AD域单点登录__脚本方式单点登录doc

Logon2.0域单点登录脚本使用说明文档目录概述..................................................................................................................................................1新增功能...........................................................................................................................................1基本配置...........................................................................................................................................2配置注意事项...................................................................................................................................9部署实施注意事项.........................................................................................................................10附录a：旧格式配置文件..............................................................................................................10附录b：新格式配置文件..............................................................................................................12附录c：新旧格式混合配置文件..................................................................................................13概述本文档说明了如何在AD域上配置深信服单点登录程序logon2.0，实现内网用户登录到域后，即登录到深信服设备。新增功能logon2.0在原有的logon基础上修改了不少bug及新增了一些功能，所有的功能都是通过参数来控制。下面介绍logon2.0新增的功能及适用场景。一、增加常驻内存功能，脚本一直运行，默认启用，可以通过配置参数关闭。适用场景：客户是dhcp环境，从一个地方转移至另一个地方后，IP发生了变化需要重新认证。logon2.0采用常驻内存运行，当检测到IP变化时，会向AC发认证请求实现平滑认证。二、增加了检验数字签名功能，鉴别Logon的唯一性，默认关闭，可以通过配置参数开启适用场景：当客户电脑上有同名的logon程序在运行时，可能会导致我们的logon程序或同名的程序异常，我们启用数字签名功能，可以通过检验签名来鉴别logon的唯一性，匹配同名程序冲突。三、增加程序运行时，自动拷贝到启动目录的功能，默认启用，可以通过配置参数关闭。适用场景：由于网络或域的原因导致组策略无法下发，从而脚本无法执行，导致单点不成功，常见的如离线登录域的环境，此时通过执行logon2.0脚本，可以实现自动拷贝到windows启动目录，下次启动，直接随windows启动从本地运行logon.exe脚本，和域无关，这样可以解决离线单点登录问题，提高单点成功率。注意：此功能默认开启，脚本自动下发执行时也会拷贝到windows启动目录，防止后续无法下发组策略。四、增加是否启用心跳功能，默认关闭，可以通过配置参数关闭。适用场景：logon和AC定时发保活包，主要解决已认证的用户，当电脑切换帐号无法注销或注销脚本执行失败无法注销的问题。五、增加是否启用重复登录功能，默认关闭，可以通过配置参数关闭。适用场景：当启用心跳后，由于网络故障导致非正常注销，此时logon可以通过重复认证功能实现自动认证。六、其它更多改进功能，请参考下一章节的第六部分的参数介绍。基本配置[备注：本文所有的截图都在WindowsServer2008R2企业版下截取，其他服务器类似]一、适用服务器及AC/SG版本适用服务器：win2003win200832及64位，中文版，英文版及繁体版。适用AC版本：2.x及以后版本二、登录到您的域服务器，执行gpmc.msc或单击-开始-组策略管理打开组策略管理窗口，如下图。图1组策略管理窗口三、选中你要监控的域策略，右键-编辑，打开组策略管理编辑器。图2组策略管理编辑器窗口四、选中用户配置-策略-Windows设置，编辑“脚本（登录/注销）”。五、双击“登录”，在弹出的属性窗口中（如下图3所示），单击“显示文件”，将logon.exe放进去。如果通过sinforIP配置文件控制logon.exe的参数，则需要将编辑好的sinforIP（策略文件）也放进去（如下图4所示），然后关闭窗口。图3登录属性窗口示意图图4登录文件及配置文件配置示意图注意：当替换logon.exe时，有时候会出现删除不了之前的logon.exe，这时候可以通过以下操作解决此类问题先查看当前是否有会话存在图5出现无法删除老logon.exe现象如果存在，则先执行如下操作，再删除之前的logon.exe，最后替换新logon.exe:图6解决无法删除老logon.exe的方法六、返回“登录”属性窗口，单击“添加”，在弹出的窗口中设置脚名(logon.exe)以及脚本参数，脚本参数有固定格式或者通过sinforIP配置文件控制参数，具体有如下四种格式：1、格式1：不带脚本参数，此时需要通过sinforIP配置文件来控制参数，如下图5所示。