除了本地用户身份验证外,您还可以添加绑定到 SSL 网关的外部身份验证服务器(AD、LDAP、Radius 或 RSA)。将对具有绑定的身份验证服务器上帐户的所有用户进行身份验证。

通过 SSL VPN 进行身份验证的最长时间为 3 分钟。这是因为非身份验证超时为 3 分钟,且不是可配置属性。因此,在将 AD 身份验证超时设置为超过 3 分钟时,或在链授权中存在多个身份验证服务器且用户身份验证所用时间超过 3 分钟时,将不会对您进行身份验证。

过程

  1. SSL VPN-Plus 选项卡中,从左侧面板选择身份验证 (Authentication)
  2. 单击添加 (Add) (“添加”图标) 图标。
  3. 选择身份验证服务器的类型。
  4. 根据所选身份验证服务器类型,填写以下字段。
    • AD 身份验证服务器
      表 1. AD 身份验证服务器选项
      选项 说明
      启用 SSL (Enable SSL) 如果启用 SSL,将在 Web 服务器与浏览器之间建立一个加密链接。
      注: 如果不启用 SSL,并稍后尝试使用“SSL VPN-Plus”选项卡或从客户端计算机更改密码,则可能会出现问题。
      IP 地址 (IP Address) 身份验证服务器的 IP 地址。
      端口 (Port) 显示默认端口名。根据需要进行编辑。
      超时 (Timeout) 以秒为单位的时间段,AD 服务器必须在该时间段内作出响应。
      状态 (Status) 选择已启用 (Enabled)已禁用 (Disabled)以指示服务器是否处于启用状态。
      搜索库 (Search base) 要搜索的部分外部目录树。搜索库可能等同于外部目录的组织单位 (Organizational Unit, OU)、 域控制器 (Domain Controller, DC) 或域名 (AD)。

      示例:

      • OU=Users,DC=aslan,DC=local
      • OU=VPN,DC=aslan,DC=local
      绑定的 DN (Bind DN) 外部 AD 服务器上的用户,可搜索定义的搜索库内的 AD 目录。大多数情况下,绑定的 DN 可以对整个目录进行搜索。绑定的 DN 的角色是使用 DN(标识名)的查询筛选器和搜索库查询目录,从而对 AD 用户进行身份验证。返回 DN 后,使用 DN 和密码对 AD 用户进行身份验证。

      示例:CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

      绑定的密码 (Bind Password) 验证 AD 用户身份时使用的密码。
      重新键入绑定密码 (Retype Bind Password) 重新键入密码。
      登录属性名称 (Login Attribute Name) 与远程用户所输入的用户 ID 相匹配的名称。对于 Active Directory,登录属性名称为 sAMAccountName
      搜索筛选器 (Search Filter) 用来限制搜索的筛选器值。搜索筛选器的格式为 attribute operator value

      如果您需要将搜索库限制为 AD 中的特定组,并且不允许在整个 OU 中搜索,则

      • 不要将组名称放在搜索库中,而仅放置 OU 和 DC。
      • 不要将 objectClassmemberOf 放在同一个搜索筛选器字符串中。正确的搜索筛选器格式示例:memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local
      使用此服务器进行第二身份验证 (Use this server for secondary authentication) 如果选择该项,则此 AD 服务器将用作第二级别的身份验证。
      在身份验证失败时终止会话 (Terminate Session if authentication fails) 如果选择该项,则当身份验证失败时会话将结束。
    • LDAP 身份验证服务器
      表 2. LDAP 身份验证服务器选项
      选项 说明
      启用 SSL (Enable SSL) 如果启用 SSL,将在 Web 服务器与浏览器之间建立一个加密链接。
      IP 地址 (IP Address) 外部服务器的 IP 地址。
      端口 (Port) 显示默认端口名。根据需要进行编辑。
      超时 (Timeout) 以秒为单位的时间段,AD 服务器必须在该时间段内作出响应。
      状态 (Status) 选择已启用 (Enabled)已禁用 (Disabled)以指示服务器是否处于启用状态。
      搜索库 (Search base) 要搜索的部分外部目录树。该搜索库可能等同于组织、组或外部目录的域名 (AD)。
      绑定的 DN (Bind DN) 外部服务器上的用户,可搜索定义的搜索库内的 AD 目录。大多数情况下,绑定的 DN 可以对整个目录进行搜索。绑定的 DN 的角色是使用 DN(标识名)的查询筛选器和搜索库查询目录,从而对 AD 用户进行身份验证。返回 DN 后,使用 DN 和密码对 AD 用户进行身份验证。
      绑定的密码 (Bind Password) 验证 AD 用户身份时使用的密码。
      重新键入绑定密码 (Retype Bind Password) 重新键入密码。
      登录属性名称 (Login Attribute Name) 与远程用户所输入的用户 ID 相匹配的名称。对于 Active Directory,登录属性名称为 sAMAccountName
      搜索筛选器 (Search Filter) 用来限制搜索的筛选器值。搜索筛选器的格式为 attribute operator value
      使用此服务器进行第二身份验证 (Use this server for secondary authentication) 如果选择该项,则此服务器将用作第二级别的身份验证。
      在身份验证失败时终止会话 (Terminate Session if authentication fails) 如果选择该项,则当身份验证失败时会话将结束。
    • RADIUS 身份验证服务器

