網(wǎng)絡督察域認證安裝配置及故障處理方法網(wǎng)絡督察域認證安裝配置及故障處理方法網(wǎng)絡督察域驗證方式有兩種方式(一) 類似于本地驗證的方式.a. 配置方法:pqconf_nc.cnf中LocalAuth =

網(wǎng)絡督察域認證安裝配置及故障處理方法

網(wǎng)絡督察域認證安裝配置及故障處理方法

網(wǎng)絡督察域驗證方式

有兩種方式

(一) 類似于本地驗證的方式.

a. 配置方法:

pqconf_nc.cnf中

LocalAuth = "NTDOMAIN"

NtDoMainServer = "域服務器IP 地址"

在網(wǎng)絡設置中將管理的ip 范圍加在本地驗證中.

在用戶管理中將需要管理的用戶帳號添加到系統(tǒng)中, 登錄名需要和域控制器中用戶的登錄名相同, 密碼可以任意值.

在上網(wǎng)綜合參數(shù)設置中將自動增加用戶的選擇框的v 去掉.

b. 工作原理

用戶在上網(wǎng)時, 彈出一個驗證框, 需要用戶輸入登錄名和密碼, 網(wǎng)絡督察接收到驗證信息后, 將其轉(zhuǎn)發(fā)給域服務器, 由域服務器驗證, 通過后網(wǎng)絡督察返回" 您可以上網(wǎng)了" 的提示信息.

c. 可能出現(xiàn)的問題及解決方法

1) 不能彈出驗證框

檢查上網(wǎng)的電腦的ip 地址是否設在本地驗證的ip 管理段.

2) 輸入登錄名和密碼后, 很長時間沒有反應

檢查域控制器和網(wǎng)絡督察驗證用的通訊端口445是否開放.

檢查pqconf_nc.cnf中的LocalAuth 和NtDoMainServer 參數(shù)是否設置正確.

3) 輸入登錄名和密碼后系統(tǒng)提示" 用戶名不存在"

檢查網(wǎng)絡督察用戶管理中該用戶是否存在, 域控制器中該用戶是否存在.

4) 輸入登錄名和密碼后系統(tǒng)提示" 密碼不正確"

檢查輸入的用戶名和密碼是否正確

5) 不管輸入任何的用戶名和密碼, 系統(tǒng)都提示" 您可以上網(wǎng)了"

檢查上網(wǎng)綜合參數(shù)設置中" 自動添加用戶" 功能是否開啟, 應將其關閉.

d. 典型的應用

公司域中的電腦比較多, 但很多電腦只能上局域網(wǎng)不能上互聯(lián)網(wǎng), 公司希望上

網(wǎng)需要授權(quán), 帳號借用域帳號, 用戶購買網(wǎng)絡督察的licence 用戶數(shù)只需要真正上

網(wǎng)的電腦數(shù)就可以了.

(二) 在域控制器中安裝客戶端的域驗證方式

優(yōu)點:對用戶完全透明, 只要用戶登錄到域, 就可以對用戶的上網(wǎng)行為完全控制.

缺點:用戶沒登錄到域, 只能阻止其上網(wǎng), 不能具體控制其上網(wǎng)行為, 網(wǎng)絡督察的licence 用戶數(shù)需要和域中的用戶數(shù)相同, 需要在域控制器上安裝客戶端程序.

a. 網(wǎng)絡督察的配置方法:

1) pqconf_nc.cnf配置

StartNtAuth = "Yes" 啟動網(wǎng)絡督察域認證服務進程, 默認不啟動.

NtAuthMustSet = "No" 不管用戶的ip 地址是否落在第三方驗證的ip 管理段,

用戶信息都要用域服務器中的用戶信息同步.

NtAuthMustSet = "Yes" 域服務器中的用戶信息只對ip 落在第三方驗證IP 管理

網(wǎng)絡督察域認證安裝配置及故障處理方法

段的用戶進行同步.

AddGroupByNt="Yes" 同步域用戶時, 如果網(wǎng)絡督察中不存在部門, 系統(tǒng)自動添加部門, 默認狀態(tài)該功能開啟.

AddGroupByNt="No"同步域用戶時, 若該用戶所屬的部門在網(wǎng)絡督察中存在, 將該用戶自動歸到該部門中, 不存在則歸到未知部門中.

NtAuthCtl = "No" 當用戶沒有登錄到域時, 網(wǎng)絡督察對用戶的上網(wǎng)行為不作控制. NtAuthCtl = "Yes" 用戶沒有登錄到域時, 網(wǎng)絡督察不允許用戶上網(wǎng).

默認狀態(tài)NtAuthCtl = "Yes"

當用戶網(wǎng)絡中使用ISA 代理時, 用戶不登錄到域, ISA 可以控制不讓用戶上網(wǎng), 在這種情況, 最好設置NtAuthCtl = "No" ,否則有可能造成ISA 不能正常工作的現(xiàn)象.

2) 網(wǎng)絡督察界面上的配置

在網(wǎng)絡設置中將管理的ip 范圍加在本地驗證中.

在第三方驗證中點擊" 高級" 添加域驗證客戶端帳號信息.

如果域服務器的操作系統(tǒng)不是簡體中文, 則需要選擇域服務器的操作系統(tǒng)的語言, 否則用戶信息有可能出現(xiàn)亂碼.

如果帳號信息沒法添加, 在后臺檢查一下ncntserver 的表, 在mysql 交互界面下執(zhí)行delete from ncntserver 清空該表, 再嘗試添加.

