多支持95个字节及.

只支持点分十进制格式，如：192.168.222.132

域DNS 服务器只支持1个IP

域账号

不支持中文，”’以及空格符

最多支持95个字节

域账号密码无最多支持95个字节建立域账号时所使用的密码

验证单点登录

1

、在控制台页面设置默认认证策略为密码认证或单点登陆，然后点击提交；

2、使用域账号登陆pc ，打开浏览器，访问外网（如淘宝网），若访问成功，则执行下一步；

3、打开控制台页面，依次点击实时状态->在线用户管理，查看是否有刚登陆的域账号上线以及上线时的认证方式是否为单点登陆。若在线用户里存在刚登陆的域用户同时认证方式为单点登陆，则说明集成windows

身份验证启用成功。

错误说明

1、配置文件错误

解决方法：

检查后台配置文件authoption.ini 里的配置参数是否为空。

2、DNS 服务器地址不合法

解决方法：

检查域DNS 服务器的IP 地址格式是否正确。

3、无法与DNS 服务器建立连接

解决方法：

检查与DNS 服务器之间的网络是否通畅。

4、在DNS 服务器上查询不到域信息

解决方法：

检查域名是否正确，若不正确，重新输入正确域名。

5、无法与域控制器建立连接

解决方法：

确保所有域控制器与设备之间的网络可以连通。

6、检测到不是有效的域名

解决方法：

确保所填写的名称不是计算机名或其他非域名称，若仍然提示该错误，则请联系管理员，检查域控制器是否出现异常。

7、域账号不存在

解决方法：

重新输入正确的域账号，或在域上新建用户，使用新建的域账号，重新输入一次。注：（1）新建用户，右键点击User 组，选择新建->

用户。

（2

）输入用户登录名，点击下一步，输入密码，点击下一步，最后点击完成。

8、域账户已过期或被禁用

解决方法：

联系管理员查看该账户是否过期，若过期，则更改过期时间，若没有过期，则说明该账户已被禁用，重新启用该账户即可。或者更换其他有效域账户重新提交一次。

注：（1）更改过期时间，在域控制器上，右键点击所选用户，选择属性->账户，在账户过期

一栏选择永不过期或者延后过期时间。

（2

）启用该账户，在域控制器上，右键点击所选用户，选择启用账户。

9、域账号密码不正确

解决方法：

重新输入正确的密码。

10、密码已过期

解决方法：

更换为其他有效的账户，或者联系管理员重新设置该账户的密码。

注：重置密码，在域控制器上，右键点击所选用户，选择重置密码。

11、时间与域控制器不一致

解决方法：

登陆控制台页面，查看域控制器上的时间和时区与设备是否一致，若不一致，则修改域控制

器上的时间和时区使其与设备保持同步，或者修改设备上的时间和时区使其与域控制器保持一致。

注：（1）查看系统时间和时区，依次点开系统设置->

系统时间，然后点击获取系统时间。

（2）修改设备时间和时区，依次点开系统设置->系统时间，输入要修改的时间和时区，然后点击提交。

12、域账户权限不够

解决方法：

更换计算机名重新提交一次，或者切换为管理员账户重新提交一次。

13、该域账户加入域的次数，超出正常限制

解决方法：

更换为其他有效账户，重新提交一次。

14、域名（windows 2000以前版本）设置错误

解决方法：

在后台配置文件authoption.ini 中，手动在iwa 字段下，设置键值work_group为域名（windows 2000以前版本）。

注：（1）查看windows 2000以前版本域名，右键查看域名属性，点击常规。

（2）后台配置文件authoption.ini

，红色框字段为手动配置字段。