认证相关参数设置

远程认证超时时间

FortiGate远程认证(如Radius、LDAP)超时的时间指的是与服务器认证过程的超时时间,认证过程的时间超过这个配置的值,FortiGate就认为认证超时。默认是5s,为了避免Radius、LDAP等远程服务器响应的数据大或者网络延时的影响,通常需要将远端超时时间调大。

config system global
    set remoteauthtimeout 120  <1-300s>
end

防火墙用户认证超时时间

  1. 用户认证超时时间规定了经过防火墙身份验证的连接在空闲多久后需要必须重新进行身份验证。默认值为5分钟。您可以使用1到1440(24 小时)之间的数字。

    image-20230605144535727

    config user setting
        set auth-timeout ?
            auth-timeout    Enter an integer value from <1> to <1440> (default = <5>).
    end
    
  2. 防火墙用户认证超时时间支持以下三种方式:

    config user setting
        set auth-timeout-type ?
              idle-timeout    Idle timeout.
              hard-timeout    Hard timeout.
              new-session     New session timeout.
    
    • idle-timeout(默认配置):如果FortiGate在配置的空闲时间内未收到该用户的流量,则清除用户在线状态。
    • hard-timeout:不管用户是否有流量,都会在设定的超时时间后清除用户的在线状态。
    • new-session:在配置的auth-timeout计时器后,将提示用户对新会话进行身份验证,已经存在的旧会话不用被重新认证。

SSL VPN超时时间

SSL VPN空闲超时时间

您可以设置SSL VPN用户空闲超时来控制SSL VPN用户在登录后空闲多久后需要再次认证,最大时间为259200秒(3天),默认为300秒。如果FortiGate在配置的SSL VPN空闲时间内未收到该SSL VPN用户的流量,则清除SSL VPN用户在线状态。

请注意SSL VPN空闲超时计时期间内,有任何的流量进入SSL VPN隧道,空闲超时都会重置。

有时候即使客户端系统没有任何的人为操作,也可能产生一些系统流量进入SSL VPN隧道,导致空闲超时重置。具体请参考:https://community.fortinet.com/t5/FortiClient/Technical-Tip-SSL-VPN-Idle-timeout-not-working/ta-p/194568

image-20230605150747760

config vpn ssl settings 
    set idle-timeout ?
        idle-timeout    Enter an integer value from <0> to <259200> (default = <300>).

SSL VPN强制重认证超时时间

SSL VPN用户在登录后,强制重新认证的超时时间(即使客户端没有变为空闲状态)。可以将值设置为1-259200(默认为28800s,8小时),设置为0表示不会超时。

config vpn ssl settings 
    set auth-timeout ?
        auth-timeout    Enter an integer value from <0> to <259200> (default = <28800>).

SSL VPN登录失败超时时间

config vpn ssl settings
    set login-attempt-limit ?
        <login_attempt_limit_integer>    The login-attempt-limit range is 0-10, 0 for no limit
    set login-block-time ?
        <login_block_time_integer>    The login-block-time range is 0-86400(seconds)
    set login-timeout ?
        login-timeout    Enter an integer value from <10> to <180> (default = <30>).
end
  • login-attempt-limit:设置用户在账户失败锁定之前可以尝试的失败次数。请注意,此值是包容性的(默认值为 2,用户将在第2次登录尝试失败后被锁定),当设置为0时,永远不会因为登陆失败而锁定用户。
  • login-block-time:设置用户在登录失败锁定后被锁定的时间量(以秒为单位,默认为60s),设置为0时表示不锁定(相当于login-attempt-limit设置为0的效果)。
  • login-timeout:设置多次失败的登录被认为连续的时间窗口,默认为30s。例如,如果进行了一次失败登录尝试,然后在第20秒进行第2次失败的登录尝试,这两次将被视为连续的,因为它们在登录超时窗口内(即两次尝试之间的时间少于 30 秒),随后会触发FortiGate的用户锁定动作。但是,如果第二次尝试是在31秒后进行的,则不会被FortiGate视为连续尝试,也不会发生锁定。

防火墙认证不绑定MAC地址

默认用户通过防火墙认证后,FortiGate会记录客户端的MAC地址,并将客户端认证信息与MAC地址绑定,当客户端MAC地址变化后,会导致认证失败,如果想关闭防火墙认证绑定MAC地址的功能(例如认证时的源MAC与认证成功后实际流量的源MAC不一致的场景),可以通过如下CLI实现(默认为开启状态):

config user setting
    set auth-src-mac disable
end

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-01-04 10:22:22

results matching ""

    No results matching ""