认证 > 使用策略中的授权用户和组

使用策略中的授权用户和组

Fireware XTM Web UI 中创建策略时,您可以使用指定的用户和组名。 例如,您可以定义仅允许经过认证的用户进行连接的策略,或者可以在某个策略中限制仅允许特定用户进行连接。

术语授权用户和组 指的是允许访问网络资源的用户和组。

定义要进行 Firebox 认证的用户和组 

如果您使用 XTM 设备作为认证服务器,并希望定义向 XTM 设备进行认证的用户和组,请参阅定义 要进行 Firebox 认证的新用户定义 要进行 Firebox 认证的新组

定义要进行第三方认证的用户和组

可以使用 Fireware XTM Web UI 定义用户和组以用于第三方认证。 创建组时,如果您为认证使用了多个 Active Directory 域,则必须指定您希望组中的用户用于认证的域。

还可以针对个别用户以及用户组启用登录限制。 当您为用户或组启用无限制的并发登录时,将允许多个用户或组成员同时使用相同的用户凭据在同一个认证服务器上进行认证。 这对于客户帐户或在实验室环境中非常有用。 当第二个用户使用相同凭据登录时,已使用该凭据通过认证的第一个用户自动注销。 您可以选择的另一个用户和组登录限制选项是限制用户或组成员只允许使用单个认证会话。 如果您选择了此选项,则用户无法使用相同凭据从不同 IP 地址登录到同一台认证服务器。 当用户已通过认证并尝试再次进行认证时,您可以选择后续会话已通过认证时终止第一个用户会话,或是拒绝后续会话。

Active Directory Server 上的用户和组名称区分大小写。 当您向 XTM 设备添加授权用户或组时,用户或组名称必须具有与 Active Directory Server 上的名称相同的大小写。

  1. 在第三方认证服务器上创建一个包含您系统上所有用户帐户的组。
  1. 选择认证 > 用户和组
    将显示认证用户和组页面。
  1. 单击添加
    用户和组对话框。
  1. 对于类型选项,选择用户
  2. 键入您在认证服务器上创建的用户或组名称。
    用户或组名称区分大小写,并且必须符合在认证服务器上使用的大小写。
  3. (可选)输入对用户或组的说明。
  4. 认证服务器下拉列表选择您的认证服务器类型。

可用选项包括任意Firebox-DBRADIUSSecurIDLDAPActive Directory。 对于通过 RADIUS 或 VACMAN Middleware Server 进行的认证,请选择 RADIUS。 对于 Active Directory Authentication,请选择用于该用户或组的特定域。

  1. 要启用登录限制,请选中为每个用户或组启用登录限制复选框,然后按照下面部分中的说明选择一个选项:
  2. 单击添加
  3. 单击 保存

允许无限制的并发登录会话

您可以允许多个用户使用相同的用户认证信息同时向同一台认证服务器进行认证。 这对于客户帐户或在实验室环境中非常有用。 当第二个用户使用相同凭据登录时,已使用该凭据通过认证的第一个用户自动注销。 如果您不允许此项功能,用户则不能同时多次向认证服务器进行认证。

用户和组对话框中:

  1. 选中为每个用户或组启用登录限制复选框。
  2. 选择允许从同一帐户进行没有限制的并发防火墙认证登录

对于 Mobile VPN with IPSec 和 Mobile VPN with SSL 用户,无论是否选中此选项都始终支持从同一帐户进行的并发登录。用户如果要进行并发登录,则必须从不同的 IP 地址登录,这意味着如果这些用户位于使用 NAT 的 XTM 设备后,将无法使用同一帐户进行登录。Mobile VPN with PPTP 和 Mobile VPN with L2TP 用户没有此限制。

限制登录会话

认证设置 页面中,可以限制用户使用特定数量的认证会话。 如果您选择了此选项,则可以指定用户可以使用相同凭据从不同 IP 地址登录到同一台认证服务器的次数。 当用户已通过认证并尝试再次进行认证时,您可以选择当后续会话已通过认证时终止第一个用户会话,或是拒绝后续会话。

用户和组对话框中:

  1. 选中为每个用户或组启用登录限制复选框。
  2. 选择将并发用户会话限制为
  3. 在文本框中,键入或选择允许的并发用户会话数量。
  4. 在下拉列表中选择一个选项:

向策略定义添加用户和组 

您希望在策略定义中使用的任何用户或组都必须添加为授权用户。 您创建的要进行 Firebox 认证的所有用户和组以及所有 Mobile VPN 用户都会自动添加到授权用户和组对话框上的授权用户和组列表中。 可以使用上述过程将第三方认证服务器中的用户或组添加到授权用户和组列表中。 然后,您便可以将用户和组添加到策略配置中了。

  1. 在 Fireware XTM Web UI 中,选择防火墙 > 防火墙策略
    将显示防火墙策略页面。
  2. 从列表中选择策略,然后单击编辑
    或者双击策略。
    此时将显示策略配置页面。
  3. 策略选项卡上,单击列表下方的添加
    将显示添加成员对话框。
  4. 成员类型下拉列表中选择防火墙用户。
    将显示可用用户的列表。

如果您的用户或组没有显示在列表中,请参阅定义 要进行 Firebox 认证的新用户定义 要进行 Firebox 认证的新组,或上述为第三方认证定义用户和组 过程,并添加用户或组。

  1. 选择一个用户并单击确定

将用户或组添加到策略配置后, Fireware XTM Web UI 自动将 WatchGuard 认证策略添加到您的 XTM 设备配置中。 使用此策略可控制对认证门户网页的访问。 有关编辑此策略的说明,请参阅使用认证来限制传入流量

请参阅

关于 第三方认证服务器

设置策略访问规则

提供反馈  •   获得支持  •   全部产品文件  •   知识库