fortigate在3.0版本的时候,如果使用远程radius认证,只能是一个组,不能对域的不同组进行分别认证,从而配置不同的权限。这样非常不方便,不能细腻控制访问权限。
从4版开始,这一情况得到改善。本例中使用的版本是v4.0,build0637,120817 (MR3 Patch 9),根据资料显示v4.0MR3 patch2以后就可以支持该功能了。
我们先简单说一下fortigate的radius认证配置。
打开,设置用户->远程->RADIUS->
fortigate的RADIUS域用户的组认证为SSL×××用户(上)_用户组
名称随意,IP地址是域控的地址,密钥是双方协商的,必须和域控设置的相同。
接下来打开,设置用户->用户组的用户组
fortigate的RADIUS域用户的组认证为SSL×××用户(上)_RADIUS_02
 
名称自由,这里是以sslvpn接入为例,在下面有添加,添加一个远端服务器,就是刚才做的那个DC,如果后面选择any的话,就是不分组,选specify就必须指定组名,这里填写vpn。下面需要配置SSL×××接入用户的一些配置。
建立一段地址段,分配给SSL×××用户。建立地址不在多说,要强调一点的是接口必须是ssl的那个,如果是任意的话安全行会降低。
下面为刚才组关联的tunnel-access做相应配置。tunnel-access是默认的模版,需要相应的改变。
打开,虚拟专网->SSL->界面->tunnel-access编辑
点开Tunnel Mode的笔的按钮
fortigate的RADIUS域用户的组认证为SSL×××用户(上)_RADIUS_03
点击IP池,添加刚才做的地址组。然后要添加策略,不然用户进不来。
如图建立一个新的策略,源地址一定是sslvpn的,地址就是刚才做的地址段。
fortigate的RADIUS域用户的组认证为SSL×××用户(上)_域认证_04
 
这样fortigate部分就搞的差不多了。