基于SSL VPN的单点登录在智慧校园平台中的应用

俞靓亮

摘要：在过去几年的时间中，宁波广播电视大学开发和购买了各类信息系统和运维系统，例如工资查询系统、科研管理系统、智慧校园门户和思福迪堡垒机等。基于网络安全和信息保密的考虑，这些系统需要部署在校园网环境中对授权用户开放访问，在互联网上授权用户只能通过登录vpn后才能访问这些系统。该文采用了深信服的sslvpn，认证方式包括本地密码认证和cas票据认证，对于已经接入智慧校园统一身份认证的系统，采用cas票据认证先登录vpn，再访问这些系统，对于思福迪堡垒机等运维系统，只需新建若干个本地账户分配给有需要的老师即可。此外，该文还实现了vpn无感知拉起业务系统的功能，被授权的用户在互联网上直接输入业务系统的网址，就能调用vpn并访问该业务系统，达到方便又安全的效果。

关键词：单点登录;vpn;cas

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2021）04-0050-03

Abstract： In the past few years，Ningbo TV & Radio University has developed and purchased various information systems and operation and maintenance systems， such as salary query system， scientific research management system， smart campus portal and SAFETYBASE fortress machine， etc. Based on the consideration of network security and information confidentiality， these systems need to be deployed in the campus network environment to open access to authorized users. Authorized users on the Internet can only access these systems by logging in VPN.In this paper， we use SSL VPN of SANGFOR， which includes local password authentication and CAS bill authentication. For the system that has been connected to the unified identity authentication of smart campus， we use CAS bill authentication to log in VPN first， and then access these systems. For the operation and maintenance system such as the SAFETY BASE fortress machine， we only need to create a number of local accounts and assign them to the teachers who need them.In addition， this paper also realizes the function of pulling up the business system without VPN awareness. Authorized users can directly input the web address of the business system on the Internet， and then they can call VPN and visit the business system， achieving the convenient and safe effect.

Key words：single sign-on; VPN;CAS

1 sslvpn中单点登录技术的研究现状

sslvpn中单点登录主要包括ldap认证、radius认证、域单点登录认证和cas认证。ldap是Lightweight Directory Access Protocol（轻型目录访问协议）的缩写，是一个开放的，中立的，工业标准的应用协议，通过IP协议提供访问控制和维护分布式信息的目录信息。目录服务在开发内部网和与互联网程序共享用户、系统、网络、服务和应用的过程中占据了重要地位。例如，目录服务可能提供了组织有序的记录集合，通常有层级结构，例如公司电子邮件目录。同理，也可以提供包含了地址和电话号码的电话簿。ldap的一个常用用途是单点登录，用户可以在多个服务中使用同一个密码，通常用于公司内部网站的登录中，这样用户可以在公司计算机上登錄一次，便可以自动在公司内部网上登录。radius是一种用于在需要认证其链接的网络访问服务器（nas）和共享认证服务器之间进行认证、授权和记账信息的文档协议。radius服务器负责接收用户的连接请求、认证用户，然后返回客户机所有必要的配置信息以将服务发送到用户，利用radius可以实现单点登录。域单点登录认证借助Active Directory用作单点登录的身份提供商，人员和机构信息都保存在Active Directory中，机构节点为树形节点，节点下包含了人员节点，可以实现域用户自动登录sslvpn。

石炎生[1]在开发岳阳楼区基于健康档案的区域卫生信息平台的实践，提出了单点登录技术与SSL VPN技术相结合的基于SSL VPN单点登录技术，为整合多种医疗业务应用系统提供了一个统一身份认证、统一用户管理、统一授权管理、统一资源管理和单点登录平台。周蕾[2]针对VPN网络中众多遗留系统单点登录的应用需求，提出了基于Web Services的统一身份认证方案，并从系统的功能设计、Web服务设计以及安全机制设计等方面，详细叙述了系统的设计和实现过程。由于SSL VPN接入方式安全、简单易用，且可进行有效的权限管理，同时具备跨平台、免客户端等特性，被大量使用，其认证方式多种多样，目前使用较多的有动态口令认证技术、数字证书认证技术等。王鹏[3]基于此，技术分析了企业SSL VPN认证方式。邓屾[4]对vpn网络中通信安全隐患进行了分析，通过防火墙技术、文件机密和数字签名技术、漏洞扫描技术、入侵检测技术等方面做以深入探讨，能为相关人士提供有效参考。周伟[5]为方便教职工在校园网外能快速访问校园网络资源，在开源项目OpenVPN的基础上结合数字校园统一身份认证平台设计开发了远程接入系统。系统采用客户机/服务器模式，用户通过客户端软件使用数字校园统一身份认证系统进行认证，与VPN接入服务器建立连接后可快速访问校园网络资源。

