fortigate的RADIUS域用户的组认证为SSL×××用户(上)
推荐 原创
©著作权归作者所有:来自51CTO博客作者shen_xu的原创作品,请联系作者获取转载授权,否则将追究法律责任
fortigate在3.0版本的时候,如果使用远程radius认证,只能是一个组,不能对域的不同组进行分别认证,从而配置不同的权限。这样非常不方便,不能细腻控制访问权限。
从4版开始,这一情况得到改善。本例中使用的版本是v4.0,build0637,120817 (MR3 Patch 9),根据资料显示v4.0MR3 patch2以后就可以支持该功能了。
我们先简单说一下fortigate的radius认证配置。
打开,设置用户->远程->RADIUS->
名称随意,IP地址是域控的地址,密钥是双方协商的,必须和域控设置的相同。
接下来打开,设置用户->用户组的用户组
名称自由,这里是以sslvpn接入为例,在下面有添加,添加一个远端服务器,就是刚才做的那个DC,如果后面选择any的话,就是不分组,选specify就必须指定组名,这里填写vpn。下面需要配置SSL×××接入用户的一些配置。
建立一段地址段,分配给SSL×××用户。建立地址不在多说,要强调一点的是接口必须是ssl的那个,如果是任意的话安全行会降低。
下面为刚才组关联的tunnel-access做相应配置。tunnel-access是默认的模版,需要相应的改变。
打开,虚拟专网->SSL->界面->tunnel-access编辑
点开Tunnel Mode的笔的按钮
点击IP池,添加刚才做的地址组。然后要添加策略,不然用户进不来。
如图建立一个新的策略,源地址一定是sslvpn的,地址就是刚才做的地址段。
这样fortigate部分就搞的差不多了。
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
配置Windows NPS作为FortiGate防火墙的RADIUS服务器
本文将介绍如何配置您的Windows NPS作为FortiGate系列设备的RADIUS server。
Network 服务器 防火墙 Windows RADIUS -
Fortigate配置SSL ××× 4.2
详解查看咐件!
职场 休闲 Fortigate 配置 SSL VPN