远程认证与本地认证的优先级
7.2.0之前
远程认证与本地认证的优先级由以下命令决定,默认为disable状态。
config system global
set admin-restrict-local ? //Enable/disable local admin authentication restriction when remote authenticator is up and running (default = disable).
enable Enable local admin authentication restriction.
disable Disable local admin authentication restriction.
end
默认情况(disable)
config system global
set admin-restrict-local diable
end
- 如果远程和本地有相同的用户名,不同的密码,则本地认证有效。
- 如果用户名/密码都一样,也是本地认证有效。
- 使用diagnose debug application fnbamd -1可以观察到,认证直接在本地完成,不会送到远程服务器上。
修改为enable
config system global
set admin-restrict-local enable
end
- 当任何一个远程认证服务器可达时,远程认证服务器生效,本地认证无效。
- 只有当FortiGate到远程认证服务器不可达时,本地认证才有效。
- 如果远程服务器和本地有相同的用户名,虽然认证会先到远程服务器上,但是登录会直接显示失败(无论使用远程服务器用户或本地用户的密码,无论远程服务器用户和本地用户的密码是否相同)。
Console可以使用本地账户登录,不受此功能开启的限制。
多个远程认证服务器的情况(set admin-restrict-local enable)
当FortiGate配置了多个远程认证服务器,只配置了一个远程认证服务器与管理员关联,举例:FortiGate同时配置了LDAP与Radius服务器,但只有LDAP服务器与管理员配置了关联,Radius服务器没有与任何管理员配置关联:
- 当任何一个远程认证服务器可达时,远程认证服务器生效,本地认证无效。
- 只有当FortiGate到所有的远程认证服务器(上述举例为LDAP、Radius)不可达时,本地认证才有效,即使Radius认证服务器没有关联任何管理员。
7.2.0之后
多个远程认证服务器的情况(set admin-restrict-local enable)
当FortiGate配置了多个远程认证服务器,只配置了一个远程认证服务器与管理员关联,举例:FortiGate同时配置了LDAP与Radius服务器,但只有LDAP服务器的用户组与管理员配置了关联,Radius服务器没有与任何管理员配置关联:
- 当任何一个远程认证服务器可达时,远程认证服务器生效,本地认证无效。
- 只要防火墙管理认证调用的远程认证服务器不可达(LDAP不可达,Radius可达),本地用户认证就可以生效。