Active Directory 是基于 Microsoft® Windows 的 LDAP 目录结构应用程序。 通过 Active Directory 可以将 DNS 中使用的域分层概念扩展到组织级别。 它通过一个集中、易于访问的数据库为组织保存信息和设置。 您可以使用 Active Directory Authentication 服务器,以便您的用户可以用其当前的网络凭据向 XTM 设备进行认证。 必须同时配置 XTM 设备和 Active Directory Server 以保证 Active Directory Authentication 的正常工作。
在配置 Active Directory Authentication 时,您可以指定一个或多个 Active Directory 域供用户在认证时选择。 在每一个域中您最多可以添加两台 Active Directory 服务器:一台主服务器和一台备份服务器。 如果添加的第一台服务器无法正常工作,则通过第二台服务器来完成身份验证请求。 在添加 Active Directory Server 时,可以选择是否指定每台服务器的 IP 地址或 DNS 名称。
如果配置了多个 Active Directory 域,并使用单一登录 (SSO) 来使用户能够在可用的 Active Directory 域中进行选择并认证,则用户必须安装 SSO 客户端。 有关详细信息,请参阅关于单一登录 (SSO) 和安装 WatchGuard 单一登录 (SSO) 客户端。
如果用户用 Active Directory Authentication 方法进行认证,他们的可辨名称 (DN) 和密码不会被加密。 要使用 Active Directory Authentication 并加密用户认证信息,可以选择 LDAPS (LDAP over SSL) 选项。 在使用 LDAPS 时,SSL 隧道可以保证 XTM 设备上的 LDAPS 客户端和 Active Directory Server 之间流量的安全性。 启用该选项后,您也可以选择是否启用 LDAPS 客户端来验证 Active Directory Server 证书。 如果选择使用 LDAPS 并指定了服务器的 DNS 名称,请确保指定的搜索库包括服务器的 DNS 名称。
Active Directory Server 可位于任何 XTM 设备接口上。 还可以将该 XTM 设备配置为使用通过 VPN 隧道提供的 Active Directory Server。
开始之前,请先确保您的用户能够成功向 Active Directory Server 进行认证。 然后可使用
如果 Active Directory Server 是全局编录服务器,更改默认端口可能会非常有用。 有关详细信息,请参阅更改 Active Directory Server 的默认端口。
有关详细信息,请参阅使用备份认证服务器。
搜索库设置的标准格式为:ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>。
XTM 设备可在认证服务器上搜索身份验证的匹配,要限制该服务器上的目录,您可以设置一个搜索库。 我们建议您将搜索库设置在域的根目录下。 这样您能够找到所有的用户和用户所属的所有组。
有关详细信息,请参阅查找 Active Directory 搜索库。
如果保留了 sAMAccountName 的登录属性,则无需在该文本框中键入任何内容。
如果更改登录属性,则必须在配置时向搜索用户的 DN 文本框中添加一个值。 您可以使用具有搜索 LDAP/Active Directory 权限的任意用户 DN,比如管理员。 不过,通常输入只有搜索权限的低级用户 DN 就足够了。
例如,cn=Administrator,cn=Users,dc=example,dc=com。
登录属性是绑定到 Active Directory 数据库所使用的名称。 默认登录属性是 sAMAccountName。 如果使用 sAMAccountName,则无需指定搜索用户的 DN 和搜索用户的密码设置的值。
认证服务器在一段时间内没有响应后,系统会将其标记为非活动。 在将该服务器重新标记为活动之前,后续的认证尝试不会尝试连接此服务器。
有关如何配置可选设置的详细信息,请参阅后续部分。
当 Fireware XTM 读取服务器搜索响应中的属性列表时,可以从目录服务器(LDAP 或 Active Directory)获取其他信息。 这样,您可以使用目录服务器为已通过认证的用户会话分配其他参数,例如超时值和 Mobile VPN with IPSec 地址分配。 因为数据来自与各个用户对象相关联的 LDAP 属性,不会受限于
有关详细信息,请参阅使用 Active Directory 或 LDAP 可选设置。
要确保 XTM 设备可以连接到 Active Directory 服务器并成功对用户进行认证,可以测试认证服务器的连接。 还可以使用此功能确定某个特定用户是否已通过认证,以及获取该用户的认证组信息。
可以在服务器的认证服务器页面中测试认证服务器的连接,也可以直接导航到 Fireware XTM Web UI 中的服务器连接页面执行此操作。
要从认证服务器页面导航到服务器连接页面:
有关如何直接导航到 Fireware XTM Web UI 中的服务器连接页面的说明,请参阅服务器连接。
在编辑一个 Active Directory 域时,您不能更改在该域中配置的 Active Directory 服务器的详细信息。 反之,您必须添加一个新服务器。 如果列表中有两个服务器,必须先删除一个才能添加新的。
在认证服务器
在认证服务器