前面说了ASA的用户进行域认证,那么FortiGate行不行呢,FortiGate从很早的版本(3.0)就可以支持了,现在4.0当然没问题了。
先看图。本例子用的是v4.0,build0458,110627 (MR3 Patch 1)版。
如图打开设置用户,远程,LDAP,右面的画面就显示出需要填写的内容。
名称是自己定义的,没要求。服务器名称是域控的,最好是IP地址,不然一旦DNS解析出问题,将不能认证。端口默认是389,表示名称是你需要许可用户所在的OU的位置,图上没有完全显示出来,OU=users,OU=Technology,DC=mbpjp,DC=com,绑定类型是常规,用户DN是用来列表的一个域账号,对该用户的完整的域标示,具体是cn=fortigate200a,cn=users,dc=mbpjp,dc=com,为了安全起见,该用户除了作为域账号以外,任何权限都没有。密码就是该用户的密码,不要配安全连接,配了和域控之间不容易配合好。
这样就做好了一个域认证的组,可以对多个OU,做多个认证组,然后根据OU的位置,分配网络访问的权限。
以后会后续如何在应用中调用该认证组。
下面是这个配置的命令行
config user ldap
edit "Technology"
set server "172.26.1.10"
set cnid "cn"
set dn "OU=users,OU=Technology,DC=mbpjp,DC=com"
set type regular
set username "cn=fortigate200a,cn=users,dc=mbpjp,dc=com"
set password ENC uLrOCDrFQygv6dnhDpf/8CpfTylm+WCDUjPKdZmpo5qrQOpmuC5N8QUOqYKyAm/qQrTRGCxiPAVXfqH4U3csGKUWH8HUUppgM5zzJQo0QX1mnDLr
next
edit "Technology"
set server "172.26.1.10"
set cnid "cn"
set dn "OU=users,OU=Technology,DC=mbpjp,DC=com"
set type regular
set username "cn=fortigate200a,cn=users,dc=mbpjp,dc=com"
set password ENC uLrOCDrFQygv6dnhDpf/8CpfTylm+WCDUjPKdZmpo5qrQOpmuC5N8QUOqYKyAm/qQrTRGCxiPAVXfqH4U3csGKUWH8HUUppgM5zzJQo0QX1mnDLr
next
end
