更新时间:2022-06-17
内网网段192.168.3.0/255.255.255.0的计算机使用AD域单点登录进行认证,即用户在登录系统通过AD域认证时,同时通过设备的认证,AD域中的用户可以同步到设备上。要求如果这个网段的计算机单点登录失败或者是没有登录域的时候,以IP地址做用户名,不需要认证上网,并自动添加“/默认组”。
设置[外部认证服务器]和[LDAP自动同步]。
在[认证策略]窗口中,点击<新增>按钮。进入[认证策略]的新增窗口。填写上名称描述。
认证方式选择[不需要认证/单点登录],勾选[把IP作为用户名]。
[新用户选项]中,勾选[添加到指定的本地组中]:并选择用户组“/默认组/”,此时未做单点登录的用户会添加到默认组,使用默认组的上网策略。
勾选[到外部LDAP上认证的新用户,不添加到选择的本地组,而是自动触发该用户的同步,添加到相应的组中],使域单点登录的用户添加到同步规则中设置的组。
注意此处不能设置[绑定IP/MAC地址]:进行双向绑定,因为未做单点登录的用户自动添加新用户并双向绑定IP/MAC后,此IP/MAC只能给此用户使用,不能再使用单点登录认证了。设置单向绑定没有问题。
点击<确定>按钮,完成策略编辑。