2 sslvpn中单点登录的技术实现

搭建ldap服务器或者radius服务器，通过外部认证用户数据库的映射或导入到本地sslvpn的形式来托管用户密码认证操作，存在一个问题：无法实时同步ldap服务器或者radius服务器与统一认证服务器之间的账号和密码。当用户修改统一认证的密码之后，ldap服务器或者radius服务器无法及时获取到修改后的密码，用户无法正确登录sslvpn。域单点登录认证也有这个问题。所以本文采用cas认证的方式，直接把sslvpn系统作为casclient端接入到智慧校园的单点登录系统的server端中。

宁波广播电视大学智慧校园的单点登录系统的服务端采用了广州联奕信息科技有限公司开发的casserver，各类业务系统如果要接入单点登录系统，必须自行开发casclient，并且在server端注册Client的信息，包括应用名称，应用域名、登录url、退出url、字符编码等信息。首先我们把sslvpn的域名注册到server端，然后在系统设置->sslvpn选项->主题管理->登录策略中增加一条策略，如图1所示。访问地址/*表示使用域名访问vpn。适用用户如果未选择，则为默认用户组中的所有用户。门户类别选择第三方门户，认证类型选择cas票据认证。设置成功之后，用户在浏览器中输入vpn域名，就会自动跳转到智慧校园的单点登录系统界面，输入用户名和密码，就能登录vpn进入资源列表页面。因为单点登录系统的用户是全校的教职工，还有一些零散的用户，例如各个县级电大和公司运维人员的账号不在单点登录系统的用户列表中。需要为这些用户建立新的登录策略，其访问地址使用ip地址形式，适用用户选择这些零散的用户，门户类别选择本地门户，如图2所示。另外，还需要在系统设置->sslvpn选项->系统选项->资源服务选项->web应用中设置web泛域名：*.vpn.nbtvu.net.cn：8118。所谓“泛域名”就是在一个域名根之下的，所有未建立的子域名集合，泛域名不包括已成功建立域名记录的子域名。所谓“泛域名解析”是指：利用通配符* （星号）来做次级域名以实现所有的次级域名均指向同一IP地址。需要说明的是，如果单独设置一个子域名解析，那么该解析记录优先，泛域名解析不起作用。泛域名解析主要包括以下用途：（1）可以让域名支持无限的子域名（这也是泛域名解析最大的用途）。（2）防止用户错误输入导致的网站不能访问的问题。（3）可以让直接输入网址登录网站的用户输入简洁的网址即可访问网站。（4）在域名前添加任何子域名，均可访问到所指向的web地址。泛域名在实际使用中作用是非常广泛的，比如实现无限二级域名功能，提供免费的url转发，在idc部门实现自动分配免费网址，在大型企业中实现网址分类管理等等，都发挥了巨大的作用。

设置成功之后，如果资源类型是“web应用”类型，资源的域名是wqs.nbtvu.net.cn，那么用户打开资源之后，在浏览器地址栏可以看到访问地址是wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。科研管理系统也需要设置成在内网访问，外网访问必须通过vpn，它的域名是kyxt.nbtvu.net.cn，经过vpn设备解析之后访问地址变成了kyxt-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。类似的，如果以后有新的系统x.nbtvu.net.cn需要设置成外网通过vpn访问，那么它的域名就会变成x-nbtvu-net-cn.vpn.nbtvu.net.cn：8118。在域名vpn.nbtvu.net.cn前添加任何子域名，均可访问到vpn.nbtvu.net.cn所指向的web地址。

3  sslvpn无感知拉起业务系统的技术实现

vpn无感知拉起场景适用于业务系统使用域名且被cas业务系统纳管的场景。终端用户在内网访问和互联网访问该业务系统，体验保持一致，即都是使用域名访问该业务系统，但业务系统未映射到互联网，通过互联网访问该业务系统无感知拉起vpn，代理访问该业务系统;通过内网不使用vpn，直接访问该业务系统。

