Chứng thực LDAP trên Firewall Fortigate

Bài viết này hướng dẫn cấu hình LDAP dùng một Firewall Fortigate lấy thông tin user từ Domain controller để áp đặt chính sách cho user của AD ngay trên thiết bị Fortigate. Bài viết sử dụng mô hình với địa chỉ IP được đặt như sau:


Để Fortigate có thể xác thực được user trên AD ta phải thực hiện 3 bước:
- Chuẩn bị trên AD
- Tạo LDAP server
- Map user của AD vào thiết bị Fortigate

Bắt đầu cấu hình

Bước 1: Trên Domain controller:
Trên AD tạo ra một OU (Organizational Unit), sau đó đưa tất cả user cần quản lý trên Firewall vào OU này.
Vào cửa sổ command line gõ câu lệnh: dsquery user
Ghi nhận lại các thông số CN, OU, DC
Ngoài ra trên AD không cần phải thực hiện thêm thao tác nào hay cài thêm phần mềm nào khác.


Bước 2: Cấu hình LDAP trên Firewall Fortigate

Vào phần User & Device -> Authentication-> LDAP Servers, khai báo các thông số như sau:
+ Name: Đặt tùy ý
+ Server Name/IP: đặt địa chỉ IP của AD
+ ServerPort: để mặc định là 389
+ Conmon Name Identifier: để mặc định là “cn”
+ Disiguished Name: đặt theo đúng thứ tự là OU sau đó là tên của domain, tên domain được viết theo dạng “DC=…” Ví dụ: “thegioimang.vn” được viết lại thành “DC=thegioimang,DC=vn” Các thành phần được ngăn cách bằng dấu phẩy, theo đúng thông số đã được ghi nhận phía trên.
+ Bind type, chọn là Regular.
+ User DN: Nhập đầy đủ các trường như đã ghi nhận ở trên, trong đó trường CN là để nhập user dùng để xác thực với AD.
+ Password: nhập password của user đã khai báo phía trên.
Sau khi khai báo xong các thông số, nhấn Test, nếu có thông báo Successful là ta đã kết nối thành công với AD


Bước 3: Map các user trên AD lên thiết bị.

Ta vào User & Device -> User-> User Definition, chọn Create new
Trong cửa sổ hiện ra, ta chọn remote LDAP User sau đó nhấn Next.


Trong cửa sổ tiếp ta chọn LDAP server vừa cấu hình xong


Tiếp đến ta chọn các user mà ta cần map vào trong cửa sổ tiếp theo, sau đó nhấn Next


Bước4: Confirm Selection, nhấn chọn Done để kết thúc.



Vào lại phần User -> User Definition, ta sẽ thấy các user mới đã được map thành công, Type là LDAP (User được tạo trên Fortigate có type là LOCAL).


Với các user đã được Import từ phía AD ta có thể dùng để áp đặt chính sách, cho phép kết nối VPN… tùy theo yêu cầu của chúng ta. Bài viết đã được test thành công trên windows server 2003, 2008 và 2012.

Chúng mọi người thành công.

 

Bài viết sau mình sẽ hướng dẫn các bạn đồng bộ User từ Win server 2008 lên Firewall Fortigate V5.6, đồng thời chứng thực qua LDAP server



Quy trình thực hiện bài lab như sau :
1. Build AD cũng như các user trong OU trên Win 2008
2. Tạo LDAP server
3. Synchonize user vào Fortigate

Bước 1 : Trên AD
· Tạo các group user, move vào các OU
· Mở CMD gõ : dsquery user
· Ghi nhận các thông số CN (User ), OU, DC (Domain)




Bước 2 : Trên Fortigate
Vào phần user -> Ldap server khai báo như sau :
· Name : Tùy ý
· Server name/IP : Ip của domain
· Server port : mặc định là 389
· Common Name Idetifier : DC=thegioimang,dc=vn (Phần này nhập theo thông số bạn lấy được qua câu lệnh dsquery user )
· Bind type chọn Regular
· User : user login vào domain
· Password : mật khẩu của tài khoản trên
Sau khi khai báo xong các thông số, nhấn Test, nếu có thông báo Successful là ta đã kết nối thành công với AD






Bước 3 : Đồng bộ các user vào Fortigate
Ta vào User & Device -> Users Group-> chọn Create new
· Name : tạo tên tùy ý
· Nhấn chọn Add -> chọn server bạn đã tạo trong ldap server -> chọn group user bạn muốn chứng thực
· Vào Policy & Object -> IPV4 policyàchọn Group user đã tạo trong phần source address











Chúc các bạn thành công !

Bài viết liên quan:
- Cấu hình Firewall Fortigate kết nối với LDAP Server

 

Hay, bài viết rất rõ ràng, mình làm theo đã chạy ok. Thank