2022年飞塔AD域验证配置手册 .pdf

上传人：Q****o

文档编号：28073647

上传时间：2022-07-26

格式：PDF

页数：4

大小：713.79KB

( 4.5 )

《2022年飞塔AD域验证配置手册 .pdf》由会员分享，可在线阅读，更多相关《2022年飞塔AD域验证配置手册 .pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、FORTINET 设置 FortiGate 目录服务认证银兴技术支持QQ2642662476 说明：本文档针对所有FortiGate 设备的目录服务配置进行说明。目录服务指FortiGate 从 AD 服务器上取得域用户信息，当用户登录到域时该用户信息会传到FortiGate ，从而允许用户访问互联网。即可以实现单点认证功能。当用户不在域时FortiGate 则不允许该用户上网。环境介绍：本文使用 FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。AD 服务器 IP ：192.168.100.21 DNS ：192.168.100.21 用户电脑 IP：

2、192.168.100.22 DNS ：192.168.100.21 步骤一：在AD 上安装 FSAE 软件在 AD 上安装 FSAE_Setup_3.5.041.exe。提示的内容一般不需要更改，一直点击下一步直到安装完成。接着会提示安装DC Agent ，继续安装，点击下一步直到安装完成。（点击放大）点击 configure FSAE ，界面如上图：在 Authentication选项下勾选Require authenticated Password: 输入认证密码，该密码必须与下一步目录服务中的密码一致点击 Apply 或 Save&close保存步骤二：配置目录服务在防火墙中配置：设置

3、用户-目录服务，点击新建FortiClient AD ：输入一个名称FSAE Collector IP/名称： AD 服务器的 IP 密码：输入密码，与上一步中密码一致点击 OK （点击放大）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 然后防火墙就会收集到AD 服务器上的目录信息，展开可以查看（点击放大）步骤三：配置用户组在设置用户 -用户组中点击新建名称：输入一个名称类别：选目录服务成员：可用的用户组组员：选择哪些用户组需

4、要认证，即哪些用户可以上网（点击放大）步骤四：配置策略在防火墙 -策略中编辑出网策略，勾选启用基于用户认证的策略，点击添加（点击放大）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4 页 - - - - - - - - - 将创建好的目录服务名称选到被选中的用户组中服务：选择相应的服务时间表：选择一个时间表保护内容表：选择相应的保护内容表（点击放大）步骤五：说明在 AD 服务器上 FSAE 软件的参数：Listening ports监听端口：默认用TCP8000 端口与

5、 FortiGate通讯，用 UDP8002 端口与 DC代理通讯Timers 时间设置：工作站检查时间：FSAE 会定时检查登陆的用户是不是还在域上，默认为5 分钟不可达主机超时时间：对于登陆到域的主机，但FSAE 无法与该主机通讯，默认480 分钟后会将改主机从登陆用户中删除IP 地址更换检查时间：FSAE 会每 60 秒（默认）检查在域上的主机，对于更改IP 的主机，FSAE 会及时地通知FortiGate 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 4 页 -

6、 - - - - - - - - Common Tasks常用工具：Show Service Status：显示 FSAE 与 FortiGate 的通讯状态，正常为RUNNING Show Logon Users：显示 FSAE 收集到的在域上用户信息（点击放大）步骤六：验证1. 不在域上的用户不能上网2. 在域上的用户可以上网3. 离开域的用户在离开分钟后不能上网在防火墙 CLI 的相关命令：dia debug enable显示 debug 信息diagnose debug authdfsae list显示在域上的用户dia debug application authd -1显示认证信息

7、输出信息：authd_admin.c:517 authd_admin_read: called authd_admin.c:548 proto=1 src=192.168.100.22:0 dst=220.181.31.8:0 该信息表示IP 为 192.168.100.22的用户没用通过认证，不能上网_process_logondalian: TEST-PC12 logged on reset_policy_timeout: clearing policy for 192.168.100.22 vfid=0 fsae_add_policy:390: found profile for use

8、r TEST-PC12(DALIAN/DOMAIN USERS) IP 192.168.100.22 on policy 16 fsae_add_policy:410: new policy 192.168.100.22 timeout=1200 auth_info=1 profile_id=0 policy_id=16 av_group_num=0 用户 TEST-PC12通过认证，可以上网名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

4.3 金币

版权申诉 word格式文档无特别注明外均可编辑修改；预览文档经过压缩，下载后原文更清晰！ 立即下载

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 2022年飞塔AD域验证配置手册 2022 年飞塔 AD 验证配置手册

淘文阁 - 分享文档赚钱的网站所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

限制150内

关于本文

本文标题：2022年飞塔AD域验证配置手册 .pdf
链接地址：https://www.taowenge.com/p-28073647.html