用户 ID 内部的组映射是许多客户使用以获得在安全策略中使用组而不是单个用户帐户的功能的一个很好的特性。用户 ID 函数能够通过与 Microsoft 活动目录服务器通信来实现此目的
或 eDirectory 服务器使用 LDAP (默认端口 389)。
用户 ID 可以使用以下两种方式之一:
- 代理-必须在与目录服务器通信的 Windows 服务器上运行的代理软件。
- 无代理-防火墙与目录服务器直接通信。
这可以是一个简单的配置, 但经常出现的事情会导致问题。默认情况下, 您使用管理 IP 地址与目录服务器通信。通过使用管理 IP, 不需要附加的安全规则。如果您不希望使用管理 IP, 而是希望使用另一个接口, 则需要更改 "服务路由"。
这可以在 WebGUI >> 设备 >> 安装 > 服务选项卡内配置, 并单击 "服务功能" 下的 "服务路由配置"。
有关服务路由配置的详细信息, 请参考以下管理指南以了解更多信息:
在本周的讨论中, 用户 "萨蒂什·南比亚尔" 使用无代理的用户 ID, 并且在尝试与 Microsoft 活动目录服务器通信时收到 "内部错误", 因为防火墙无法与目录服务器对话。
问题的根源在于, 他的服务路由没有正确配置, 并且他使用了访问 Microsoft 活动目录服务器所需帐户的错误密码。
要查看完整的讨论, 请参考以下链接: 组映射问题讨论
如果您有任何问题, 意见或反馈, 请把它们放在下面。
感谢阅读,
乔德里奥