首先，在外网的dns服务器上把业务系统的域名wqs.nbtvu.net.cn指向vpn设备的外网ip地址，确保在外网访问wqs.nbtvu.net.cn时，能连接vpn设备。内网dns服务器将该业务指向内网真实IP。然后，将泛域名*.vpn.nbtvu.net.cn指向vpn设备的外网ip地址，因为在外网访问wqs.nbtvu.net.cn时，vpn设备会为之产生域名wqs-nbtvu-net-cn.vpn.nbtvu.net.cn。另外，在上一节中已经提到要在资源服务选项中为web应用设置web泛域名：*.vpn.nbtvu.net.cn：8118。最后，因为vpn设备部署模式为单臂模式，部署在内网，通过出口设备连接上网。需要在网络出口设备防火墙上设置vpn设备的内网ip的80端口映射到vpn设备的外网ip的80端口，以实现web应用的80端口跳转。如果业务系统使用的端口为非标准端口，http协议非80端口，https协议非443端口，则需在系统维护->控制台命令中执行webvpn-port add端口号，即可监听所需的非标准端口。

设置完成后，学校教职工在外网输入http：//wqs.nbtvu.net.cn，由于域名wqs.nbtvu.net.cn指向了vpn设备的外网ip地址并且vpn设备的内网ip的80端口映射到vpn设备的外网ip的80端口，vpn设备就能监听到访问请求并且把访问地址解析为http：//wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118/，其中wqs-nbtvu-net-cn.vpn.nbtvu.net.cn是泛域名*.vpn.nbtvu.net.cn根据业务系统具体生成的一个子域名，8118是预先配置的端口号。因为设置了使用域名访问vpn设备的认证类型是cas票据认证，所以在用户没有登录统一身份认证系统的情况下，访问 http：//wqs-nbtvu-net-cn.vpn.nbtvu.net.cn：8118/会跳转到统一身份认证系统的登录界面（如果用戶已经登录了统一身份认证系统，就能自动访问http：//wqs.nbtvu.net.cn地址）。用户输入正确的统一身份认证用户名和密码后就能访问http：//wqs.nbtvu.net.cn地址。但是还有一个问题，工资查询系统接入到统一身份认证系统的地址是http：//wqs.nbtvu.net.cn/sso/login.aspx，所以还需要在http：//wqs.nbtvu.net.cn地址对应的页面文件中增加一行跳转到http：//wqs.nbtvu.net.cn/sso/login.aspx的代码，这样才能实现用户输入正确的统一身份认证用户名和密码，登录统一身份认证系统后，再自动登录工资查询系统。另外，学校教职工在内网输入http：//wqs.nbtvu.net.cn，不经过vpn设备，通过内网dns服务器直接访问对应的内网ip地址。如果用户已经登录了统一身份认证系统，就能自动登录工资查询系统，否则，输入正确的统一身份认证用户名和密码，登录统一身份认证系统后，再自动登录工资查询系统。

4 总结

本文在sslvpn设备中实现了与智慧校园统一身份认证系统对接的cas票据认证功能，全校教职工只需登录统一身份认证系统后，就能自动登录vpn，进行各类资源的访问。另外，还为一些单独的用户实现了使用ip地址登录vpn进行资源访问的功能。最后，还为教职工在外网访问受限在校园网内部的业务系统实现了无感知拉起业务系统的功能，达到了方便、安全的目的。

参考文献：

[1] 石炎生，严权峰，刘利强.基于SSL VPN单点登录在区域卫生信息平台中的应用[J].电子技术，2011，40（11）：40-41.

[2] 周蕾.基于VPN的统一身份认证关键技术研究与应用[J].淮阴工学院学报，2009，18（3）：35-39.

[3] 王鹏.企业SSL VPN认证方式分析[J].无线互联科技，2019（23）：39-40.

[4] 邓屾.基于VPN与网络安全的研究[J].网络安全技术与应用，2020（1）：35-36.

[5] 周伟.基于统一身份认证的OpenVPN系统的设计与实现[J].攀枝花学院学报，2010，27（6）：32-35，75.

【通联编辑：代影】