外部认证服务器   

 外部认证服务器用来设置第三方认证服务器的信息，设备支持三种外部认证服务器，包括LDAP、RADIUS、POP3。

LDAP服务器

在[策略/认证/用户认证/外部认证服务器]页面， 点击<新增>，选择[LDAP服务器]，会弹出[外部认证服务器（LDAP）]窗口，填写服务器名称。

基本配置：

服务器地址：填写对接AC的LDAP服务器地址。

认证端口：LDAP服务器连接的端口。例如AD域在未启用SSL/TLS加密时默认端口为389。

超时：设定认证请求的超时时间。当AC把认证请求转发到LDAP服务器后，如果超过这个时间无回应，则视为认证失败，如果AF到LDAP服务器间的网络比较慢，可尝试把超时时间延长（例如10秒）。

BaseDN：指定域搜索路径的起点，该起点决定了该条LDAP规则的生效范围。如果用户在指定的BaseDN以外，则该用户无法做外部服务器认证，所配置的策略对该用户也不会生效。所以可以通过BaseDN来划分不同管理员的所属区域。

同步配置：

类型：MS Active Directory[OPEN LDAP、SUN LDAP、 IBM LDAP、OTHER LADAP。

匿名搜索：如果LDAP服务器支持匿名搜索时，则可以使用此选项。

域用户：AF将使用该账号到LDAP服务器去查询以及同步的内网的用户账号。

用户密码：域用户对应的密码。

用户组属性：指定LDAP服务器上，唯一标识用户的属性字段。例如AD域上sAMAccountName属性标识了用户，而在Novell LDAP上uid属性标识了用户。

用户组过滤：指定LDAP服务器的用户过滤条件，即通过这条件可以确定某个节点是否为用户。例如AD域上可以通过填写“(|(objectClass=user)(objectClass=person))”来过滤某个节点是否为用户。

搜索配置：

分页搜索：使用扩展API对LDAP服务器进行搜索，建议保留默认配置。

页面大小：LDAP分页时返回的大小，0表示无限制，建议保留默认配置。

大小限制：同步LDAP时的size limit选项，这里建议保留默认配置。

在基本配置中填写服务器的名称、IP、认证端口、超时时间、BaseDN（即为用户所在服务器的具体路径）。

RADIUS服务器

在[策略/认证/用户认证/外部认证服务器]页面，点击<新增>，选择[RADIUS服务器]，会弹出一个[外部认证服务器（RADIUS）]编辑页面，填写服务器名称。

服务器名称：用于设置Radius服务器名称。

IP地址：填写Radius服务器的IP地址。

认证端口：设置Radius服务器的认证端口，默认是1812。

超时时间：设置认证请求的超时时间。

共享密钥：设置Radius协商密钥。

采用协议：设置Radius协商协议，不加密的协议PAP、质询握手身份验证协议Microsoft CHAP、Microsoft CHAP2、EAP_MD5。

POP3服务器

在[策略/认证/用户认证/外部认证服务器]页面，点击<新增>选择[POP3服务器]，会弹出一个[外部认证服务器（POP3）]编辑框，填写服务器名称。

POP3服务器配置：

服务器地址：填写pop3服务器的地址。

认证端口：填写认证端口号。

超时（秒）：设定认证请求的超时时间。