实验环境:

防火墙FG200B,系统为V4.0,build0313,110301 (MR2 Patch 4)

 

活动目录DC,系统为Windows Server 2008 R2

<!--[if !supportLists]-->1、 <!--[endif]-->依次展开设置用户→远程→LDAP并新建

<!--[if !supportLists]-->2、 <!--[endif]-->名称随意,这里是test

<!--[if !supportLists]-->3、 <!--[endif]-->服务器IPDCIP地址

<!--[if !supportLists]-->4、 <!--[endif]-->端口为默认389

<!--[if !supportLists]-->5、 <!--[endif]-->普通名称为cn

<!--[if !supportLists]-->6、 <!--[endif]-->标示名称格式为DC=test,DC=com,假设FQDNbaidu.com,这里的格式就是DC=baidu,DC=com,按照实际域名为准

<!--[if !supportLists]-->7、 <!--[endif]-->类型为常规

<!--[if !supportLists]-->8、 <!--[endif]-->这里需要输入一个域中有可读权限的用户,一般输入域管理员即可,格式为administrator@test.com,并输入密码

<!--[if !supportLists]-->9、 <!--[endif]-->点击查询

 

LDAP ×××1.jpg

 

 

查询后的结果:

 

LDAP ×××2.jpg

 

我们可以看到能读出AD中相应的参数

接着依次展开设置用户→设置用户→设置用户并新建:

名称随意,点选LDAP server并选择刚才建立的名为test的认证

 

LDAP ×××3.jpg

 

接着一次展开设置用户→用户组→用户组并新建

名称随意,类别防火墙,加入刚才建立的用户test,下面的远端服务器选择最初建立的LDAP认证服务器也就是最初的test,后面选择Any

 

LDAP ×××4.jpg

 

至此,LDAP的认证和用户、用户组建立完毕,剩下的就是做针对SSL×××的相关配置了。

依次展开防火墙→地址→地址并新建名为××× user的地址范围

 

LDAP ×××6.jpg

 

依次展开虚拟专网→SSL→设置并勾选启用SSL-×××IP池选择刚建立的地址填写DNS

 

LDAP ×××7.jpg

 

再打开界面,选择setting勾选相应的协议:

 

LDAP ×××8.jpg

 

在右侧点击增加部件并选择通道模式

 

LDAP ×××9.jpg

 

设置通道模式

 

LDAP ×××10.jpg

 

最后再建立一条地址段,此地址段为×××客户端接入之后需要与之通讯的网段,我们内网为1.0网段,我们就建立一条1.0的网段:

 

LDAP ×××11.jpg

 

建立SSL ×××策略:

从外部到内部,目的地址为刚才建立的内网1.0网段,动作为SSL-×××,勾选用户认证,添加之前建立的×××组并赋予any的可用服务

LDAP ×××12.jpg

 

我们之前做了通道分割所以这里我们还要建立两条策略:

通道模式是通过虚拟接口“ssl.root”来与内网通讯的,所以要设置SSL.root与其他接口之间的策略,策略的动作是Accept即可。

 

LDAP ×××13.jpg

 

我们还需要对路由进行调整,添加一条到ssl.root的静态路由:

 

LDAP ×××14.jpg

在完成以上步骤后,用户就可以实现登录了,输入https://接口ip:10443

注意端口缺省为10443该端口可以在系统管理→管理员设置→设置中更改,输入一个有效的域用户名和密码即可登录。注:第一次登录浏览器需要安装客户端。