在Fortigate 「使用者認證→目錄服務」看起來似乎可以很容易與 Microsoft Active Directory 結合。
其實 FSAE (Fortinet Server Authentication Extension) 是需要安裝在 AD Server 上安裝一個 Fortigate Client 內的元件才能使用 FSAE Controller。
如果客倌像我一樣不喜歡裝一些額外的軟件,那麼請使用「使用者認證→遠端」裡的 LDAP 來結合 AD 驗證。
「使用者認證→遠端→LDAP」
名稱:請自己取一個好記的名稱
伺服器名稱/IP位址:請輸入DC伺服器 IP
伺服器埠口:389
Common Name Identifier:請自己取一個好記的名稱
Distinguished Name:如果不知道怎麼輸入,請先輸入以下欄位!
Bind Type:正規模式
Filter:(&(objectcategory=group)(member=*))
使用者DN:請輸入具有管理者權限的帳號,例如:administrator
密碼:就輸入上述管理者的密碼xxxxx
安全連線:請打勾
協定:請點選STARTLS
憑證:用Fortinet_CA即可。
以上輸入完成後,回頭使用探索功能來填寫Distinguished Name
請Distinguished Name欄左邊的
按下之後,會顯示網域名稱,例如:
請點選藍色箭頭,它就會變成
同時將「DC=abc,DC=com,DC=tw」填入Distinguished Name欄位。
按下「允許」按鍵之後,再點一次
一直重覆此動作,就可以找到你要設定的Distinguished Name。
PS.如果在 AD 裡使用中文,在 Fortigate 裡面會變成一堆代號,很不好認。所以最好在AD裡使用英文!
發表文章
2 意見:
你好,我照你的方法試驗以後,只出現一開始的DC=xxx,DC=xxxx 字樣,左邊沒有箭頭可以展開..但是LDAP我已經成功了. 請問這是什麼問題?我的是 Fortigate-200A 3.00-b0668(MR6 Patch 2)
其實是不需要安全連線的
使用者照AD的LDAP Attribute輸入就可以
張貼留言