操作场景

一般用于配置Web控制台支持“外部认证”；可以选择RADIUS、AD域、TACASA+方式。

操作步骤

进入[系统管理/用户管理/外部认证登录]，界面如下图。

启/禁用：启用或者禁用外部认证登录。

认证方式：根据实际情况选择外部认证服务器的类型，可以选择RADIUS/AD域/TACACS+方式。

[RADIUS] - 使用radius协议认证。

[AD域] - 校验保存在AD域服务器上的用户。

[TACACS+] - 使用tacacs+协议认证。

RADIUS/TACACS+ > 认证策略：

[外部认证优先] - 优先使用外部认证服务器上的用户/密码校验。

[本地认证优先] - 优先使用本地AD设备上的用户/密码校验。

RADIUS > NAS-IP地址：设置设备发送RADIUS报文中的NAS-IP-Address属性。

RADIUS/AD域/TACACS+ > 经由网络：选择访问外部认证服务器的方式，一般选择自动。

[管理网] - 数据优先通过管理网口发送。

[业务网] - 数据优先通过业务网口发送。

[自动] - 数据选择一条最接近链路发。

RADIUS > 授权属性ID：RADIUS属性的标识，内置56种属性标识。也可以自定义ID。

RADIUS/TACACS+ > 主机/备选主机：服务器的IP地址。

RADIUS/TACACS+ > 端口/备选端口：服务器端口。

RADIUS/TACACS+ > 共享密钥/备选共享密钥：服务器与客户端通信的"共享密钥"。

TACACS+ > 默认角色：认证成功后用户关联的角色。

TACACS+ > 协议/备选协议：服务器使用的协议，可以选择PAP和CHAP。

AD域 > 主机：外部认证服务器的IP地址。

AD域 > 端口：外部认证服务器的端口号。

AD域 > SSL通讯：选择是否开启SSL通讯，默认禁用。

AD域 > SSL通讯 > 服务端CA证书：SSL通讯时用于校验外部认证服务器证书是否可信。

AD域 > SSL通讯 > 客户端证书：SSL通讯时外部认证服务器校验客户端证书是否可信（用于双向认证）。

AD域 > 目录树：搜索路径的起点，非SSL的服务器如果获取目录树成功，可以从列表中选择。

AD域 > 搜索方式：配置以何种方式向服务器发起第一次绑定，默认匿名搜索。可选择项为匿名搜索，登录账号和绑定账号。当选择搜索方式为绑登录账号时需要配置用户名扩展；当选择搜索方式为绑定帐户时需要配置DN和密码。

AD域 > 登录账号 > 用户名扩展：当选择搜索方式为"登录帐户"时需要配置这个字段，比如配置这个字段为${user}@sangfor.com，则会将用户登录时的用户名替换${user}。

AD域 > 绑定账号 > DN：指系统使用这里输入的域用户来读取LDAP上的用户信息。需要确保这里输入的域用户具有足够的权限，例如输入LDAP管理员的用户。这里的用户名需要填写完整的DN名，一个例外是MS Active Directory时可以写成user@domain的形式。

AD域 > 绑定账号 > 密码：输入域用户的密码。