使用AD单点登录方式进行认证的用户不能访问网络资源

发布时间:  2014-09-20 浏览次数:  155 下载次数:  0
问题描述
如图24-1所示,某企业在网络边界处部署了NGFW作为网关,连接内部网络与Internet。内部网络中已经部署了AD身份验证机制,管理员在NGFW上配置了用户管理和认证机制,使用AD单点登录方式对内部网络用户进行认证。
图24-1 使用AD单点登录方式进行认证的用户不能访问网络资源组网图

实际使用中,发现研发部员工和市场部员工可以正常登录到AD中,但是无法使用浏览器访问Internet上的网站。
处理过程
不存在研发部员工和市场部员工的用户表项。
可能原因及相应的处理步骤如下:
1. AD域控制器上的登录/注销脚本设置有误。
检查AD域控制器上设置的登录/注销脚本,脚本参数中的地址应为AD单点登录服务的地址(本例中为10.3.0.251),端口应为AD单点登录服务的服务运行端口。
2. AD单点登录服务的设置有误。
检查AD单点登录服务的配置,AD单点登录服务设置的参数应该与NGFW上设置的参数保持一致。
3. NGFW上AD单点登录的设置有误。
选择“对象 > 用户 > 认证选项 > 单点登录”,查看AD单点登录中“共享密钥”的配置是否与AD单点登录服务中设置的共享密钥一致。
4. 在线用户已经达到最大值。
选择“对象 > 用户 > 在线用户”,查看在线用户的数量。
存在研发部员工和市场部员工的用户表项。
可能原因及相应的处理步骤如下:
1. 研发部员工和市场部员工的用户已经被冻结。
选择“对象 > 用户 > 在线用户”,查看被冻结的用户。如果研发部员工和市场部员工的用户已经被冻结,使用“解冻”功能取消冻结。
2. 研发部员工和市场部员工属于新用户,被加入到指定的组中,该组的权限设置有误。
选择“对象 > 用户 > 认证选项 > 单点登录”,查看AD单点登录的临时组。然后以临时组为查询条件,查询所有引用了该组的安全策略,检查安全策略及其配置文件是否将研发部员工和市场部员工发出的流量阻断。
3. 安全策略配置有误。
选择“监控 > 策略命中日志”,以研发部员工和市场部员工的用户名或源地址为查询条件,查询命中的安全策略。然后检查安全策略及其配置文件是否将研发部员工和市场部员工发出的流量阻断。
根因
选择“对象 > 用户 > 在线用户”,在“在线用户列表”中以研发部员工或市场部员工的登录名为条件,查询是否存在研发部员工和市场部员工的用户表项。根据查询结果可以缩小可能原因的范围,请分别按以下情况逐一排查可能原因:
 不存在研发部员工和市场部员工的用户表项。
 存在研发部员工和市场部员工的用户表项。

END