為了保證域用戶顯示名, 域用戶的部門正確顯示在網(wǎng)絡督察上, 必須正確選擇" 域用戶顯示名對應于系統(tǒng)域用戶GROUP 對應于系統(tǒng)域用戶OU 對應于系統(tǒng)的值. 默認狀態(tài)用戶的顯示名和登錄名都對應域用戶的登錄名, 改變配置后, 需要重啟網(wǎng)絡督察.

常.

3) 域驗證客戶端的安裝

在安裝域驗證客戶前, 以下準備工作是必須的:

a. 域驗證客戶端和網(wǎng)絡督察通訊用的通訊端口是10000, 必須要保證該端口是開

放的. 界面上的最后通訊時間指的是域驗證客戶端和網(wǎng)絡督察最后通訊時間, 如果這個時間和當前時間差超過5分鐘, 需要檢查一下當前域驗證客戶端和網(wǎng)絡督察通訊是否正

b. 在網(wǎng)絡督察上添加該客戶端注冊網(wǎng)絡督察的帳號, 默認應該有一個nt001和

nt002的帳號.

c. 在域控制器中添加一個供該客戶端軟件訪問目錄服務的帳號.

d. 域控制器上策略的設置

域控制器安全策略設置:

本地策略—審核策略—審核賬戶登錄事件和審核登錄事件登錄成功

設為審核.

網(wǎng)絡督察域認證安裝配置及故障處理方法

e. 安裝域驗證客戶端程序

在安裝域驗證客戶端程序時, 需要輸入以下參數(shù)

: 事件日志設置保存方式要確保日志有適當?shù)拇鎯臻g. ◆ 域安全策略的設置方法同上. ◆ 如果域控制器中的用戶數(shù)超過1000, 還需要修改LDAP 策略. 目錄服務通過LDAP 訪問用戶信息的默認最大記錄數(shù)為1000, 當AD 中用戶數(shù)超過1000時, 需要修改LDAP 策略中的MaxPageSize 參數(shù), 否則一次查詢最多只能訪問1000個用戶. 修改LDAP 策略的方法: 在運行中輸入cmd, 進入控制臺界面 輸入Ntdsutil 命令 輸入help 顯示所有的命令 輸入LDAP pllicies 輸入help 顯示該級菜單的所有命令 輸入connections 輸入help 顯示該級菜單的所有命令 輸入connect to domain 域名 輸入q 回到前一級菜單 輸入help 顯示該級菜單的所有命令 輸入show values 可以看到LDAP 策略中的MaxPageSize 的值 輸入Set MaxPageSize to 2000 將 MaxPageSize 的值改為2000 輸入commit changes 讓修改生效 輸入show values 檢查修改后的值 輸入q 輸入q 退出

網(wǎng)絡督察域認證安裝配置及故障處理方法

服務器IP 地址—網(wǎng)絡督察的IP 地址 使用端口和通訊超時時間可以取默認值. 校驗鍵值對應于網(wǎng)絡督察中設置的通訊密鑰

登錄EIM 賬號對應于網(wǎng)絡督察中的登錄名 其它域控制器IP 地址, 該欄目前沒有使用, 可以填0.

網(wǎng)絡督察域認證安裝配置及故障處理方法

登錄域帳號和登錄域密碼指的是域控制器為本軟件開設的供該軟件訪問目錄服務的帳號, 特別需要注意的是帳號對應的是域用戶的顯示名, 而不是登錄名.

4) 運行域認證客戶端程序

開始—所有程序—域認證服務—StartServ

5) 停止域認證程序

開始—所有程序—域認證服務—StopServ

本程序安裝后第一次需要手工啟動, 以后隨電腦啟動而自啟動.

6) 可能出現(xiàn)的問題及解決方法

域驗證客戶端運行后, 在C:/winnt/radiusserv目錄下生成一個raduis.log 文件, 該文件記錄了程序運行的狀態(tài), 是診斷問題的重要線索.

a) 程序啟動時在raduis.log 文件中連續(xù)出現(xiàn)" can not registry to the system”的

信息.

檢查網(wǎng)絡督察中的域服務進程是否已經(jīng)啟動:在網(wǎng)絡督察的主頁左邊當前進程的旁邊, 點擊 ”more ”的按鈕, 進程表中是否有" NtAuth " 的進程.

檢查10000端口是否開放.

檢查安裝時輸入的登錄EIM 帳號和通訊密碼是否正確.

b) radius.log 文件中出現(xiàn)open ldap fail!信息, 用戶信息中沒有g(shù)roup 和ou 信息.

訪問目錄服務出錯, 檢查安裝時輸入的登錄域帳號和登錄域密碼是否正確. c) login 返回-1

網(wǎng)絡督察和域驗證軟件通訊中斷.

d) log in 不斷返回11

網(wǎng)絡督察不斷在重啟, 需要排除網(wǎng)絡督察不斷重啟的故障.

e) radius.log 文件沒有報錯, 網(wǎng)絡督察和驗證程序最近通訊時間正常, 但在線用戶

只有SYSTEM 的用戶

檢查域控制器中的安全事件, 查詢事件ID 為540,672和673的事件, 檢查有沒有用戶登錄域, 如沒有, 需要檢查域策略設置是否正確.

如果安全事件中有用戶登錄的記錄, 檢查一下該用戶登錄的域是否是軟件安裝時設置的域服務器名.

f) 網(wǎng)絡督察在線用戶中用戶只有登錄名, 沒有顯示名, 也沒有部門名.

檢查radius.log 文件中l(wèi)ogin 的用戶信息是否正常, 如正常, 檢查第三方驗證高級設置中的設置是否正確.