本帖最后由 钉子户 于 2019-11-14 15:52 编辑
一、设备在做webvpn,通过泛域名代理资源的方式,被代理的域名不能和泛域名同级,否则不被代理,建议优化
现象描述:客户域名为a.com,用户的内网资源有 www.a.com,oa.a.com等资源,做了cas认证,刚开始的做法是配置两个A记录分别对应vpn的ip,vpn.a.com(vpn登录地址) 和*.vpn.a.com(泛域名),使用一切都正常,某天用户要求去掉https证书错误,并且提供了一个*.a.com的泛域名证书,导入之后发现跳转到第三方认证时证书报错(证书不匹配),认证成功后回跳到资源列表证书是正常的。 现象原因:证书不支持跨级匹配,因为泛域名是二级域了,而证书只支持1级,资源被代理后也变成了二级,所以造成证书不信任。 处理方法:把泛域名改成 *.a.com 指向vpn设备ip,再次测试发现访问内网资源就直接跳转到资源的真实地址了,而不是被代理后的地址。400客服建议是更换其他域名使用 建议:用户一般都是使用一个域名,很少会有多个 1、优化泛域名代理逻辑,和泛域名同级的资源需要能够正常代理。 2、证书信任问题,一般情况申请泛域名证书都是1级的,很少会用到二级,建议提供一个做泛域名后证书说明。
二、vpn增加登录策略后,访问vpn登录地址必须要加上https:// 才能正常访问,使用不方便,建议优化。
三、cas认证,之前在一个客户对接cas的时候,对方系统不返回用户分组,希望有一个变通的做法。建议能够匹配本地用户所在的组,即预先开户到vpn系统,cas用户登录成功后配置本地用户策略。类似于AC的认证用户,ac把用户导入到本地之后,第三方系统单点登录成功后能够匹配到本地账号,匹配本地用户的组策略。 |