Fortinet用户认证及管理解决方案.pptx

Fortinet用户认证及管理解决方案Fortinet用户认证概述认证用户的密码型认证主机和终端的证书型在密码外附属其他安全策略的双因子型FortiGate-FortiAuthenticator解决方案涵盖了多种应用，无线接入、有线接入、VPN接入等用户管理系统。本地用户认证配置于FortiGate上的用户名，密码可以存储与FortiGate本身，也可以取自认证服务器。取自认证服务器时，认证服务器上的用户名必须和FortiGate上配置的用户名相匹配，密码是来自认证服务器的。本地双因子认证：动态令牌卡、邮件发送密码、短信方式等。若是TOKEN形式，需要注册。认证服务器的本地设置管理员可以在本地认证服务器建立和删除用户，用户可以采用自注册方式生成用户，用户名和密码可以通过邮件、短信等方式发送。FortiAuthenticator可以强制用户在注册时，填写必要的选项。FortiAuthenticator也可以对用户信息进行管理，强制用户密码有效期，用户可以自行修改密码等。当用户遗忘密码时，可以自行恢复密码。访客管理专人来生成和管理访客账号。在FortiGate可以设置一个管理员负责访客的账号生成和吊销。访客管理可以采用单独生成和批量生成，具有以下特点：自动生成用户名和密码可以采用邮件作为用户名，也可以自动生成账号有效期可以生成账号或者使用开始计时账号通过邮件和打印等方式进行发送由访客自行注册账号。FortiGate-FortiAuthenticator组合起来可以为访客提供一个自注册的管理平台，用户可以根据自己需求来生成账号，具有以下特点：用户自行填写用户信息管理员可以强制要求必填的信息管理员可以设置账号有效期账号可以通过邮件、短信和打印等方式进行发送。RADIUS认证FortiGate认证：用户认证时，FortiGate转发用户名和密码到RADIUS服务器。管理员可以指定RADIUS认证的加密协议。可以实现用户认证，VPN接入，也可以利用Radius向用户分配IP和访问权限等更为详尽的用户属性。FortiAuthenticator认证：自身作为RADIUS服务器查询RADIUS上的用户信息作为一个综合认证平台，可以从RADIUS服务器、LDAP服务器和设备本身上提取用户信息，转换为RADIUS服务。LDAP与TACACS+认证FortiGate支持采用LDAP服务器来认证用户，可以通过LDAP来遍历所有用户名和密码FortiGate LDAP支持重设密码，也就是说通知用户更新密码和密码的结束时间，但是需要在命令行下配置TACACS+(Terminal Access Controller Access-Control System) 通常用于认证路由器、VPN和其他基于网络的设备。FortiGate将用户名和密码转发给TACACS+服务器，服务器决定是否接受还是拒绝该请求该用户访问网络。双因子认证与FortiToken双因子认证与FortiTokenFortiGate和FortiAuthenticator支持多种双因子认证，Fortinet的FortiToken动态口令卡，邮件、短信等FortiToken形态FortiToken 200，硬件令牌FortiToken 300，基于CA证书方式的硬件KeyFortiToken移动软件版的动态口令软件FortiToken优势：由于FortiToken采用动态口令或者CA证书的方式，为用户提供了双因子认证的选择。采用FortiToken，可以极大地降低因密码泄露导致安全隐患。FortiToken部署极为简便，无需额外的服务器和硬件设施，能够迅速地部署FortiToken演示谢谢！