更新时间:2023-09-18
操作场景
一般用于配置Web控制台支持“外部认证”;可以选择RADIUS、AD域、TACASA+方式。
操作步骤
进入[系统管理/用户管理/外部认证登录],界面如下图。
启/禁用:启用或者禁用外部认证登录。
认证方式:根据实际情况选择外部认证服务器的类型,可以选择RADIUS/AD域/TACACS+方式。
[RADIUS] - 使用radius协议认证。
[AD域] - 校验保存在AD域服务器上的用户。
[TACACS+] - 使用tacacs+协议认证。
RADIUS/TACACS+ > 认证策略:
[外部认证优先] - 优先使用外部认证服务器上的用户/密码校验。
[本地认证优先] - 优先使用本地AD设备上的用户/密码校验。
RADIUS > NAS-IP地址:设置设备发送RADIUS报文中的NAS-IP-Address属性。
RADIUS/AD域/TACACS+ > 经由网络:选择访问外部认证服务器的方式,一般选择自动。
[管理网] - 数据优先通过管理网口发送。
[业务网] - 数据优先通过业务网口发送。
[自动] - 数据选择一条最接近链路发。
RADIUS > 授权属性ID:RADIUS属性的标识,内置56种属性标识。也可以自定义ID。
RADIUS/TACACS+ > 主机/备选主机:服务器的IP地址。
RADIUS/TACACS+ > 端口/备选端口:服务器端口。
RADIUS/TACACS+ > 共享密钥/备选共享密钥:服务器与客户端通信的"共享密钥"。
TACACS+ > 默认角色:认证成功后用户关联的角色。
TACACS+ > 协议/备选协议:服务器使用的协议,可以选择PAP和CHAP。
AD域 > 主机:外部认证服务器的IP地址。
AD域 > 端口:外部认证服务器的端口号。
AD域 > SSL通讯:选择是否开启SSL通讯,默认禁用。
AD域 > SSL通讯 > 服务端CA证书:SSL通讯时用于校验外部认证服务器证书是否可信。
AD域 > SSL通讯 > 客户端证书:SSL通讯时外部认证服务器校验客户端证书是否可信(用于双向认证)。
AD域 > 目录树:搜索路径的起点,非SSL的服务器如果获取目录树成功,可以从列表中选择。
AD域 > 搜索方式:配置以何种方式向服务器发起第一次绑定,默认匿名搜索。可选择项为匿名搜索,登录账号和绑定账号。当选择搜索方式为绑登录账号时需要配置用户名扩展;当选择搜索方式为绑定帐户时需要配置DN和密码。
AD域 > 登录账号 > 用户名扩展:当选择搜索方式为"登录帐户"时需要配置这个字段,比如配置这个字段为${user}@sangfor.com,则会将用户登录时的用户名替换${user}。
AD域 > 绑定账号 > DN:指系统使用这里输入的域用户来读取LDAP上的用户信息。需要确保这里输入的域用户具有足够的权限,例如输入LDAP管理员的用户。这里的用户名需要填写完整的DN名,一个例外是MS Active Directory时可以写成user@domain的形式。
AD域 > 绑定账号 > 密码:输入域用户的密码。