远程认证与本地认证的优先级

7.2.0之前

远程认证与本地认证的优先级由以下命令决定,默认为disable状态。

config system global
    set admin-restrict-local ?    //Enable/disable local admin authentication restriction when remote authenticator is up and running (default = disable).
    enable     Enable local admin authentication restriction.
    disable    Disable local admin authentication restriction.
end

默认情况(disable)

config system global
    set admin-restrict-local diable
end
  • 如果远程和本地有相同的用户名,不同的密码,则本地认证有效。
  • 如果用户名/密码都一样,也是本地认证有效。
  • 使用diagnose debug application fnbamd -1可以观察到,认证直接在本地完成,不会送到远程服务器上。

修改为enable

config system global
    set admin-restrict-local enable
end
  • 当任何一个远程认证服务器可达时,远程认证服务器生效,本地认证无效。
  • 只有当FortiGate到远程认证服务器不可达时,本地认证才有效。
  • 如果远程服务器和本地有相同的用户名,虽然认证会先到远程服务器上,但是登录会直接显示失败(无论使用远程服务器用户或本地用户的密码,无论远程服务器用户和本地用户的密码是否相同)。
Console可以使用本地账户登录,不受此功能开启的限制。

多个远程认证服务器的情况(set admin-restrict-local enable)

当FortiGate配置了多个远程认证服务器,只配置了一个远程认证服务器与管理员关联,举例:FortiGate同时配置了LDAP与Radius服务器,但只有LDAP服务器与管理员配置了关联,Radius服务器没有与任何管理员配置关联:

  • 当任何一个远程认证服务器可达时,远程认证服务器生效,本地认证无效。
  • 只有当FortiGate到所有的远程认证服务器(上述举例为LDAP、Radius)不可达时,本地认证才有效,即使Radius认证服务器没有关联任何管理员。

7.2.0之后

多个远程认证服务器的情况(set admin-restrict-local enable)

当FortiGate配置了多个远程认证服务器,只配置了一个远程认证服务器与管理员关联,举例:FortiGate同时配置了LDAP与Radius服务器,但只有LDAP服务器的用户组与管理员配置了关联,Radius服务器没有与任何管理员配置关联:

  • 当任何一个远程认证服务器可达时,远程认证服务器生效,本地认证无效。
  • 只要防火墙管理认证调用的远程认证服务器不可达(LDAP不可达,Radius可达),本地用户认证就可以生效。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2024-03-07 17:57:58

results matching ""

    No results matching ""