启用单一登录 (SSO)
配置 SSO 之前,必须:
如果设备运行 Fireware XTM v11.0–v11.3.x,则 Terminal Services 的认证设置不可用。
启用并配置 SSO
要从 Fireware XTM Web UI 启用并配置 SSO:
- 选择“身份验证” > “单一登录”。
将显示“身份验证单一登录”页面。
- 选中“使用 Active Directory 启用单一登录 (SSO)”复选框。
- 在“SSO Agent IP 地址”文本框中输入 SSO Agent 的 IP 地址。
- 在“缓存数据”文本框中,输入或选择 SSO Agent 缓存数据的时间。
- 在“SSO 例外”列表中,添加或删除从 SSO 查询中排除的 IP 地址或范围。
关于 SSO 例外的详细信息,请参阅定义 SSO 例外部分。
- 单击“保存”以保存更改。
定义 SSO 例外
如果网络包含 IP 地址不要求身份验证的设备(例如网络服务器、打印服务器),或者包含不属于域的计算机,或者内部网络上的某些用户必须手动认证到认证登录门户,则建议将这些 IP 地址添加到“SSO 例外”列表。 每次从不在“SSO 例外”列表中的 IP 地址尝试连接时,XTM 设备会联系 SSO Agent,以尝试通过用户名与 IP 地址进行关联。 这大约需要 10 秒钟。 可以使用 SSO 例外列表阻止每次连接的延迟,以降低不必要的网络流量,并使用户能够通过认证并连接到网络而没有延迟。
添加一个条目到“SSO 例外”列表时,可以选择添加一个主机 IP 地址、网络 IP 地址、子网、或一个主机范围。
要添加一个条目到“SSO 例外”列表:
- 从“选择类型”下拉列表中,选择添加到“SSO 例外”列表中的条目类型。
根据选择的类型显示更改的文本框。
- 输入选择类型的 IP 地址。
如果选择类型“主机范围”, 请为该范围输入起始和结束 IP 地址。
- (可选)在“说明”文本框中,键入一个说明以在“SSO 例外”列表中包含该例外。
- 单击“添加”。
IP 地址或范围显示在“SSO 例外”列表中。
- 单击“保存”。
要从“SSO 例外”列表中删除一个条目:
- 从“SSO 例外”列表选择一个条目。
- 单击“移除”。
选中的条目已从“SSO 例外”列表中删除。
- 单击“保存”。
另请参阅
关于单一登录 (SSO)
安装 WatchGuard 单一登录 (SSO) 代理
安装 WatchGuard 单一登录 (SSO) 客户端
关于用户认证
设置全局防火墙认证值
配置 Terminal Services 设置