更新时间:2022-06-17
集成windows身份验证简称IWA认证,是在windows域环境下普遍支持的一种认证方式。通过这种方式实现的单点登录,需要先将AF设备和内网电脑都加入到域,当内网电脑打开网页时会自动访问AF并提交身份凭证,从而实现单点登录。
AF上需要做的单点登录配置:勾选启用域单点登录和勾选启用集成windows身份验证。
计算机名:设置AF设备加入域的计算机名,后四位固定为网关序号的后四位,前面的字段可以用户自己定义,只支持字母,数字以及连接符“-”,最多支持10个字节。
域名:设置AF需要加入域的域名。
域DNS服务器:设置域对应的DNS服务器IP地址。
域账号:设置AF加入域时使用的域账号。
域账号密码:设置域账号密码。
点击<测试有效性>,检测各个参数是否有效,测试通过后点击<提交>。
高级选项中可配置认证失败后重定向间隔。
认证失败后的重定向间隔:设置IWA单点登录失败后隔多久再做重定向,重新认证
windows 2000以前版本域名:如果域服务器是windows server 2000以前的版本,还需要在这里设置下域名。
:
1.在域使域账户过期或者禁用,已登录的PC还是可以kerberos认证成功攻击展示UI优化
2.手机代理上网不支持iwa认证(启用iwa认证后,手机设置代理不会弹认证框)
3.kerberos认证不会踢密码认证的用户
4.含有`~!#$%^&*+\|{};:“”‘’,/<>?等特殊字符的域账号登陆时,不支持认证(仅AF不支持)