认证 > 设置全局防火墙认证值

设置全局防火墙认证值

配置全局认证设置时,您可以为防火墙认证配置全局值,例如超时值、用户登录会话限制和认证页面重定向设置。 您也可以启用单一登录 (SSO),并为终端服务配置设置。 有关详细信息,请参阅主题启用单一登录 (SSO)配置 Terminal Services 设置

如果为个别用户或组配置用户登录会话限制,则组和用户的限制设置会覆盖全局设置。

如果您的设备运行 Fireware XTM v11.0–v11.3.x,则 Terminal Services 的认证设置不可用。

要配置防火墙认证设置:

  1. 连接到 Fireware XTM Web UI
  2. 选择认证 > 设置
    将显示认证设置页面。
  1. 按后续部分中的介绍配置认证设置。
  2. 单击保存

设置全局认证超时值

您可以设置用户关闭最后的已通过认证连接后仍保持已通过认证状态的时间。 此超时在认证设置对话框中设置,或在设置 Firebox 用户 页面中设置。

有关用户认证设置和设置 Firebox 用户 页面的详细信息,请参阅定义 要进行 Firebox 认证的新用户

对于由第三方服务器认证的用户,则在这些服务器上设置的超时也会覆盖全局认证超时。

用于防火墙认证的全局认证超时值不会覆盖 Mobile VPN with PPTP 和 Mobile VPN with L2TP 用户的个别用户认证超时设置。

会话超时

用户可以向外部网络发送流量的最长时间。 如果将此字段设置为零 (0) 秒、分钟、小时或天,会话将不会过期,用户可以无限期保持连接状态。

闲置超时

闲置(不向外部网络传输任何流量)时,用户可以保持已验证身份状态的最长时间。 如果将此字段设为零 (0) 秒、分钟、小时或天,则会话在闲置时不会超时,用户可以闲置任意长度的时间。

允许无限制的并发登录会话 

您可以允许多个用户使用相同的用户认证信息同时向同一台认证服务器进行认证。 这对于客户帐户或在实验室环境中非常有用。 当第二个用户使用相同凭据登录时,已使用该凭据通过认证的第一个用户自动注销。 如果您不允许此项功能,用户则不能同时多次向认证服务器进行认证。

认证设置 页面中:

选择允许从同一帐户进行没有限制的并发防火墙认证登录

对于 Mobile VPN with IPSec 和 Mobile VPN with SSL 用户,无论是否选中此选项都始终支持从同一帐户进行的并发登录。用户如果要进行并发登录,则必须从不同的 IP 地址登录,这意味着如果这些用户位于使用 NAT 的 XTM 设备后,将无法使用同一帐户进行登录。Mobile VPN with PPTP 和 Mobile VPN with L2TP 用户没有此限制。

限制登录会话

认证设置 页面中,可以限制用户使用特定数量的认证会话。 如果您选择了此选项,则可以指定用户可以使用相同凭据从不同 IP 地址登录到同一台认证服务器的次数。 当用户已通过认证并尝试再次进行认证时,您可以选择当后续会话已通过认证时终止第一个用户会话,或是拒绝后续会话。

  1. 选择将并发用户会话限制为
  2. 在文本框中,键入或选择允许的并发用户会话数量。
  3. 在下拉列表中选择一个选项:

在身份验证门户中指定默认的认证服务器

当用户登录到身份验证门户时,必须选择使用哪个认证服务器进行身份验证。 用户可以选择任何已启用的认证服务器。 默认情况下,列表中的第一个服务器为 Firebox-DB。 您可以更改此设置,使另一个已启用的认证服务器成为认证服务器列表中的第一个服务器。 如果想要用户通过 Firebox-DB 之外的服务器进行认证,可以使用此功能。

要选择默认认证服务器:

身份验证页面上的默认认证服务器下拉列表,选择认证服务器。

例如,如果想要用户从名为 Home AD 的 Active Directory Server 进行身份验证,请从下拉列表中选择 Home AD

自动将用户重定向到认证门户

如果您要求用户在可以访问 Internet 之前进行认证,则可以选择自动将尚未通过认证的用户发送到认证门户,或将他们手动导航到该门户。 这项功能只适用于 HTTP 和 HTTPS 连接。

自动将用户重定向到身份验证页面

选中此复选框后,所有尚未通过认证的用户在尝试访问 Internet 时将自动重定向到认证登录门户。 如果未选中此复选框,则必须将尚未通过认证的用户手动导航到认证登录门户。

有关用户认证的详细信息,请参阅用户 认证步骤

将发送到 XTM 设备的 IP 地址的流量重定向到此主机名

如果已选择自动将用户重定向到认证门户,则选中此复选框可在页面中指定要将用户重定向到的主机名。 在文本框中键入主机名。

确保此主机名与 Web 服务器证书中的常用名 (CN) 匹配。 必须在组织的 DNS 设置中指定该主机名,并且此主机名的值必须是 XTM 设备的 IP 地址。

如果您有必须通过手动到认证门户进行认证的用户,并且您使用单一登录,则您可为那些用户添加一个 SSO 例外以减少认证所耗费的时间。 有关 SSO 例外的详细信息,请参阅启用单一登录 (SSO)

使用自定义默认开始页面 

选中将用户自动重定向到认证页面进行认证复选框以要求用户在访问 Internet 之前进行认证时,用户打开 Web 浏览器就会出现 Firebox Web 认证门户。 如果您希望浏览器在用户成功登录后转到其他页面,可以定义重定向。

认证设置页面中:

  1. 选中成功进行认证后会重定向到该浏览器复选框。
  2. 在文本框中输入用户重定向所转至网站的 URL。

设置管理会话超时

使用此选项设置具有读取/写入权限的登录用户在 XTM 设备终止会话前保持身份验证状态的时间段。

会话超时 

用户可以向外部网络发送流量的最长时间。 如果选择零 (0) 秒、分钟、小时或天,则会话不会过期,用户可以将连接保持任意长度的时间。

闲置超时

闲置(不向外部网络传输任何流量)时,用户可以保持已验证身份状态的最长时间。 如果选择零 (0) 秒、分钟、小时或天,会话在用户闲置时不会过期,用户可以保持闲置任意长度的时间。

请参阅

关于用户认证

将 XTM 设备配置为认证服务器

关于单一登录 (SSO)

安装 WatchGuard 单一登录 (SSO) 代理

提供反馈  •   获得支持  •   全部产品文件  •   知识库