远程认证管理员
除了本地配置的管理员,FortiGate还支持远程认证的管理员登录,如LDAP、Radius、Tacacs+等。
远程认证服务器配置
LDAP服务器配置请参考:用户与认证→LDAP认证→LDAP认证配置与排错。
Radius服务器配置请参考:用户与认证→Radius认证→Radius认证配置与排错。
远程认证管理员配置
这里以LDAP用户为例,参考上述配置步骤,已经配置了LDAP远程服务器和远程用户组。
config user ldap edit "LDAP" set server "192.168.100.50" set cnid "cn" set dn "dc=summerice2019,dc=com" set type regular set username "administrator" set password xxxxxxxx next end config user group edit "LDAP_Users" set member "LDAP" config match edit 1 set server-name "LDAP" set group-name "CN=ad_group1,DC=summerice2019,DC=com" next edit 2 set server-name "LDAP" set group-name "CN=Users,CN=Builtin,DC=summerice2019,DC=com" next end next end进入FortiGate的“系统管理→管理员”页面,新建管理员。
- 类型:
- 用户名:管理员用户名,解释如下。
- 类型:
- 在远端服务器组中匹配一个用户:使用配置的用户名匹配远程服务器中的用户,管理员配置的用户名必须属于远程认证服务器中的一个用户,用户登陆时也必须使用这个用户名。
- 在远端服务器组中匹配所有用户:使用管理员登录时输入的用户名匹配远程服务器中的用户,管理员配置的用户名不必属于远程认证服务器中的任何用户(可随意配置),用户登陆时使用LDAP服务器上的用户名输入。
- 备份密码:当远程认证服务器不可用时,可以使用备份密码作为逃生密码(使用“在远端服务器组中匹配所有用户”的类型时,无法配置备份密码)。
- 管理员配置:该管理员所拥有的管理员权限。
- 远端用户组:选择上步中创建的LDAP用户组。
- 类型:
以上配置对应的CLI如下。
config system admin edit "ldap_user" set remote-auth enable set accprofile "super_admin" set vdom "root" set remote-group "LDAP_Users" set password ENC SH2Cn+7WDWNOQFNb12zdDAuL/XVDN6ga4qxCtdB9lEV8FwRkSjPQixI/Rm07s8= next end如果使用“在远端服务器组中匹配所有用户”类型,对应的CLI如下。
config system admin edit "ldap_user" set remote-auth enable set accprofile "super_admin" set vdom "root" set wildcard enable set remote-group "LDAP_Users" next end
注意事项
如果FortiGate的认证用户组中配置了多个远程认证服务器,如下包含了LDAP和Radius两个服务器。
config user group edit "Remote_Users" set member "LDAP" "Radius" config match edit 1 set server-name "LDAP" set group-name "CN=Users,CN=Builtin,DC=summerice2019,DC=com" next edit 2 set server-name "LDAP" set group-name "CN=ad_group1,DC=summerice2019,DC=com" next end next end那么FortiGate会先到哪个认证服务器去认证呢?
对于FortiGate来说,两个认证服务器没有优先顺序,认证报文会同时发送至LDAP与Radius,哪个服务器先返回了认证结果,FortiGate就采用哪个服务器返回的认证结果。
排除网络延迟的差异,由于Radius认证采用的是UDP协议,通常会比LDAP更快的返回认证结果,从而导致FortiGate优先采用Radius的认证结果,但这并不代表Radius认证优先于LDAP认证。