远程认证管理员

除了本地配置的管理员,FortiGate还支持远程认证的管理员登录,如LDAP、Radius、Tacacs+等。

远程认证服务器配置

LDAP服务器配置请参考:用户与认证→LDAP认证→LDAP认证配置与排错

Radius服务器配置请参考:用户与认证→Radius认证→Radius认证配置与排错

远程认证管理员配置

  1. 这里以LDAP用户为例,参考上述配置步骤,已经配置了LDAP远程服务器和远程用户组。

    config user ldap
        edit "LDAP"
            set server "192.168.100.50"
            set cnid "cn"
            set dn "dc=summerice2019,dc=com"
            set type regular
            set username "administrator"
            set password xxxxxxxx
        next
    end
    config user group
        edit "LDAP_Users"
            set member "LDAP"
            config match
                edit 1
                    set server-name "LDAP"
                    set group-name "CN=ad_group1,DC=summerice2019,DC=com"
                next
                edit 2
                    set server-name "LDAP"
                    set group-name "CN=Users,CN=Builtin,DC=summerice2019,DC=com"
                next
            end
        next
    end
    
  2. 进入FortiGate的“系统管理→管理员”页面,新建管理员。

    image-20230831151708810

    • 类型:
      • 用户名:管理员用户名,解释如下。
      • 类型:
        • 在远端服务器组中匹配一个用户:使用配置的用户名匹配远程服务器中的用户,管理员配置的用户名必须属于远程认证服务器中的一个用户,用户登陆时也必须使用这个用户名。
        • 在远端服务器组中匹配所有用户:使用管理员登录时输入的用户名匹配远程服务器中的用户,管理员配置的用户名不必属于远程认证服务器中的任何用户(可随意配置),用户登陆时使用LDAP服务器上的用户名输入。
      • 备份密码:当远程认证服务器不可用时,可以使用备份密码作为逃生密码(使用“在远端服务器组中匹配所有用户”的类型时,无法配置备份密码)。
      • 管理员配置:该管理员所拥有的管理员权限。
      • 远端用户组:选择上步中创建的LDAP用户组。
  3. 以上配置对应的CLI如下。

    config system admin
        edit "ldap_user"
            set remote-auth enable
            set accprofile "super_admin"
            set vdom "root"
            set remote-group "LDAP_Users"
            set password ENC SH2Cn+7WDWNOQFNb12zdDAuL/XVDN6ga4qxCtdB9lEV8FwRkSjPQixI/Rm07s8=
        next
    end
    
  4. 如果使用“在远端服务器组中匹配所有用户”类型,对应的CLI如下。

    config system admin
        edit "ldap_user"
            set remote-auth enable
            set accprofile "super_admin"
            set vdom "root"
            set wildcard enable
            set remote-group "LDAP_Users"
        next
    end
    

注意事项

  1. 如果FortiGate的认证用户组中配置了多个远程认证服务器,如下包含了LDAP和Radius两个服务器。

    image-20230831160611628

    config user group
        edit "Remote_Users"
            set member "LDAP" "Radius"
            config match
                edit 1
                    set server-name "LDAP"
                    set group-name "CN=Users,CN=Builtin,DC=summerice2019,DC=com"
                next
                edit 2
                    set server-name "LDAP"
                    set group-name "CN=ad_group1,DC=summerice2019,DC=com"
                next
            end
        next
    end
    
  2. 那么FortiGate会先到哪个认证服务器去认证呢?

  3. 对于FortiGate来说,两个认证服务器没有优先顺序,认证报文会同时发送至LDAP与Radius,哪个服务器先返回了认证结果,FortiGate就采用哪个服务器返回的认证结果。

  4. 排除网络延迟的差异,由于Radius认证采用的是UDP协议,通常会比LDAP更快的返回认证结果,从而导致FortiGate优先采用Radius的认证结果,但这并不代表Radius认证优先于LDAP认证。

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-09-12 15:24:08

results matching ""

    No results matching ""