认证 > 配置 Active Directory Authentication

配置 Active Directory Authentication

Active Directory 是基于 Microsoft® Windows 的 LDAP 目录结构应用程序。 通过 Active Directory 可以将 DNS 中使用的域分层概念扩展到组织级别。 它通过一个集中、易于访问的数据库为组织保存信息和设置。 您可以使用 Active Directory Authentication 服务器,以便您的用户可以用其当前的网络凭据向 XTM 设备进行认证。 必须同时配置 XTM 设备和 Active Directory Server 以保证 Active Directory Authentication 的正常工作。

在配置 Active Directory Authentication 时,您可以指定一个或多个 Active Directory 域供用户在认证时选择。 在每一个域中您最多可以添加两台 Active Directory 服务器:一台主服务器和一台备份服务器。 如果添加的第一台服务器无法正常工作,则通过第二台服务器来完成身份验证请求。 在添加 Active Directory Server 时,可以选择是否指定每台服务器的 IP 地址或 DNS 名称。

如果配置了多个 Active Directory 域,并使用单一登录 (SSO) 来使用户能够在可用的 Active Directory 域中进行选择并认证,则用户必须安装 SSO 客户端。 有关详细信息,请参阅关于单一登录 (SSO)安装 WatchGuard 单一登录 (SSO) 客户端

如果用户用 Active Directory Authentication 方法进行认证,他们的可辨名称 (DN) 和密码不会被加密。 要使用 Active Directory Authentication 并加密用户认证信息,可以选择 LDAPS (LDAP over SSL) 选项。 在使用 LDAPS 时,SSL 隧道可以保证 XTM 设备上的 LDAPS 客户端和 Active Directory Server 之间流量的安全性。 启用该选项后,您也可以选择是否启用 LDAPS 客户端来验证 Active Directory Server 证书。 如果选择使用 LDAPS 并指定了服务器的 DNS 名称,请确保指定的搜索库包括服务器的 DNS 名称。

Active Directory Server 可位于任何 XTM 设备接口上。 还可以将该 XTM 设备配置为使用通过 VPN 隧道提供的 Active Directory Server。 有关详细信息,请参阅通过 BOVPN 隧道进行到 Active Directory Server 的身份验证

开始之前,请先确保您的用户能够成功向 Active Directory Server 进行认证。 然后可使用 Fireware XTM Web UI 来配置 XTM 设备。 您可以添加、编辑或者删除配置中定义的 Active Directory 域和服务器。

添加一个 Active Directory Authentication 域和服务器

  1. 选择身份验证 > 服务器
    将显示认证服务器页面。
  2. 选择 Active Directory 选项卡。
    将出现 Active Directory 设置。
  1. 单击添加
    将显示 Active Directory 域页面。
  1. 域名文本框中,键入该 Active Directory Server 要使用的域名。
    域名必须包含域后缀。 例如,键入 example.com,而不是 example
  2. 单击添加
    将显示添加 IP/DNS 名称页面
  1. 选择类型下拉列表中,选择 IP 地址或者 DNS 名称
  2. 主机 IP主机名文本框中,键入该 Active Directory Server 的 IP 地址或 DNS 名称。
  3. 端口文本框中,输入或选择该设备用于连接到 Active Directory Server 的 TCP 端口号。
    默认端口号为 389。 如果您启用 LDAPS,必须选择端口号 636。

如果 Active Directory Server 是全局编录服务器,更改默认端口可能会非常有用。 有关详细信息,请参阅更改 Active Directory Server 的默认端口

  1. 单击确定
    添加的 IP 地址或 DNS 名称将显示在添加 Active Directory 域页面中。
  2. 要向该域添加另一个 Active Directory Server,请重复步骤 3-9。 您至多可以添加两台服务器。
    请确保您所指定的所有 Active Directory 服务器上的共享密码相同。

有关详细信息,请参阅使用备份认证服务器

  1. 搜索库文本框中,输入在目录中开始搜索的位置。

搜索库设置的标准格式为:ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>

XTM 设备可在认证服务器上搜索身份验证的匹配,要限制该服务器上的目录,您可以设置一个搜索库。 我们建议您将搜索库设置在域的根目录下。 这样您能够找到所有的用户和用户所属的所有组。

有关详细信息,请参阅查找 Active Directory 搜索库

  1. 组字符串文本框中,输入用于在 Active Directory Server 中保留用户组信息的属性字符串。 如果未更改 Active Directory 架构,则组字符串始终为 memberOf
  2. 搜索用户的 DN 文本框中,为搜索操作输入可分辨名称 (DN)。

