FortiGate Passive Authentication (AD)

część II

W drugiej części konfiguracji FortiGate rozpatrzymy Passive Authentication AD (zobacz częśc I).

Do obsługi tego typu uwierzytelniania dla użytkowników Microsoft należy zainstalować FSSO Agent na Windows Active Directory (AD). Wszystkie komputery muszą być dodane do domeny.

Passtive Authentication oznacza, że użytkownik nie musi podawać (wpisywać) loginu oraz hasła. Za każdym razem, gdy logujesz się użytkownikiem z domeny – zostaną użyte te same dane uwierzytelniające użytkownika.

Zaczynamy konfigurację od instalacji agenta na serwerze Windows.

Fortigate SSO Collector Agent

Tymczasem musimy usunąć poprzednio skonfigurowany Active Authentication na FortiGate.

Usunięcie poprzednio skonfigurowany Active Authentication na FortiGate

Podczas instalacji musimy wpisać adres IP serwera AD.

FortiGate Install DC Agent

Następnie należy wybrać domenę

Wybór domeny - FortiGate Install DC Agent

Po czym usuwamy użytkowników, których nie chcemy monitorować.

Usunięcie zdbędnych użytkowników FortiGate Install DC Agent

Po zainstalowaniu agenta FSSO musimy zmienić hasło

Zmiana hasła - FortiGate Install DC Agent

Po udanej konfiguracji agenta FSSO oraz podstawowej konfiguracji przechodzimy do integracji FortiGate. Wybieramy Fabric Connectors, a następnie wybieramy potrzebny Endpoint i dodajemy nowe połączenie.

Integracja FortiGate z Windows

Podajemy niezbędne parametry do połączenia i zatwierdzamy konfiguracje.

Konfiguracja niezbędnych danych

Jeśli dane zostały wpisane poprawnie, to integracja odbędzie się pomyślnie. Trzeba też sprawdzić czy porty 8000, 8001, 8002 i 8003 są odblokowane na serwerze Windows.

FSSO Agent on Windows AD

Po integracji FortiGate z serwerem AD musimy zdefiniować nowe grupy wybierając nowy typ.

Definiowanie nowych grup

Wpisujemy nazwę grupy na FortiGate, wybieramy typ FSSO oraz stworzoną grupę AD.

Dalej przechodzimy do tworzenia podstawowych polityk.

Tworzenie Polityk FortiGate

Zezwalamy ruch z sieci 192.168.1.0/24 (LAN1) i dodatkowo dodajemy grupę 1 w której są user1 i user3.

Podobnie wygląda polityka dla sieci po drugiej stronie, gdzie ruch jest zezwolony z 192.168.2.0/24 i tak samo dodana jest grupa 2 z użytkownikami user2 i user4.

Konfiguracja Polityki w FortiGate

Po dodaniu tych polityk nadal nie będzie dostępu na zewnątrz, musimy jeszcze dodać komputery do domeny.

Dodanie komputerów do domeny w FortiGate

Wpisujemy dane administratora i potwierdzamy. Po czym musimy uruchomić komputer ponownie.

Komunikat powitalny

W logach FSSO agenta widzimy, że są  połączenia z wybranych hostów

FSSO FortiGate
Połączenia z wybranych hostów
Połączenia z wybranych hostów
Fortigate Firewall Users

Sprawdzamy połączenie i możliwość monitorowania połączenia użytkowników w graficznym interfejsie FortiGate.

Patrząc na stworzone grupy oraz polityki, można wyspecyfikować szczegłowe polityki, ograniczając jakiś konkretny ruch, serwisy albo aplikacji.

Jeżeli jesteś zainteresowany wdrożeniem FortiGate w swojej organizacji, to skontaktuj się z nami.

Nasz dział techniczny odpowie na wszelkie Twoje pytania i wesprze Cię w doborze najlepszego rozwiązania.

    Wszystkie pola oznaczone (*) są wymagane




    Potwierdzam, że zapoznałem się z polityką prywatności - Polityka prywatności
    Zgadzam się na przetwarzanie moich danych osobowych (imię, nazwisko, adres email, numer telefonu) przez Sprzedawcę NETWORK EXPERTS Sp. z o.o. sp. k. ul. Chojnowska 8, 03-583 Warszawa w celu marketingowym. Wyrażenie zgody jest dobrowolne. Mam prawo cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Mam prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, oraz prawo do przenoszenia danych na zasadach zawartych w polityce prywatności sklepu internetowego. Dane osobowe w sklepie internetowym przetwarzane są zgodnie z polityką prywatności. Zachęcamy do zapoznania się z polityką przed wyrażeniem zgody. - Polityka prywatności


    Autorem wpisu jest

    Vladyslav Diadenko – NOC Engineer

    W Network Expert nadzoruje i utrzymuje właściwe działanie sieci u klientów. Jego zawodową pasją są sieci, programowanie i automatyzacja, a w ramach odpoczynku od codzienności lubi czytać książki i grać na gitarze.

    Vladyslav Diadenko
    2022-08-12T13:53:35+02:00
    Przejdź do góry