下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.95
{{sendMatomoQuery("下一代防火墙AF","集成windows身份验证配置")}}

集成windows身份验证配置

更新时间:2023-06-06

集成windows身份验证简称IWA认证,是在windows域环境下普遍支持的一种认证方式。通过这种方式实现的单点登录,需要先将AF设备和内网电脑都加入到域,当内网电脑打开网页时会自动访问AF并提交身份凭证,从而实现单点登录。

AF上需要做的单点登录配置:勾选启用域单点登录和勾选启用集成windows身份验证。

计算机名:设置AF设备加入域的计算机名,后四位固定为网关序号的后四位,前面的字段可以用户自己定义,只支持字母,数字以及连接符“-”,最多支持10个字节。

域名:设置AF需要加入域的域名。

DNS服务器:设置域对应的DNS服务器IP地址。

域账号:设置AF加入域时使用的域账号。

域账号密码:设置域账号密码。

点击<测试有效性>,检测各个参数是否有效,测试通过后点击<确定>

高级选项中可配置认证失败后重定向间隔。

认证失败后的重定向间隔:设置IWA单点登录失败后隔多久再做重定向,重新认证

windows 2000以前版本域名:如果域服务器是windows server 2000以前的版本,还需要在这里设置下域名。

:

1.在域使域账户过期或者禁用,已登录的PC还是可以kerberos认证成功攻击展示UI优化

2.手机代理上网不支持iwa认证(启用iwa认证后,手机设置代理不会弹认证框)

3.kerberos认证不会踢密码认证的用户

4.含有`~!#$%^&*+\|{};:“”‘’,/<>?等特殊字符的域账号登陆时,不支持认证(仅AF不支持)