FG110C SSL VPN 配合 Windows AD 帳號認證設定說明
臺中市學術網路管理委員會榮譽委員 沈俊達 壹、目的
解決在 FG-110C 上手動新增帳號及維護密碼的困境,採用與校內 AD 帳號結合方式來管理認證。
貳、Windows Server 2008 R2 使用網路原則伺服器 (NPS) 可用來做為遠端驗證撥號使用者服務 (RADIUS) 伺服器,為 RADIUS 用戶端執行驗證、授權以及帳戶處理。RADIUS 用戶端可以是存取 伺服器 (例如 VPN 伺服器或無線存取點)、802.1X 交換器 或 RADIUS Proxy(圖片來源:
http://technet.microsoft.com/zh-tw/library/cc755248.aspx)
註:在 Windows Server 2003 使用網際網路驗證服務 (IAS) 做為遠端驗證撥號使用者服務 (RADIUS) 伺服器。
參、RADIUS 伺服器安裝
一、伺服器管理員->角色->新增->勾選網路原則與存取服務
二、勾選網路原則伺服器
三、安裝完成
四、讓這部 RADIUS 伺服器可以讀取 AD 帳戶資料:
五、新增 VPN Server(Radius Client)
六、建立 Client 名稱與位址及決定共用密碼
七、新增網路原則
指定要允許使用 SSLVPN 登入的群組
接下來都照預設值即可
肆、FG-110C 的設定
使用者認證遠端RADIUS 認證建立新的
設定一個名稱,並輸入 Server 2008 的 ip 位址及共用密碼(安裝 RADIUS Server 步驟六)
伍、新增使用者群組
操作步驟:使用者認證使用者群組使用者群組建立新的
1.名稱:自訂一個適當的群組名稱 2.群組類型:防火牆
3.勾選「允許 SSL-VPN 存取」並選擇剛剛建立的「Full Access Protal」,意思是隸屬於這個群組的 使用者登入後會使用「Full Access Protal」這個入口頁面。
4.將上一步驟新建的 RADIUS 認證(Windows NPS)加入這個群組的成員。
5.爾後只要是 AD 資料庫內隸屬於 teachers 群組的帳號,都可以使用 SSLVPN 連線了!