      RADIUS 身份验证在 FIPS 模式下将被禁用。

      表 3. RADIUS 身份验证服务器选项
      选项 说明
      IP 地址 (IP Address) 外部服务器的 IP 地址。
      端口 (Port) 显示默认端口名。根据需要进行编辑。
      超时 (Timeout) 以秒为单位的时间段,AD 服务器必须在该时间段内作出响应。
      状态 (Status) 选择已启用 (Enabled)已禁用 (Disabled)以指示服务器是否处于启用状态。
      密钥 (Secret) 在 RSA 安全控制台中添加身份验证代理时指定的共享密钥。
      重新键入密钥 (Retype secret) 重新键入共享密钥。
      NAS IP 地址 (NAS IP Address) 配置为且用作 RADIUS 属性 4“NAS-IP-Address”的 IP 地址,配置时无需更改 RADIUS 数据包的 IP 标头中的源 IP 地址。
      重试计数 (Retry Count) 在身份验证失败之前,RADIUS 服务器不响应时,联系该服务器的次数。
      使用此服务器进行第二身份验证 (Use this server for secondary authentication) 如果选择该项,则此服务器将用作第二级别的身份验证。
      在身份验证失败时终止会话 (Terminate Session if authentication fails) 如果选择该项,则当身份验证失败时会话将结束。
    • RSA-ACE 身份验证服务器

      RSA 身份验证在 FIPS 模式下将被禁用。

      表 4. RSA-ACE 身份验证服务器选项
      选项 说明
      超时 (Timeout) 以秒为单位的时间段,AD 服务器必须在该时间段内作出响应。
      配置文件 (Configuration File) 单击浏览 (Browse)以选择您从 RSA Authentication Manager 下载的 sdconf.rec 文件。
      状态 (Status) 选择已启用 (Enabled)已禁用 (Disabled)以指示服务器是否处于启用状态。
      源 IP 地址 (Source IP Address) NSX Edge 接口的 IP 地址,通过该地址可访问 RSA 服务器。
      使用此服务器进行第二身份验证 (Use this server for secondary authentication) 如果选择该项,则此服务器将用作第二级别的身份验证。
      在身份验证失败时终止会话 (Terminate Session if authentication fails) 如果选择该项,则当身份验证失败时会话将结束。
    • 本地身份验证服务器
      表 5. 本地身份验证服务器选项
      选项 说明
      启用密码策略 (Enable password policy) 如果选择该项,则定义密码策略。指定所需值。
      启用密码策略 (Enable password policy) 如果选择该项,则定义帐户锁定策略。指定所需值。

      1. 在“重试计数”中,键入远程用户在输入错误密码后可以尝试访问其帐户的次数。

      2. 在“重试持续时间”中,键入登录尝试失败后,远程用户的帐户变为锁定状态的时间段。

        例如,如果指定“重试计数”为 5,“重试持续时间”为 1 分钟,则当远程用户在 1 分钟内尝试登录 5 次均失败后,其帐户将被锁定。

      3. 在“锁定持续时间”中,键入用户帐户将保持锁定的时间段。在此时间后,该帐户将自动解锁。

      状态 (Status) 选择已启用 (Enabled)已禁用 (Disabled)以指示服务器是否处于启用状态。
      使用此服务器进行第二身份验证 (Use this server for secondary authentication) 如果选择该项,则此服务器将用作第二级别的身份验证。
      在身份验证失败时终止会话 (Terminate Session if authentication fails) 如果选择该项,则当身份验证失败时会话将结束。
  5. (可选) 添加客户端证书身份验证。
    1. 单击证书身份验证 (Certificate Authentication)旁边的更改 (Change)
    2. 选中启用客户端证书身份验证 (Enable client certificate authentication)复选框。
    3. 选择由根 CA 颁发的客户端证书,然后单击确定 (OK)
      限制:
      • 在 SSL VPN-Plus Web 门户和 SSL VPN-Plus 完全访问客户端(PHAT 客户端)上,支持仅由根 CA 签名的客户端证书或用户证书。不支持由中间 CA 签名的客户端证书。
      • 只有安装在 Windows 计算机上的 SSL VPN-Plus 客户端才支持客户端证书身份验证。安装在 Linux 和 Mac 计算机上的 SSL VPN-Plus 客户端不支持此身份验证。