如何利用防火墙 禁止windows 2008 r2域意外的用户上网

2017-03-27
23430

ASA 通过域LDAP 认证没有吧。我公布配置并说明.aaa-server 9hoo.net protocol ldap //这里定义名字9hoo.net ,自由定义,为了识别方便,一般定义为域名,后

ASA 通过域LDAP 认证没有吧。我公布配置并说明.

aaa-server 9hoo.net protocol ldap //这里定义名字9hoo.net ,自由定义,为了识别方便,一般定义为域名,后面跟ldap 就是定义的协议为ldap

max-failed-attempts 2 //允许最大验证错误2次

aaa-server 9hoo.net (inside) host 172.26.1.10 //访问的接口是从inside 发出的,域控的IP 地址是172.26.1.10

ldap-base-dn OU=users,OU=Technology,DC=9hoo,DC=net //这个是LDAP 协议的东西,DC=net 是域的根,DC=9hoo是域,说简单些就是9hoo.net 这个域分解成的,前面的OU=Technology,OU 熟悉域的都知道是什么吧,在向下一级是OU=users,就是规定只有在这个子ou 里面的才被许可

ldap-group-base-dn DC=9hoo,DC=net //整个域为对象

ldap-scope subtree //子树查询

ldap-login-password ***** //这个密码是对应下面一行fortigate200a 的,

ldap-login-dn cn=fortigate200a,cn=users,dc=9hoo,dc=net //这个是用来先期取得域的用户列表的,指定这个用户的位置,这里的cn=users,是在根的users 里面

server-type microsoft //定义LDAP 协议按照微软域的类型

aaa-server 9hoo.net (inside) host 172.26.1.11 //以下是备份域控

ldap-base-dn OU=users,OU=Technology,DC=9hoo,DC=net

ldap-group-base-dn DC=9hoo,DC=net

ldap-scope subtree

ldap-login-password *******

ldap-login-dn cn=fortigate200a,cn=users,dc=9hoo,dc=net

server-type microsoft

aaa authentication telnet console 9hoo.net LOCAL //防火墙的telnet 的访问也用域来认证,认证失败使用本地帐户

tunnel-group remote general-attributes //远程VPN 客户端的接入设定,不完全,还有其它配置,这里不说明了

address-pool vpnpool

authentication-server-group 9hoo.net //这里也用域帐户进行认证设定

default-group-policy remote

标签:

相关推荐

AI2020中如何给形状添加扭拧效果 2024-03-06 快速实现多行不同字数内容左右对齐的Word技巧 2024-03-06 如何快速开启笔记本电脑的无线上网功能 2024-03-06 如何在Photoshop中设置图片大小 2024-03-06 优化360极速浏览器搜索引擎设置,提升上网体验 2024-03-06 JDK安装与环境变量配置详解 2024-03-06 Photoshop中如何利用矩形选框工具自由拉长图片 2024-03-06 Linux下常见命令的使用方法及操作技巧 2024-03-06