fortigate的RADIUS域用户的组认证为SSL×××用户（下）

既然要用域认证，那么域认证的接受RADIUS的东西必须安装，2003里面叫IAS，2008里面换了名字，叫网络策略服务器，本例使用了2008R2标准版。安装网络策略服务器就不说了，网上教程多如牛毛。

打开网络策略服务器（NPS），先添加RADIUS客户端，这个客户端就是指的fortigate，填上fortigate的IP，有好名无所谓，共享机密，不知道怎么翻译个这个名字，就是在fortigate里面设的主服务器密钥，一致就行。下面到策略里面在网络策略添加一个策略。先在域控里面建立一个许可的组。起个名字叫***，这个名字没关系。

忽略用户账户的拨入属性不要选。

条件里面添加刚才在域里面做的***组。

身份验证要选上PAP，fortigate是用pap方式。

设置是重头戏了。关系到分组验证的成败。

因为fortigate不是老牌公司，所有微软的radius里面没有该厂商的信息，其次fortigate用于认证的东西是私有的，非标准radius协议。所有就比较麻烦了。

选择供应商特定，这是添加没有厂家的手法。点击添加。

供应商选择自定义，选Vendor-Specific，点击添加。

这里就需要供应商的号码了，没有怎么办。可以问厂家呀。

我们可以想到radius的原理，首先是radius客户端发起请求，里面估计包含有供应商的号码，我们抓包看看。

看到属性类型为26，不可知的vendor号码是12356，于是添加

好在fortigate是符合供应商特定属性的。然后配置属性。

那么这个group的属性到底分配的属性号是多少呢。

我们姑且一试选1，然后组的名字估计应该是字符串，属性值当然就是***啦。

看着sniffer都不支持fortigate，我们换一个软件，wireshark。

果然这个更新及时的软件支持fortinet，可以清楚的看到12356被解释成了fortinet，下面的1，被解释成了Fortinet-Group-Name，值就是***，第一次就成功了，哈哈。

然后真实测试，果然通过。