您所在的位置:文檔中心 - 文檔內容
設置FortiGate目錄服務認證
說明:
本文檔針對所有FortiGate設備的目錄服務配置進行說明。目錄服務指FortiGate從AD服務器上取得域用戶信息,當用戶登錄到域時該用戶信息會傳到FortiGate,從而允許用戶訪問互聯網。即可以實現單點認證功能。當用戶不在域時FortiGate則不允許該用戶上網。
環境介紹:
本文使用FortiGate400A做演示。本文支持的系統版本為FortiOS v3.0及更高。
AD服務器IP :192.168.100.21 DNS:192.168.100.21
用戶電腦IP:192.168.100.22 DNS:192.168.100.21
步驟一:在AD上安裝FSAE軟件
在AD上安裝FSAE_Setup_3.5.041.exe。提示的內容一般不需要更改,一直點擊下一步直到安裝完成。接著會提示安裝DC Agent,繼續安裝,點擊下一步直到安裝完成。
(點擊放大)
.
點擊configure FSAE,界面如上圖:
在Authentication選項下勾選Require authenticated
Password: 輸入認證密碼,該密碼必須與下一步目錄服務中的密碼一致
點擊Apply或Save&close保存 .
步驟二:配置目錄服務
在防火牆中配置:設置用戶----目錄服務,點擊新建
FortiClient AD:輸入一個名稱
FSAE Collector IP/名稱:AD服務器的IP
密碼:輸入密碼,與上一步中密碼一致 點擊OK
(點擊放大)
.
然後防火牆就會收集到AD服務器上的目錄信息,展開可以查看
(點擊放大)
.
步驟三:配置用戶組
在設置用戶----用戶組中點擊新建
名稱:輸入一個名稱
類別:選目錄服務
成員:可用的用戶組
組員:選擇哪些用戶組需要認證,即哪些用戶可以上網
(點擊放大)
.
步驟四:配置策略
在防火牆----策略中編輯出網策略,勾選啟用基於用戶認證的策略,點擊添加
(點擊放大)
.
將創建好的目錄服務名稱選到被選中的用戶組中
服務:選擇相應的服務
時間表:選擇一個時間表
保護內容表:選擇相應的保護內容表
(點擊放大)
.
步驟五:說明
在AD服務器上FSAE軟件的參數:
Listening ports監聽端口:默認用TCP8000端口與FortiGate通訊,用UDP8002端口與DC代理通訊
Timers時間設置:
工作站檢查時間:FSAE會定時檢查登陸的用戶是不是還在域上,默認為5分鐘
不可達主機超時時間:對於登陸到域的主機,但FSAE無法與該主機通訊,默認480分鐘後會將改主機從登陸用戶中刪除
IP地址更換檢查時間:FSAE會每60秒(默認)檢查在域上的主機IP,對於更改IP的主機,FSAE會及時地通知FortiGate
Common Tasks常用工具:
Show Service Status:顯示FSAE與FortiGate的通訊狀態,正常為RUNNING
Show Logon Users:顯示FSAE收集到的在域上用戶信息
(點擊放大)
.
步驟六:驗證
.