FortiGate对于SSLVPN客户端可以让客户端提供身份证书,如果不能提供授权的证书,则不能接入,从而大大提高安全性,即便是用户名和密码被泄露,没有证书也无法登陆。设定很简单,就是在虚拟专用网->SSL->设置->要求客户端认证的项目选上。但是不是这里选上就可以的。这个选了只是要求客户端提供证书,但是这个证书可不可确认身份,才是重要的。 我以前已经发文,SSLVPN的用户效
既然要用域认证,那么域认证的接受RADIUS的东西必须安装,2003里面叫IAS,2008里面换了名字,叫网络策略服务器,本例使用了2008R2标准版。安装网络策略服务器就不说了,网上教程多如牛毛。 打开网络策略服务器(NPS),先添加RADIUS客户端,这个客户端就是指的fortigate,填上fortigate的IP,有好名无所谓,共享机密,不知道怎么翻译个这个名字,就是在fortigate
fortigate在3.0版本的时候,如果使用远程radius认证,只能是一个组,不能对域的不同组进行分别认证,从而配置不同的权限。这样非常不方便,不能细腻控制访问权限。 从4版开始,这一情况得到改善。本例中使用的版本是v4.0,build0637,120817 (MR3 Patch 9),根据资料显示v4.0MR3 patch2以后就可以支持该功能了。 我们先简单说一下fortigate的r
前面说了ASA的用户进行域认证,那么FortiGate行不行呢,FortiGate从很早的版本(3.0)就可以支持了,现在4.0当然没问题了。 先看图。本例子用的是v4.0,build0458,110627 (MR3 Patch 1)版。 如图打开设置用户,远程,LDAP,右面的画面就显示出需要填写的内容。 名称是自己定义的,没要求。服务器名称是域控的,最
在防火墙FortiGate的v4.0,build0458,110627 (MR3 Patch 1),与前版本相比,虽然加入了很多花哨的功能,比如流量计数等,但是却犯了一个致命的错误,如果说是bug也不妥当,但是在web界面下,建立的IPsec站点隧道(vpn site to site),和之前版本建立的,在命令行下有很大不同,增加了若干东西,就是因为增加的这些
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
