飛塔AD域驗證配置手冊_第1頁
飛塔AD域驗證配置手冊_第2頁
飛塔AD域驗證配置手冊_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、- 精品 word 文檔值得下載值得擁有 -FORTINET 設(shè)置 FortiGate目錄服務(wù)認(rèn)證銀興技術(shù)支持 QQ2642662476說明:本文檔針對所有FortiGate設(shè)備的目錄服務(wù)配置進行說明。目錄服務(wù)指FortiGate從 AD 服務(wù)器上取得域用戶信息, 當(dāng)用戶登錄到域時該用戶信息會傳到FortiGate,從而允許用戶訪問互聯(lián)網(wǎng)。即可以實現(xiàn)單點認(rèn)證功能。當(dāng)用戶不在域時FortiGate 則不允許該用戶上網(wǎng)。環(huán)境介紹 :本文使用FortiGate400A做演示。本文支持的系統(tǒng)版本為FortiOS v3.0及更高。AD 服務(wù)器IP: 192.168.100.21DNS :192.168.

2、100.21用戶電腦 IP :192.168.100.22DNS :192.168.100.21步驟一:在AD 上安裝 FSAE 軟件在 AD 上安裝 FSAE_Setup_3.5.041.exe 。提示的內(nèi)容一般不需要更改, 一直點擊下一步直到安裝完成。接著會提示安裝 DC Agent ,繼續(xù)安裝,點擊下一步直到安裝完成。(點擊放大)點擊 configure FSAE,界面如上圖:在 Authentication 選項下勾選 Require authenticatedPassword:輸入認(rèn)證密碼,該密碼必須與下一步目錄服務(wù)中的密碼一致點擊Apply或 Save&close保存步驟二

3、:配置目錄服務(wù)在防火墻中配置:設(shè)置用戶- 目錄服務(wù),點擊新建FortiClient AD :輸入一個名稱FSAE Collector IP/名稱: AD 服務(wù)器的IP密碼:輸入密碼,與上一步中密碼一致點擊OK(點擊放大)- 精品 word 文檔值得下載值得擁有 -然后防火墻就會收集到AD 服務(wù)器上的目錄信息,展開可以查看(點擊放大)步驟三:配置用戶組在設(shè)置用戶 - 用戶組中點擊新建名稱:輸入一個名稱類別:選目錄服務(wù)成員:可用的用戶組組員:選擇哪些用戶組需要認(rèn)證,即哪些用戶可以上網(wǎng)(點擊放大)步驟四:配置策略在防火墻 - 策略中編輯出網(wǎng)策略,勾選啟用基于用戶認(rèn)證的策略,點擊添加(點擊放大)- 精

4、品 word 文檔值得下載值得擁有 -將創(chuàng)建好的目錄服務(wù)名稱選到被選中的用戶組中服務(wù):選擇相應(yīng)的服務(wù)時間表:選擇一個時間表保護內(nèi)容表:選擇相應(yīng)的保護內(nèi)容表(點擊放大)步驟五:說明在 AD 服務(wù)器上FSAE軟件的參數(shù):Listening ports監(jiān)聽端口:默認(rèn)用TCP8000端口與FortiGate通訊,用UDP8002端口與DC代理通訊Timers時間設(shè)置:工作站檢查時間:FSAE會定時檢查登陸的用戶是不是還在域上,默認(rèn)為5 分鐘不可達主機超時時間:對于登陸到域的主機,但FSAE無法與該主機通訊,默認(rèn)480 分鐘后會將改主機從登陸用戶中刪除IP 地址更換檢查時間:FSAE會每60 秒(默認(rèn))

5、檢查在域上的主機,對于更改IP 的主機,F(xiàn)SAE會及時地通知FortiGate- 精品 word 文檔值得下載值得擁有 -Common Tasks常用工具:Show Service Status:顯示 FSAE 與 FortiGate的通訊狀態(tài),正常為RUNNINGShow Logon Users:顯示 FSAE 收集到的在域上用戶信息(點擊放大)步驟六:驗證1. 不在域上的用戶不能上網(wǎng)2. 在域上的用戶可以上網(wǎng)3. 離開域的用戶在離開分鐘后不能上網(wǎng)在防火墻 CLI 的相關(guān)命令:dia debug enable顯示 debug 信息diagnose debug authd fsae list顯

6、示在域上的用戶dia debug application authd -1顯示認(rèn)證信息輸出信息:authd_admin.c:517 authd_admin_read: calledauthd_admin.c:548 proto=1 src=192.168.100.22:0 dst=220.181.31.8:0該信息表示IP 為 192.168.100.22的用戶沒用通過認(rèn)證,不能上網(wǎng)_process_logondalian: TEST-PC12 logged onreset_policy_timeout: clearing policy for 192.168.100.22 vfid=0fsae_add_policy:390: found profile for user TEST-PC12(DALIAN/DOMAIN USERS) IP 192.168.100.22 on policy 16fsae_add_policy:410: new policy

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論