捐血一袋救人一命

2010年4月27日 星期二

Fortigate 目錄服務設定說明

在Fortigate 「使用者認證→目錄服務」看起來似乎可以很容易與 Microsoft Active Directory 結合。

其實 FSAE (Fortinet Server Authentication Extension) 是需要安裝在 AD Server 上安裝一個 Fortigate Client 內的元件才能使用 FSAE Controller。

如果客倌像我一樣不喜歡裝一些額外的軟件,那麼請使用「使用者認證→遠端」裡的 LDAP 來結合 AD 驗證。

 

「使用者認證→遠端→LDAP」

名稱:請自己取一個好記的名稱

伺服器名稱/IP位址:請輸入DC伺服器 IP

伺服器埠口:389

Common Name Identifier:請自己取一個好記的名稱

Distinguished Name:如果不知道怎麼輸入,請先輸入以下欄位!

Bind Type:正規模式

Filter:(&(objectcategory=group)(member=*))

使用者DN:請輸入具有管理者權限的帳號,例如:administrator

密碼:就輸入上述管理者的密碼xxxxx

安全連線:請打勾

協定:請點選STARTLS

憑證:用Fortinet_CA即可。

以上輸入完成後,回頭使用探索功能來填寫Distinguished Name

請Distinguished Name欄左邊的browse 圖形。

按下之後,會顯示網域名稱,例如:

twistie_collapsed DC=abc,DC=com,DC=tw

請點選藍色箭頭,它就會變成twistie_expanded DC=abc,DC=com,DC=tw

同時將「DC=abc,DC=com,DC=tw」填入Distinguished Name欄位。

按下「允許」按鍵之後,再點一次browse 圖形,就可以自動探索下一階。

一直重覆此動作,就可以找到你要設定的Distinguished Name。

PS.如果在 AD 裡使用中文,在 Fortigate 裡面會變成一堆代號,很不好認。所以最好在AD裡使用英文!

2 意見:

養貓的陌生人 提到...

你好,我照你的方法試驗以後,只出現一開始的DC=xxx,DC=xxxx 字樣,左邊沒有箭頭可以展開..但是LDAP我已經成功了. 請問這是什麼問題?我的是 Fortigate-200A 3.00-b0668(MR6 Patch 2)

匿名 提到...

其實是不需要安全連線的
使用者照AD的LDAP Attribute輸入就可以