W wielu wypadkach polityki rozwiązań firewall chcemy kreować w taki sposób, aby dotyczyły konkretnych użytkowników. Nie jest dla nas celem samym w sobie ograniczanie ruchu z konkretnych adresów IP w naszej sieci wewnętrznej, w której bytują użytkownicy. Niestety firewalle widzą ruch na poziomie protokołów sieciowych, w których informacja o tym kto jest zalogowany na stacji roboczej nie jest przenoszona. Znacznie bliżej urządzeniom firewall do analizy adresu IP, portu ewentualnie aplikacji z której korzysta użytkownik.

My jednak chcemy tworzyć polityki bazując na nazwach naszych użytkowników, albo nawet lepiej na grupach do których dany użytkownik należy.

Jak to zrobić z użyciem firewalla Fortigate

1. Integracja Fortigate z AD i LDAP

Wykreowanie LDAP User & Device -> LDAP Server -> create new

Fabric connectors -> create new  Fortinet Single Sign-on

2. Instalacja agenta na komputerze w domenie

Należy zainstalować rozwiązanie Fortinet Single Sign on Agent na komputerze w domenie

W ramach instalacji należy podać nazwę użytkownika, która służy usłudze do pracy, sposób łączenia się (wybieramy advanced)

W zakładce show monitored dc należy przestawić tryb pracy jak na poniższym rysunku

Należy także upewnić się że logi związane ze zdarzeniami logowania użytkowników są zbierane przez Windows: najlepiej sprawdzić w Event Viewer

3. Użycie użytkowników i grup w politykach

Nasz fabric connector powinien pokazywać się w stanie up

Dodajemy polityki bazujące na przynależności użytkowników do grup.

Uwaga
w polityce musi zawsze być adres IP. Działa to w logice and,  tj. regułka zadziałała kiedy użytkownik będzie w konkretnej grupie oraz kiedy ruch będzie przychodził z konkretnego adresu ip.