在现有的网络环境中，部署着用于远程接入的SSL VPN设备和提供活动目录认证的域控制器，用户在接入内部网络时，需要提供存储在活动目录中的用户名和密码完成认证。由于涉及内部网络的安全，尤其是一些关键的应用系统安全，客户希望在部分有权限访问重要业务系统的用户访问过程中，启用动态口令进行高强度的身份认证。
目前环境的SSL VPN远程用户整个的登录访问过程如下图：

       其中的ISA Server主要应用其RADIUS认证和AD认证转发功能，为SSL VPN接入的用户提供活动目录（AD）认证。

      采用PAS动态口令认证系统，能够实现通过SSL VPN访问内部资源的人员，一部分采用动态口令认证，一部分保留原有的AD认证方式。
解决方案如下图所示：



      在此方案中，需要在PAS动态口令服务器上启动RADIUS服务器接收来自SSL VPN的认证请求，同时还需要配置LDAP协议的认证转发器（Broker），该转发器可以将PAS动态口令系统中不存在用户的认证转发给域控制器，从而实现客户对认证系统的全面需求。

整个认证流程如下所述：
1、 用户登录原有的SSL VPN登录界面；
2、 用户输入用户名、口令（强认证用户使用动态口令，AD认证用户则使用域密码）；
3、 SSL VPN通过RADIUS协议将认证信息发送给PAS动态口令服务器，
4、 PAS动态口令服务器在收到认证信息后进行判断，如果该认证用户在系统中存在，则直接验证其提供的动态口令，并将认证结果返回给SSL VPN；
5、 如果该用户在PAS动态口令系统中不存在，则通过Broker将用户认证以LDAP方式发送给域控制器（AD）进行验证，并接收域控制器的认证结果，随后将认证结果返回给SSL VPN设备；

      在整个认证过程中，用户不会感觉到与原有系统的差异，不影响业务系统的使用。而且，PAS动态口令认证系统还能够为SSL VPN返回符合其要求的RADIUS属性，例如：可以为采用域认证的用户动态的加载访问控制列表（ACL），禁止其访问关键的业务系统，而只有通过动态口令认证的用户才能访问，从而为用户访问内网应用提供了更安全的控制机制。