基于SSL VPN的單點登錄在智慧校園平臺中的應用

俞靚亮

摘要：在過去幾年的時間中，寧波廣播電視大學開發和購買了各類信息系統和運維系統，例如工資查詢系統、科研管理系統、智慧校園門戶和思福迪堡壘機等。基于網絡安全和信息保密的考慮，這些系統需要部署在校園網環境中對授權用戶開放訪問，在互聯網上授權用戶只能通過登錄vpn后才能訪問這些系統。該文采用了深信服的sslvpn，認證方式包括本地密碼認證和cas票據認證，對于已經接入智慧校園統一身份認證的系統，采用cas票據認證先登錄vpn，再訪問這些系統，對于思福迪堡壘機等運維系統，只需新建若干個本地賬戶分配給有需要的老師即可。此外，該文還實現了vpn無感知拉起業務系統的功能，被授權的用戶在互聯網上直接輸入業務系統的網址，就能調用vpn并訪問該業務系統，達到方便又安全的效果。

關鍵詞：單點登錄;vpn;cas

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）04-0050-03

Abstract： In the past few years，Ningbo TV & Radio University has developed and purchased various information systems and operation and maintenance systems， such as salary query system， scientific research management system， smart campus portal and SAFETYBASE fortress machine， etc. Based on the consideration of network security and information confidentiality， these systems need to be deployed in the campus network environment to open access to authorized users. Authorized users on the Internet can only access these systems by logging in VPN.In this paper， we use SSL VPN of SANGFOR， which includes local password authentication and CAS bill authentication. For the system that has been connected to the unified identity authentication of smart campus， we use CAS bill authentication to log in VPN first， and then access these systems. For the operation and maintenance system such as the SAFETY BASE fortress machine， we only need to create a number of local accounts and assign them to the teachers who need them.In addition， this paper also realizes the function of pulling up the business system without VPN awareness. Authorized users can directly input the web address of the business system on the Internet， and then they can call VPN and visit the business system， achieving the convenient and safe effect.

Key words：single sign-on; VPN;CAS

1 sslvpn中單點登錄技術的研究現狀

sslvpn中單點登錄主要包括ldap認證、radius認證、域單點登錄認證和cas認證。ldap是Lightweight Directory Access Protocol（輕型目錄訪問協議）的縮寫，是一個開放的，中立的，工業標準的應用協議，通過IP協議提供訪問控制和維護分布式信息的目錄信息。目錄服務在開發內部網和與互聯網程序共享用戶、系統、網絡、服務和應用的過程中占據了重要地位。例如，目錄服務可能提供了組織有序的記錄集合，通常有層級結構，例如公司電子郵件目錄。同理，也可以提供包含了地址和電話號碼的電話簿。ldap的一個常用用途是單點登錄，用戶可以在多個服務中使用同一個密碼，通常用于公司內部網站的登錄中，這樣用戶可以在公司計算機上登錄一次，便可以自動在公司內部網上登錄。radius是一種用于在需要認證其鏈接的網絡訪問服務器（nas）和共享認證服務器之間進行認證、授權和記賬信息的文檔協議。radius服務器負責接收用戶的連接請求、認證用戶，然后返回客戶機所有必要的配置信息以將服務發送到用戶，利用radius可以實現單點登錄。域單點登錄認證借助Active Directory用作單點登錄的身份提供商，人員和機構信息都保存在Active Directory中，機構節點為樹形節點，節點下包含了人員節點，可以實現域用戶自動登錄sslvpn。

石炎生[1]在開發岳陽樓區基于健康檔案的區域衛生信息平臺的實踐，提出了單點登錄技術與SSL VPN技術相結合的基于SSL VPN單點登錄技術，為整合多種醫療業務應用系統提供了一個統一身份認證、統一用戶管理、統一授權管理、統一資源管理和單點登錄平臺。周蕾[2]針對VPN網絡中眾多遺留系統單點登錄的應用需求，提出了基于Web Services的統一身份認證方案，并從系統的功能設計、Web服務設計以及安全機制設計等方面，詳細敘述了系統的設計和實現過程。由于SSL VPN接入方式安全、簡單易用，且可進行有效的權限管理，同時具備跨平臺、免客戶端等特性，被大量使用，其認證方式多種多樣，目前使用較多的有動態口令認證技術、數字證書認證技術等。王鵬[3]基于此，技術分析了企業SSL VPN認證方式。鄧屾[4]對vpn網絡中通信安全隱患進行了分析，通過防火墻技術、文件機密和數字簽名技術、漏洞掃描技術、入侵檢測技術等方面做以深入探討，能為相關人士提供有效參考。周偉[5]為方便教職工在校園網外能快速訪問校園網絡資源，在開源項目OpenVPN的基礎上結合數字校園統一身份認證平臺設計開發了遠程接入系統。系統采用客戶機/服務器模式，用戶通過客戶端軟件使用數字校園統一身份認證系統進行認證，與VPN接入服務器建立連接后可快速訪問校園網絡資源。

