您所在的位置：文档中心 - 文档内容

设置FortiGate目录服务认证

说明：
本文档针对所有FortiGate设备的目录服务配置进行说明。目录服务指FortiGate从AD服务器上取得域用户信息，当用户登录到域时该用户信息会传到FortiGate，从而允许用户访问互联网。即可以实现单点认证功能。当用户不在域时FortiGate则不允许该用户上网。
环境介绍：
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。
AD服务器IP ：192.168.100.21  DNS：192.168.100.21
用户电脑IP：192.168.100.22    DNS：192.168.100.21
步骤一：在AD上安装FSAE软件
在AD上安装FSAE_Setup_3.5.041.exe。提示的内容一般不需要更改，一直点击下一步直到安装完成。接着会提示安装DC Agent，继续安装，点击下一步直到安装完成。
（点击放大）

.

点击configure FSAE，界面如上图：
在Authentication选项下勾选Require authenticated
Password: 输入认证密码，该密码必须与下一步目录服务中的密码一致
点击Apply或Save&close保存 .

步骤二：配置目录服务
在防火墙中配置：设置用户----目录服务，点击新建
FortiClient AD：输入一个名称
FSAE Collector IP/名称：AD服务器的IP
密码：输入密码，与上一步中密码一致     点击OK
（点击放大）

.

然后防火墙就会收集到AD服务器上的目录信息，展开可以查看
（点击放大）

.

步骤三：配置用户组
在设置用户----用户组中点击新建
名称：输入一个名称
类别：选目录服务
成员：可用的用户组
组员：选择哪些用户组需要认证，即哪些用户可以上网
（点击放大）

.

步骤四：配置策略
在防火墙----策略中编辑出网策略，勾选启用基于用户认证的策略，点击添加
（点击放大）

.

将创建好的目录服务名称选到被选中的用户组中
服务：选择相应的服务
时间表：选择一个时间表
保护内容表：选择相应的保护内容表        
（点击放大）

.

步骤五：说明
在AD服务器上FSAE软件的参数：
Listening ports监听端口：默认用TCP8000端口与FortiGate通讯，用UDP8002端口与DC代理通讯
Timers时间设置：
工作站检查时间：FSAE会定时检查登陆的用户是不是还在域上，默认为5分钟
不可达主机超时时间：对于登陆到域的主机，但FSAE无法与该主机通讯，默认480分钟后会将改主机从登陆用户中删除
IP地址更换检查时间：FSAE会每60秒（默认）检查在域上的主机ＩＰ，对于更改IP的主机，FSAE会及时地通知FortiGate
Common Tasks常用工具：
Show Service Status：显示FSAE与FortiGate的通讯状态，正常为RUNNING
Show Logon Users：显示FSAE收集到的在域上用户信息
（点击放大）

.

步骤六：验证

.