如果保留了 sAMAccountName 的登录属性,则无需在该文本框中键入任何内容。

如果更改登录属性,则必须在配置时向搜索用户的 DN 文本框中添加一个值。 您可以使用具有搜索 LDAP/Active Directory 权限的任意用户 DN,比如管理员。 不过,通常输入只有搜索权限的低级用户 DN 就足够了。
例如,cn=Administrator,cn=Users,dc=example,dc=com

  1. 搜索用户的密码文本框中,输入与用于搜索操作。
  2. 登录属性下拉列表中,选择一个用于身份验证的 Active Directory 登录属性。

登录属性是绑定到 Active Directory 数据库所使用的名称。 默认登录属性是 sAMAccountName。 如果使用 sAMAccountName,则无需指定搜索用户的 DN搜索用户的密码设置的值。

  1. 非活动时间文本框中,输入或选择非活动的服务器再次标记为活动的时间。
  2. 非活动时间下拉列表中,选择分钟或者小时以设置持续时间。

认证服务器在一段时间内没有响应后,系统会将其标记为非活动。 在将该服务器重新标记为活动之前,后续的认证尝试不会尝试连接此服务器。

  1. 要启用到 Active Directory Server 的 SSL 安全连接,请选择启用 LDAPS 复选框。
  2. 如果启用 LDAPS 但没有为 LDAPS 的默认端口设置端口值,将会显示端口消息对话框。 要使用默认端口,请单击。 要使用指定的端口,请单击
  3. 要验证 Active Directory Server 的证书是否有效,请选择验证服务器证书复选框。
  4. 要为主 LDAP 服务器指定可选属性,可单击可选设置

有关如何配置可选设置的详细信息,请参阅后续部分。

  1. 要添加另一个 Active Directory 域,请重复步骤 3-20。 请确保您所指定的所有 Active Directory 域上的共享密码相同。
  2. 单击保存

关于 Active Directory 可选设置 

当 Fireware XTM 读取服务器搜索响应中的属性列表时,可以从目录服务器(LDAP 或 Active Directory)获取其他信息。 这样,您可以使用目录服务器为已通过认证的用户会话分配其他参数,例如超时值和 Mobile VPN with IPSec 地址分配。 因为数据来自与各个用户对象相关联的 LDAP 属性,不会受限于 Fireware XTM Web UI 中的全局设置。 您可以为每个单独用户设置这些参数。

有关详细信息,请参阅使用 Active Directory 或 LDAP 可选设置

测试服务器的连接

要确保 XTM 设备可以连接到 Active Directory 服务器并成功对用户进行认证,可以测试认证服务器的连接。 还可以使用此功能确定某个特定用户是否已通过认证,以及获取该用户的认证组信息。

可以在服务器的认证服务器页面中测试认证服务器的连接,也可以直接导航到 Fireware XTM Web UI 中的服务器连接页面执行此操作。

要从认证服务器页面导航到服务器连接页面:

  1. 单击测试连接
    将显示服务器连接页面。
  2. 请按照服务器连接主题中的说明测试服务器的连接。

有关如何直接导航到 Fireware XTM Web UI 中的服务器连接页面的说明,请参阅服务器连接

编辑一个现有的 Active Directory 域

在编辑一个 Active Directory 域时,您不能更改在该域中配置的 Active Directory 服务器的详细信息。 反之,您必须添加一个新服务器。 如果列表中有两个服务器,必须先删除一个才能添加新的。

在认证服务器页面上:

  1. Active Directory 域列表中,选择要更改的服务器。
  1. 单击编辑
    将显示编辑 Active Directory 域页面
  1. 要为该域中的服务器添加一个 IP 地址或 DNS 名称,可单击添加并按前面部分的步骤 5-9 中的说明执行相应操作。
  2. 要移除该域中的服务器的 IP 地址或 DNS 名称,可选中 IP 地址/DNS 名称列表中的条目并单击移除
  3. 更新 Active Directory Server 的设置。

删除 Active Directory 域

认证服务器 页面上:

  1. Active Directory 域列表中,选择要删除的域。
  2. 单击移除
    将从列表中移除服务器。

请参阅

关于 第三方认证服务器

更改 Active Directory Server 的默认端口

提供反馈  •   获得支持  •   全部产品文件  •   知识库