下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","认证策略配置案例3")}}

认证策略配置案例3

更新时间:2022-06-17

内网网段192.168.3.0/255.255.255.0的计算机使用AD域单点登录进行认证,即用户在登录系统通过AD域认证时,同时通过设备的认证,AD域中的用户可以同步到设备上。要求如果这个网段的计算机单点登录失败或者是没有登录域的时候,以IP地址做用户名,不需要认证上网,并自动添加“/默认组”。

  1. 设置[外部认证服务器]和[LDAP自动同步]。

  1. 在[认证策略]窗口中,点击<新增>按钮。进入[认证策略]的新增窗口。填写上名称描述。

  1. 认证方式选择[不需要认证/单点登录],勾选[把IP作为用户名]。

  1. [新用户选项]中,勾选[添加到指定的本地组中]:并选择用户组“/默认组/”,此时未做单点登录的用户会添加到默认组,使用默认组的上网策略。

勾选[到外部LDAP上认证的新用户,不添加到选择的本地组,而是自动触发该用户的同步,添加到相应的组中],使域单点登录的用户添加到同步规则中设置的组。

注意此处不能设置[绑定IP/MAC地址]:进行双向绑定,因为未做单点登录的用户自动添加新用户并双向绑定IP/MAC后,此IP/MAC只能给此用户使用,不能再使用单点登录认证了。设置单向绑定没有问题。

  1. 点击<确定>按钮,完成策略编辑。