Fortigate integracja z Active directory
W wielu wypadkach polityki rozwiązań firewall chcemy kreować w taki sposób, aby dotyczyły konkretnych użytkowników. Nie jest dla nas celem samym w sobie ograniczanie ruchu z konkretnych adresów IP w naszej sieci wewnętrznej, w której bytują użytkownicy. Niestety firewalle widzą ruch na poziomie protokołów sieciowych, w których informacja o tym kto jest zalogowany na stacji roboczej nie jest przenoszona. Znacznie bliżej urządzeniom firewall do analizy adresu IP, portu ewentualnie aplikacji z której korzysta użytkownik.
My jednak chcemy tworzyć polityki bazując na nazwach naszych użytkowników, albo nawet lepiej na grupach do których dany użytkownik należy.
Jak to zrobić z użyciem firewalla Fortigate
1. Integracja Fortigate z AD i LDAP
Wykreowanie LDAP User & Device -> LDAP Server -> create new
Fabric connectors -> create new Fortinet Single Sign-on
2. Instalacja agenta na komputerze w domenie
Należy zainstalować rozwiązanie Fortinet Single Sign on Agent na komputerze w domenie
W ramach instalacji należy podać nazwę użytkownika, która służy usłudze do pracy, sposób łączenia się (wybieramy advanced)
W zakładce show monitored dc należy przestawić tryb pracy jak na poniższym rysunku
Należy także upewnić się że logi związane ze zdarzeniami logowania użytkowników są zbierane przez Windows: najlepiej sprawdzić w Event Viewer
3. Użycie użytkowników i grup w politykach
Nasz fabric connector powinien pokazywać się w stanie up
Dodajemy polityki bazujące na przynależności użytkowników do grup.
Uwaga
w polityce musi zawsze być adres IP. Działa to w logice and, tj. regułka zadziałała kiedy użytkownik będzie w konkretnej grupie oraz kiedy ruch będzie przychodził z konkretnego adresu ip.
Szukasz rozwiązania dla swojej firmy?
Napisz do nas!
Specjaliści Network Expert
Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów
Network w liczbach