下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.48
{{sendMatomoQuery("下一代防火墙AF","外部认证服务器")}}

外部认证服务器

更新时间:2022-06-17

外部认证服务器用来设置第三方认证服务器的信息,设备支持三种外部认证服务器,包括LDAP、RADIUS、POP3。

LDAP服务器

在[策略/认证/用户认证/外部认证服务器]页面, 点击<新增>,选择[LDAP服务器],会弹出[外部认证服务器(LDAP)]窗口,填写服务器名称。

基本配置:

服务器地址:填写对接AC的LDAP服务器地址。

认证端口:LDAP服务器连接的端口。例如AD域在未启用SSL/TLS加密时默认端口为389。

超时:设定认证请求的超时时间。当AC把认证请求转发到LDAP服务器后,如果超过这个时间无回应,则视为认证失败,如果AF到LDAP服务器间的网络比较慢,可尝试把超时时间延长(例如10秒)。

BaseDN:指定域搜索路径的起点,该起点决定了该条LDAP规则的生效范围。如果用户在指定的BaseDN以外,则该用户无法做外部服务器认证,所配置的策略对该用户也不会生效。所以可以通过BaseDN来划分不同管理员的所属区域。

同步配置:

类型:MS Active Directory[OPEN LDAP、SUN LDAP、 IBM LDAP、OTHER LADAP。

匿名搜索:如果LDAP服务器支持匿名搜索时,则可以使用此选项。

域用户:AF将使用该账号到LDAP服务器去查询以及同步的内网的用户账号。

用户密码:域用户对应的密码。

用户组属性:指定LDAP服务器上,唯一标识用户的属性字段。例如AD域上sAMAccountName属性标识了用户,而在Novell LDAP上uid属性标识了用户。

用户组过滤:指定LDAP服务器的用户过滤条件,即通过这条件可以确定某个节点是否为用户。例如AD域上可以通过填写“(|(objectClass=user)(objectClass=person))”来过滤某个节点是否为用户。

搜索配置:

分页搜索:使用扩展API对LDAP服务器进行搜索,建议保留默认配置。

页面大小:LDAP分页时返回的大小,0表示无限制,建议保留默认配置。

大小限制:同步LDAP时的size limit选项,这里建议保留默认配置。

在基本配置中填写服务器的名称、IP、认证端口、超时时间、BaseDN(即为用户所在服务器的具体路径)。

RADIUS服务器

在[策略/认证/用户认证/外部认证服务器]页面,点击<新增>,选择[RADIUS服务器],会弹出一个[外部认证服务器(RADIUS)]编辑页面,填写服务器名称。

服务器名称:用于设置Radius服务器名称。

IP地址:填写Radius服务器的IP地址。

认证端口:设置Radius服务器的认证端口,默认是1812。

超时时间:设置认证请求的超时时间。

共享密钥:设置Radius协商密钥。

采用协议:设置Radius协商协议,不加密的协议PAP、质询握手身份验证协议Microsoft CHAP、Microsoft CHAP2、EAP_MD5。

POP3服务器

在[策略/认证/用户认证/外部认证服务器]页面,点击<新增>选择[POP3服务器],会弹出一个[外部认证服务器(POP3)]编辑框,填写服务器名称。

POP3服务器配置:

服务器地址:填写pop3服务器的地址。

认证端口:填写认证端口号。

超时(秒):设定认证请求的超时时间。