基于 LDAP 的用户认证

IPSec IKEv1 使用 XAUTH 进行用户认证，IPSec IKEv2 使用 EAP 进行用户认证。只有 EAP - TTLS 可以与 LDAP 互通。因此，如果 LDAP 用户认证使用 IKEv2，必须使用 EAP - TTLS。

重要

EAP - TTLS 支持要求 FortiClient EMS 和 FortiClient 版本为 7.4.3 或更高。

LDAP 认证中，LDAP Server 是集中认证服务器，用户名和密码直接在 LDAP Server 上管理。要在 IPSec 中使用该认证方式，FortiGate 必须配置 LDAP Server，并创建使用 LDAP Server 的用户组。

如需基于 LDAP 组成员关系区分用户组，可以配置多个用户组并使用 Group Name 选项进行匹配。

示例中，LDAP Server 名为 LDAP Connector，用户组名为 LDAP user group。Group Name 只匹配 LDAP Server 上属于 Domain Users 的用户，只有这些用户允许连接 IPSec 隧道。

查看 CLI 配置：

config user group
    edit "LDAP user group"
        set member "LDAP Connector"
        config match
            edit 1
                set server-name "LDAP Connector"
                set group-name "CN=Domain Users,CN=Users,DC=financial,DC=local"
            next
        end
    next
end

应用用户组

如果只有一个用户组，可以将 LDAP user group 直接用于 IPSec 隧道配置中。如果有多个用户组，应在 IPSec 隧道中选择 Inherit from policy，并在防火墙策略中使用这些用户组。

使用 LDAP + IKEv2 时，需要将 IKE version 改为 Version 2。