2 sslvpn中單點登錄的技術實現

搭建ldap服務器或者radius服務器，通過外部認證用戶數據庫的映射或導入到本地sslvpn的形式來托管用戶密碼認證操作，存在一個問題：無法實時同步ldap服務器或者radius服務器與統一認證服務器之間的賬號和密碼。當用戶修改統一認證的密碼之后，ldap服務器或者radius服務器無法及時獲取到修改后的密碼，用戶無法正確登錄sslvpn。域單點登錄認證也有這個問題。所以本文采用cas認證的方式，直接把sslvpn系統作為casclient端接入到智慧校園的單點登錄系統的server端中。

寧波廣播電視大學智慧校園的單點登錄系統的服務端采用了廣州聯奕信息科技有限公司開發的casserver，各類業務系統如果要接入單點登錄系統，必須自行開發casclient，并且在server端注冊Client的信息，包括應用名稱，應用域名、登錄url、退出url、字符編碼等信息。首先我們把sslvpn的域名注冊到server端，然后在系統設置->sslvpn選項->主題管理->登錄策略中增加一條策略，如圖1所示。訪問地址/*表示使用域名訪問vpn。適用用戶如果未選擇，則為默認用戶組中的所有用戶。門戶類別選擇第三方門戶，認證類型選擇cas票據認證。設置成功之后，用戶在瀏覽器中輸入vpn域名，就會自動跳轉到智慧校園的單點登錄系統界面，輸入用戶名和密碼，就能登錄vpn進入資源列表頁面。因為單點登錄系統的用戶是全校的教職工，還有一些零散的用戶，例如各個縣級電大和公司運維人員的賬號不在單點登錄系統的用戶列表中。需要為這些用戶建立新的登錄策略，其訪問地址使用ip地址形式，適用用戶選擇這些零散的用戶，門戶類別選擇本地門戶，如圖2所示。另外，還需要在系統設置->sslvpn選項->系統選項->資源服務選項->web應用中設置web泛域名：*.vpn.nbtvu.net.cn：8118。所謂“泛域名”就是在一個域名根之下的，所有未建立的子域名集合，泛域名不包括已成功建立域名記錄的子域名。所謂“泛域名解析”是指：利用通配符* （星號）來做次級域名以實現所有的次級域名均指向同一IP地址。需要說明的是，如果單獨設置一個子域名解析，那么該解析記錄優先，泛域名解析不起作用。泛域名解析主要包括以下用途：（1）可以讓域名支持無限的子域名（這也是泛域名解析最大的用途）。（2）防止用戶錯誤輸入導致的網站不能訪問的問題。（3）可以讓直接輸入網址登錄網站的用戶輸入簡潔的網址即可訪問網站。（4）在域名前添加任何子域名，均可訪問到所指向的web地址。泛域名在實際使用中作用是非常廣泛的，比如實現無限二級域名功能，提供免費的url轉發，在idc部門實現自動分配免費網址，在大型企業中實現網址分類管理等等，都發揮了巨大的作用。

設置成功之后，如果資源類型是“web應用”類型，資源的域名是wqs.nbtvu.net.cn，那么用戶打開資源之后，在瀏覽器地址欄可以看到訪問地址是wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。科研管理系統也需要設置成在內網訪問，外網訪問必須通過vpn，它的域名是kyxt.nbtvu.net.cn，經過vpn設備解析之后訪問地址變成了kyxt-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。類似的，如果以后有新的系統x.nbtvu.net.cn需要設置成外網通過vpn訪問，那么它的域名就會變成x-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。在域名vpn.nbtvu.net.cn前添加任何子域名，均可訪問到vpn.nbtvu.net.cn所指向的web地址。

