fortigate的RADIUS域用户的组认证为SSL×××用户(下)
原创
©著作权归作者所有:来自51CTO博客作者shen_xu的原创作品,请联系作者获取转载授权,否则将追究法律责任
既然要用域认证,那么域认证的接受RADIUS的东西必须安装,2003里面叫IAS,2008里面换了名字,叫网络策略服务器,本例使用了2008R2标准版。安装网络策略服务器就不说了,网上教程多如牛毛。
打开网络策略服务器(NPS),先添加RADIUS客户端,这个客户端就是指的fortigate,填上fortigate的IP,有好名无所谓,共享机密,不知道怎么翻译个这个名字,就是在fortigate里面设的主服务器密钥,一致就行。下面到策略里面在网络策略添加一个策略。先在域控里面建立一个许可的组。起个名字叫vpn,这个名字没关系。
忽略用户账户的拨入属性不要选。
条件里面添加刚才在域里面做的vpn组。
身份验证要选上PAP,fortigate是用pap方式。
设置是重头戏了。关系到分组验证的成败。
因为fortigate不是老牌公司,所有微软的radius里面没有该厂商的信息,其次fortigate用于认证的东西是私有的,非标准radius协议。所有就比较麻烦了。
选择供应商特定,这是添加没有厂家的手法。点击添加。
供应商选择自定义,选Vendor-Specific,点击添加。
这里就需要供应商的号码了,没有怎么办。可以问厂家呀。
我们可以想到radius的原理,首先是radius客户端发起请求,里面估计包含有供应商的号码,我们抓包看看。
看到属性类型为26,不可知的vendor号码是12356,于是添加
好在fortigate是符合供应商特定属性的。然后配置属性。
那么这个group的属性到底分配的属性号是多少呢。
我们姑且一试选1,然后组的名字估计应该是字符串,属性值当然就是vpn啦。
看着sniffer都不支持fortigate,我们换一个软件,wireshark。
果然这个更新及时的软件支持fortinet,可以清楚的看到12356被解释成了fortinet,下面的1,被解释成了Fortinet-Group-Name,值就是vpn,第一次就成功了,哈哈。
然后真实测试,果然通过。
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
域用户免登录失败的解决方式
解决方式:Administrator安装+设置环境变量+重装客户端+重启电脑
环境变量 域用户 免登录 -
Linux下的用户与用户组
整理了一张思维导图:
用户 用户组