新闻中心
  FortiGate 解决方案
  卡巴斯基网络版(反病毒)解决方案
  深圳福义轩信息技术服务级别及优势
  WatchGuard防火墙系列解决方案
  SonicWALL防火墙解决方案
  Sophos UTM 防火墙安全解决方案
  BlueCoat网络安全解决方案
  CheckPoint 解决方案
  网康上网行为管理解决方案
  安全咨询
  云安全技术公共服务平台
  风险评估工作管理
  安全及运维
  山石网科的专业培训2017年时间安排
  安全技术服务
  桌面云解决方案
  山石网科产品的2017年度保修说明
  智慧城市信息安全运营保障系统
  新华三H3C解决方案
 
首页 > 解决方案 >FortiGate 解决方案 >设置FortiGate目录服务认证
 
设置FortiGate目录服务认证
[ 2009-8-10 18:18:49

设置FortiGate目录服务认证

说明:
本文档针对所有FortiGate设备的目录服务配置进行说明。目录服务指FortiGate从AD服务器上取得域用户信息,当用户登录到域时该用户信息会传到FortiGate,从而允许用户访问互联网。即可以实现单点认证功能。当用户不在域时FortiGate则不允许该用户上网。
环境介绍
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。
AD服务器IP :192.168.100.21  DNS:192.168.100.21
用户电脑IP:192.168.100.22    DNS:192.168.100.21
步骤一:在AD上安装FSAE软件
在AD上安装FSAE_Setup_3.5.041.exe。提示的内容一般不需要更改,一直点击下一步直到安装完成。接着会提示安装DC Agent,继续安装,点击下一步直到安装完成。
(点击放大)
1
点击configure FSAE,界面如上图:
在Authentication选项下勾选Require authenticated
Password: 输入认证密码,该密码必须与下一步目录服务中的密码一致
点击Apply或Save&close保存

步骤二:配置目录服务
在防火墙中配置:设置用户----目录服务,点击新建
FortiClient AD:输入一个名称
FSAE Collector IP/名称:AD服务器的IP
密码:输入密码,与上一步中密码一致     点击OK
(点击放大)
2
然后防火墙就会收集到AD服务器上的目录信息,展开可以查看
(点击放大)
3
步骤三:配置用户组
在设置用户----用户组中点击新建
名称:输入一个名称
类别:选目录服务
成员:可用的用户组
组员:选择哪些用户组需要认证,即哪些用户可以上网
(点击放大)
4
步骤四:配置策略
在防火墙----策略中编辑出网策略,勾选启用基于用户认证的策略,点击添加
(点击放大)
5
将创建好的目录服务名称选到被选中的用户组中
服务:选择相应的服务
时间表:选择一个时间表
保护内容表:选择相应的保护内容表        
(点击放大)
6
步骤五:说明
在AD服务器上FSAE软件的参数:
Listening ports监听端口:默认用TCP8000端口与FortiGate通讯,用UDP8002端口与DC代理通讯
Timers时间设置:
工作站检查时间:FSAE会定时检查登陆的用户是不是还在域上,默认为5分钟
不可达主机超时时间:对于登陆到域的主机,但FSAE无法与该主机通讯,默认480分钟后会将改主机从登陆用户中删除
IP地址更换检查时间:FSAE会每60秒(默认)检查在域上的主机IP,对于更改IP的主机,FSAE会及时地通知FortiGate
Common Tasks常用工具:
Show Service Status:显示FSAE与FortiGate的通讯状态,正常为RUNNING
Show Logon Users:显示FSAE收集到的在域上用户信息
(点击放大)
7
步骤六:验证

  1. 不在域上的用户不能上网
  2. 在域上的用户可以上网
  3. 离开域的用户在离开5分钟后不能上网

在防火墙CLI的相关命令:
dia debug enable       显示debug信息
diagnose debug authd fsae list  显示在域上的用户
dia debug application authd -1  显示认证信息
输出信息:
authd_admin.c:517 authd_admin_read: called
authd_admin.c:548 proto=1 src=192.168.100.22:0 dst=220.181.31.8:0
该信息表示IP为192.168.100.22的用户没用通过认证,不能上网
_process_logon[dalian]: TEST-PC12 logged on
reset_policy_timeout: clearing policy for 192.168.100.22 vfid=0
fsae_add_policy:390: found profile  for user TEST-PC12(DALIAN/DOMAIN USERS) IP 192.168.100.22 on policy 16
fsae_add_policy:410: new policy 192.168.100.22 timeout=1200 auth_info=1 profile_id=0 policy_id=16 av_group_num=0
用户TEST-PC12通过认证,可以上网