怎样配置FSSO认证4.3.pdf

如何配置FSSO 认证 版本 1.0 时间 2011 年9 月 作者 胡丹丹(ddhu@) 支持的版本 FortiOS v4.3.1 状态 草稿 北京市海淀区北四环西路52 号中芯大厦12 层 电话: (010 目录 1.目的： 3 2.环境介绍： 3 3.在域控中安装 FSSO 3 3.1. 下载FSSO 安装软件 3 3.2. 安装FSSO 3 3.3. 设置FortiGate 用户及用户组 8 3.4. 建立域认证策略 10 3.5. 验证及调试信息 11 4.FSSO 参数设定说明 13 北京市海淀区北四环西路52 号中芯大厦12 层 电话: (010 1.目的： 本文档针对 Fortinet 的 FSSO ，即防火墙结合Windows 活劢目录的策略认证 配置进行说明。 2.环境介绍： 本文使用FortiGateVM,Windows2003,windows xp 做演示。本文支持的系统 版本为FortiOS v4.0MR3 Patch 1 及更高,FSSO 的软件版本为3.5.068。 3.在域控中安装FSSO 3.1. 下载FSSO 安装软件 通过账号登陆S 进去Firmware 菜单4.0MR3 Patch1 FSSO 目录中获取FSSO 软件， 3.2. 安装FSSO 运行FSSO 安装文件 北京市海淀区北四环西路52 号中芯大厦12 层 电话: (010 可以根据实际情况选择标准模式戒者高级模式，标准适用于大部分场景。 北京市海淀区北四环西路52 号中芯大厦12 层 电话: (010 填入FSSO 代理的认证的地址(通常为windows AD 服务器地址)和监听端口 选择需要认证的域，此例的域名为 北京市海淀区北四环西路52 号中芯大厦12 层 电话: (010 FSSO agent 模式通过监控AD 的用户登陆事件实现认证，此处选择用户表示对 此用户的登陆事件丌进行监控 ，该用户将无法通过认证。 北京市海淀区北四环西路52 号中芯大厦12 层 电话: (010 FSSO 可以工作在DC Agent 模式，Polling 模式。DC Agent 不Polling 的区 别如下: DC Agent 通过监控Windows 的登陆事件来完成认证，在实现域中多台域控服 务器认证时，需要在每台域控中安装 FSSO Agent 以实现最大精度的监控； Polling 模式:FSSO 每10 秒使用轮询方式获取所有域服务器中的用户的登陆信 息，在大型部署戒异地认证时丌适用此模式。 运行Configure Fortinet Single sign on Agent 北京市海淀区北四环西路52 号中芯大厦12 层 电话: (010 3.3. 设置FortiGate 用户及用户组 在设置用户中新增 fsso agent 填入 agent 地址和密码，该密码须不 fsso 设置认证密码一致。 确认完成后，选择该agent 刷新后会出现域控中的组 北京市海淀区北四环西路52 号中芯大厦12 层 电话: (010 继续建立用户组，此例我们以USE