3? sslvpn無感知拉起業務系統的技術實現

vpn無感知拉起場景適用于業務系統使用域名且被cas業務系統納管的場景。終端用戶在內網訪問和互聯網訪問該業務系統，體驗保持一致，即都是使用域名訪問該業務系統，但業務系統未映射到互聯網，通過互聯網訪問該業務系統無感知拉起vpn，代理訪問該業務系統;通過內網不使用vpn，直接訪問該業務系統。

首先，在外網的dns服務器上把業務系統的域名wqs.nbtvu.net.cn指向vpn設備的外網ip地址，確保在外網訪問wqs.nbtvu.net.cn時，能連接vpn設備。內網dns服務器將該業務指向內網真實IP。然后，將泛域名*.vpn.nbtvu.net.cn指向vpn設備的外網ip地址，因為在外網訪問wqs.nbtvu.net.cn時，vpn設備會為之產生域名wqs-nbtvu-net-cn.vpn.nbtvu.net.cn。另外，在上一節中已經提到要在資源服務選項中為web應用設置web泛域名：*.vpn.nbtvu.net.cn：8118。最后，因為vpn設備部署模式為單臂模式，部署在內網，通過出口設備連接上網。需要在網絡出口設備防火墻上設置vpn設備的內網ip的80端口映射到vpn設備的外網ip的80端口，以實現web應用的80端口跳轉。如果業務系統使用的端口為非標準端口，http協議非80端口，https協議非443端口，則需在系統維護->控制臺命令中執行webvpn-port add端口號，即可監聽所需的非標準端口。

設置完成后，學校教職工在外網輸入http：//wqs.nbtvu.net.cn，由于域名wqs.nbtvu.net.cn指向了vpn設備的外網ip地址并且vpn設備的內網ip的80端口映射到vpn設備的外網ip的80端口，vpn設備就能監聽到訪問請求并且把訪問地址解析為http：//wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118/，其中wqs-nbtvu-net-cn.vpn.nbtvu.net.cn是泛域名*.vpn.nbtvu.net.cn根據業務系統具體生成的一個子域名，8118是預先配置的端口號。因為設置了使用域名訪問vpn設備的認證類型是cas票據認證，所以在用戶沒有登錄統一身份認證系統的情況下，訪問 http：//wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118/會跳轉到統一身份認證系統的登錄界面（如果用戶已經登錄了統一身份認證系統，就能自動訪問http：//wqs.nbtvu.net.cn地址）。用戶輸入正確的統一身份認證用戶名和密碼后就能訪問http：//wqs.nbtvu.net.cn地址。但是還有一個問題，工資查詢系統接入到統一身份認證系統的地址是http：//wqs.nbtvu.net.cn/sso/login.aspx，所以還需要在http：//wqs.nbtvu.net.cn地址對應的頁面文件中增加一行跳轉到http：//wqs.nbtvu.net.cn/sso/login.aspx的代碼，這樣才能實現用戶輸入正確的統一身份認證用戶名和密碼，登錄統一身份認證系統后，再自動登錄工資查詢系統。另外，學校教職工在內網輸入http：//wqs.nbtvu.net.cn，不經過vpn設備，通過內網dns服務器直接訪問對應的內網ip地址。如果用戶已經登錄了統一身份認證系統，就能自動登錄工資查詢系統，否則，輸入正確的統一身份認證用戶名和密碼，登錄統一身份認證系統后，再自動登錄工資查詢系統。

4 總結

本文在sslvpn設備中實現了與智慧校園統一身份認證系統對接的cas票據認證功能，全校教職工只需登錄統一身份認證系統后，就能自動登錄vpn，進行各類資源的訪問。另外，還為一些單獨的用戶實現了使用ip地址登錄vpn進行資源訪問的功能。最后，還為教職工在外網訪問受限在校園網內部的業務系統實現了無感知拉起業務系統的功能，達到了方便、安全的目的。

參考文獻：

[1] 石炎生，嚴權峰，劉利強.基于SSL VPN單點登錄在區域衛生信息平臺中的應用[J].電子技術，2011，40（11）：40-41.

[2] 周蕾.基于VPN的統一身份認證關鍵技術研究與應用[J].淮陰工學院學報，2009，18（3）：35-39.

[3] 王鵬.企業SSL VPN認證方式分析[J].無線互聯科技，2019（23）：39-40.

[4] 鄧屾.基于VPN與網絡安全的研究[J].網絡安全技術與應用，2020（1）：35-36.

[5] 周偉.基于統一身份認證的OpenVPN系統的設計與實現[J].攀枝花學院學報，2010，27（6）：32-35，75.

【通聯編輯：代影】