通过领域和设置 (Realm & Settings) 选项卡页面，您可以选择要应用身份规则的领域或领域序列。如果您使用的是强制网络门户，则还可以选择其他选项。

身份验证领域 (Authentication Realm)

从领域 (Realm) 列表中，点击领域或领域序列。

包含要对其执行指定操作 (Action) 的用户的领域或领域序列。必须在选择作为身份规则中的领域或领域序列之前，对领域进行完全配置。

注	如果启用了 VPN 远程接入，而且您的部署正在使用 RADIUS 服务器组进行 VPN 身份验证，请确保您指定的领域与此 RADIUS 服务器组相关联。

仅主动身份验证：其他选项

如果选择主动身份验证 (Active Authentication) 作为身份验证类型，或者选中如果无法建立被动或 VPN 身份则使用主动身份验证 (Use active authentication if passive or VPN identity cannot be established) 框，您将看到以下选项。

如果无法建立被动或 VPN 身份，请使用主动身份验证

如果被动身份验证或 VPN 身份验证无法标识用户，选择此选项将通过强制网络门户主动身份验证来验证用户。您必须在身份策略中配置主动身份验证规则，才能选择此选项。（即，用户必须使用强制网络门户进行身份验证。）

如果禁用此选项，没有 VPN 身份或被动身份验证不能标识的用户将被标识为“未知”。

另请参阅本主题后面对 身份验证领域 列表的讨论，

如果身份验证无法识别用户，则识别为特殊身份/访客 (Identify as Special Identities/Guest if authentication cannot identify user)

选择此选项允许执行强制网络门户主动身份验证时而失败指定次数的用户以访客身份访问您的网络。这些用户显示在以其用户名（如果 AD 或 LDAP 服务器中有他们的用户名）或访客（如果他们的用户名未知）标识的 管理中心 中。其领域是在身份规则中指定的领域。（默认情况下，失败的登录次数为 3。）

仅当您将主动身份验证（即，强制网络门户身份验证）配置为规则操作时，才会显示此字段。

身份验证协议

要用于执行强制网络门户主动身份验证的方法。选项因领域、LDAP 或 AD 的类型而有所不同。

• 如果要使用未加密的 HTTP 基本身份验证 (BA) 连接对用户进行身份验证，请选择 HTTP 基本身份验证。用户通过其浏览器的默认身份验证弹出窗口登录网络。

  大多数 Web 浏览器会从 HTTP 基本身份验证登录中缓存凭证，并在旧会话超时后使用这些凭证无缝开始新会话。

• 选择 NTLM 以使用 NT LAN Manager (NTLM) 连接对用户进行身份验证。仅在选择 AD 领域时，此选项才可用。如果在用户的浏览器中配置了透明身份验证，则该用户自动登录。如果未配置透明身份验证，则用户使用其浏览器的默认身份验证弹出窗口进行登录。

• 选择 Kerberos 以使用 Kerberos 连接对用户进行身份验证。仅在为已启用安全 LDAP (LDAPS) 的服务器选择 AD 领域时，此选项才可用。如果在用户的浏览器中配置了透明身份验证，则该用户自动登录。如果未配置透明身份验证，则用户使用其浏览器的默认身份验证弹出窗口进行登录。

  注	您选择的领域必须配置 AD 加入用户名和 AD 加入密码，才能执行 Kerberos 强制网络门户主动身份验证。

  注	如果您要创建身份规则来执行 Kerberos 强制网络门户，并且已配置了 DNS 解析，则必须配置 DNS 服务器来解析强制网络门户设备的完全限定域名 (FQDN)。FQDN 必须与您配置 DNS 时提供的主机名匹配。 对于 威胁防御 设备，FQDN 必须解析为用于强制网络门户的路由接口的 IP 地址。

• 选择 HTTP 协商以允许强制网络门户服务器选择“HTTP 基本”、“Kerberos”或“NTLM”进行身份验证连接。仅在选择 AD 领域时，此类型才可用。

  注	您选择的领域必须配置 AD 加入用户名和 AD 加入密码，这样一来，HTTP 协商才能选择 Kerberos 强制网络门户主动身份验证。

  注	如果您要创建身份规则来执行 HTTP 协商强制网络门户，并且已配置了 DNS 解析，则必须配置 DNS 服务器来解析强制网络门户设备的完全限定域名 (FQDN)。用于强制网络门户的设备的 FQDN 必须与您配置 DNS 时提供的主机名匹配。