图7格式一不带配置脚本参数示意图2、格式2：带唯一参数-a，如下图6所示，此时需要通过sinforIP配置文件来控制参数，-a将等待超时的重发次数设置为缺省次数，同时用户端每次登录时不用等待设备回包，直接发送缺省重发次数，缺省值为3。图8格式二配置脚本参数示意图3、格式3：以“Value1Value2Value3”的形式带三个参数，参数间以空格隔开，三个参数缺一不可，不需要sinforIP配置文件，如下图所示，其中：Value1：代表内网用户可访问到的设备网口IP；Value2：代表设备监听端口（固定为1773，不可改变）；Value3：代表通信密钥（必须同设备认证选项界面设置的密钥保持一致，见下图8）。图9格式三配置脚本参数示意图图10设备端密钥设置示意图4、格式4：以“Title1=value1Title2=value2……Title15=value15”的形式带多个参数（1个到15个），参数间以空格隔开，不需要sinforIP配置文件，见下图9所示，其中ac_ip及key两个参数必须配置，其它参数可选，下表1列举了可以配置的参数的参数名、合法值、有效范围、默认值等。图11格式四配置脚本参数示意图命令行参数名配置文件参数名合法值单位默认值有效范围备注en_runAlEnableRunAlways0、1---10、1是则启动常驻内存功能，否则运行一次后退出en_ckSignEnableSignature0、1---00、1是否启动检验数字签名功能（鉴别进程唯一性）en_repeatLEnableRepeatLogon0、1---00、1是否启动重复登录功能。（解决AC启用心跳功能后，局域网故障导致AC错误的注销用户。）en_copyStartEnableCopyStartup0、110、1是否开启将程序拷贝到启动目录功能baklogPBaklogPath空串或合法路径---空串空串或合法路径当域用户的默认路径%appdata%没有读写权限，可以将日志打印到指定路径(指定的路径最多包含一层新文件夹，当指定路径没权限写时，会恢复默认日志路径)en_heartBEnableHeartBeat0、1---00、1是否启动心跳功能。（解决注销脚本执行失败等问题。）en_responseEnableResponse0、1、2---20、1、2启动、关闭或者自动配置回包功能en_logon_AIPLogonALLIP0、1---00、1是否启动登录所有IP功能（PC有多个IP时，是否将所有IP都登录AC）en_logoff_OIPLogoffOldIP0、1---00、1是否启动注销旧IP功能（是即在PC从IP_A变化到IP_B时，是否注销掉IP_A）ac_ipsinforIP合法IP---3.4.5.60.0.0.0~255.255.255.255AC的IPkeyshareKey任意ASCII码字符---123最长23个字符共享密钥（大小写敏感、支持特殊字符）portPort1773---17731773端口号（不能变）reLogon_IRepeatLogonInterval正整数秒180[10,1000]重复登录时间间隔heart_beatIHeartBeatInterval正整数秒30[10,50]发送心跳的时间间隔checkIP_ICheckIPInterval正整数秒10[1,100]检测IP变化的时间间隔timeoutResponseTimeOut正整数秒5[1,50]等待回包的超时时间retry_timesRetryTimes正整数次3[1,20]一次性发送登录包的次数表1配置参数说明表注意：1、上面提到的四种模式，格式1和格式2是需要通过sinforIP配置文件控制参数的，而格式3和格式4不需要sinforIP配置文件，直接通过脚本参数来控制。2、当客户有多台AC多域的环境及vlan环境实现单点登录，可能需要用到sinforIP配置文件，其它环境一般都是一台AC一台域，此时直接用格式3或格式4即可，推荐使用格式3。3、关于sinforIP配置文件介绍，请参考附录a，附录b，附录C。七、在域上，每一次修改组策略或者替换logon.exe，都要执行刷新策略操作，在命令行控制台中执行如下指令：gpupdate和gpupdate/force(这条可选择性执行，有些修改更新不了，就只能强制)。备注：通常情况是通过进程名、用户名、以及进程签名来鉴定进程唯一性的，但是通过web下载Logon.exe会导致签名无效，所以通过设置参数en_ckSign，来决定是否要启用数字签名（缺省不启动）。当配置脚本时，命令行参数是-a，则发3次登陆消息不等待回包；命令行参数不是-a且关闭等待AC的回包时，发送RetryTimes次数的登录信息给AC如果启动了心跳功能（en_heartB=1），则重复登录功能自动启动（en_repeatL=1）；注意：如果使logon.exe心跳开启有效，则AC也要开启心跳检测，具体方法是在AC的配置文件authoption.ini中的Option大字段下补充一个小字段bAutoHeartBeat=1，保存后重启authd进程。IP检测的时间间隔必须小于等于重复登录的时间间隔（否则自动调整为（reLogon_I-1,IP检测的时间间隔的下限）的最大值）；发送心跳的时间间隔必须小于等于重复登录的时间间隔（否则自动调整（reLogon_I-1,发送心跳的时间间隔的下限）的最大值）。配置注意事项上节讲到了在哪里安装配置文件及配置参数，以及有几种配置参数的格式可供选择，下文详述配置文件及配置参数如何使用。一、每次只能有一种配置生效：如果在“添加脚本”的地方配置了“脚本参数”（如上