实验环境:
防火墙FG200B,系统为V4.0,build0313,110301 (MR2 Patch 4)
活动目录DC,系统为Windows Server 2008 R2
<!--[if !supportLists]-->1、 <!--[endif]-->依次展开设置用户→远程→LDAP并新建
<!--[if !supportLists]-->2、 <!--[endif]-->名称随意,这里是test
<!--[if !supportLists]-->3、 <!--[endif]-->服务器IP为DC的IP地址
<!--[if !supportLists]-->4、 <!--[endif]-->端口为默认389
<!--[if !supportLists]-->5、 <!--[endif]-->普通名称为cn
<!--[if !supportLists]-->6、 <!--[endif]-->标示名称格式为DC=test,DC=com,假设FQDN为baidu.com,这里的格式就是DC=baidu,DC=com,按照实际域名为准
<!--[if !supportLists]-->7、 <!--[endif]-->类型为常规
<!--[if !supportLists]-->8、 <!--[endif]-->这里需要输入一个域中有可读权限的用户,一般输入域管理员即可,格式为administrator@test.com,并输入密码
<!--[if !supportLists]-->9、 <!--[endif]-->点击查询
查询后的结果:
我们可以看到能读出AD中相应的参数
接着依次展开设置用户→设置用户→设置用户并新建:
名称随意,点选LDAP server并选择刚才建立的名为test的认证
接着一次展开设置用户→用户组→用户组并新建
名称随意,类别防火墙,加入刚才建立的用户test,下面的远端服务器选择最初建立的LDAP认证服务器也就是最初的test,后面选择Any
至此,LDAP的认证和用户、用户组建立完毕,剩下的就是做针对SSL×××的相关配置了。
依次展开防火墙→地址→地址并新建名为××× user的地址范围
依次展开虚拟专网→SSL→设置并勾选启用SSL-×××,IP池选择刚建立的地址填写DNS
再打开界面,选择setting勾选相应的协议:
在右侧点击增加部件并选择通道模式
设置通道模式
最后再建立一条地址段,此地址段为×××客户端接入之后需要与之通讯的网段,我们内网为1.0网段,我们就建立一条1.0的网段:
建立SSL ×××策略:
从外部到内部,目的地址为刚才建立的内网1.0网段,动作为SSL-×××,勾选用户认证,添加之前建立的×××组并赋予any的可用服务
我们之前做了通道分割所以这里我们还要建立两条策略:
通道模式是通过虚拟接口“ssl.root”来与内网通讯的,所以要设置SSL.root与其他接口之间的策略,策略的动作是Accept即可。
我们还需要对路由进行调整,添加一条到ssl.root的静态路由:
在完成以上步骤后,用户就可以实现登录了,输入https://接口ip:10443
注意端口缺省为10443该端口可以在系统管理→管理员设置→设置中更改,输入一个有效的域用户名和密码即可登录。注:第一次登录浏览器需要安装客户端。
