Cấu hình Firewall Fortigate kết nối với LDAP Server

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi khoaTGM, 17/10/17.

  1. khoaTGM

    khoaTGM Member

    LDAP (Lightweight Directory Access Protocol) là một giao thức ứng dụng truy cập các cấu trúc thư mục. LDAP được thiết kế trên giao thức Internet TCP/IP.
    Với nhu cầu về quản lý các user trong hệ thống của doanh nghiệp. Việc Firewall Fortigate kết nối với Server để Firewall có thể quản lý và giám sát được hoạt động của các user trong hệ thống là điều cần thiết.
    Trong bài viết này mình sẽ kết nối Firewall Fortigate với giao thực LDAP tới Server để lấy thông tin các User được quản lý trên AD của Server.

    Mô hình
    [​IMG]
    1.     Kết nối Fortigate với Windows DC LDAP Server

    User & Device ->LDAP Servers
    upload_2017-10-17_13-49-16.jpeg

    2. Cài đặt FSSO trên Windows DC Server.

    Các bạn truy cập vào trang : https://support.fortinet.com để download FSSO.
    Khi đã download thành công FSSO trên windows server các mở cài đặt.

    Nhập password của Administrator
    upload_2017-10-17_13-49-24.jpeg
    Click -> Next, chọn Advance như hình dưới.
    upload_2017-10-17_13-49-47.jpeg
    Click -> Next, nhập IP của LDAP servers, port 8002
    upload_2017-10-17_13-49-52.jpeg
    Click -> Next, chon domain
    upload_2017-10-17_13-50-28.jpeg
    Click -> Next, chọn User bạn muốn Monitor
    upload_2017-10-17_13-50-47.jpeg
    Click -> Next, chon DC Agent Mode (trong bài viết sau mình sẽ hướng dẩn các bạn làm về Polling Mode)
    upload_2017-10-17_13-51-1.jpeg
    Click -> Next, khởi động lại Domain Controller
    upload_2017-10-17_13-51-7.jpeg
    Sau khi khởi động lại, bạn nhập password (password này sẽ được chứng thực với Fortigate)

    upload_2017-10-17_13-51-20.jpeg

    3. Cấu hình Single Sign-On trên Fortigate để lấy User.

    Cấu hình chứng thực Fortigate với LDAP servers

    User & Device -> Single Sign-On (Password xác thực giữa Fortigate với LDAP Server)

    upload_2017-10-17_13-51-29.jpeg

    4. Thêm User group trên Fortigate

    User & Device -> User Groups -> Create new FSSO user group

    upload_2017-10-17_13-51-33.jpeg

    5. Tạo Policy cho user được Windows DC Server cung cấp

    Policy & Objects -> Ipv4 Policy

    upload_2017-10-17_13-52-10.jpeg

    6. Kết quả

    Trên Server, Show login Users

    upload_2017-10-17_13-52-25.jpeg

    Trên Firewall Fortigate có thể truy cập console hoặc vào Dash board --> CLI Console thực thi lệnh để xem các user được lấy từ LDAP servers

    Diagnose debug authd fsso list

    ----FSSO logons----
    IP: 10.10.20.3 User: ADMINISTRATOR Groups: CN=FORTIOS WRITERS,CN=USERS,DC=TECHDOC,DC=LOCAL Workstation: WIN2K8R2.TECHDOC.LOCAL MemberOf: FortiOS_Writers
    IP: 10.10.20.7 User: TELBAR Groups: CN=FORTIOS WRITERS,CN=USERS,DC=TECHDOC,DC=LOCAL Workstation: TELBAR-PC7.TECHDOC.LOCAL MemberOf: FortiOS_Writers
    Total number of logons listed: 2, filtered: 0
    ----end of FSSO logons----

    Monitor -> Firewall User Monitor

    upload_2017-10-17_13-53-10.jpeg

    upload_2017-10-17_13-53-12.jpeg

    Log & Report -> Forward Traffic để xem chi tiết

    upload_2017-10-17_13-53-21.jpeg

    Ta thấy Firewall Fortigate đã kết nối đến Server để lấy các Users có trong AD thông qua gia0 thức LDAP lên Fortigate cho mục đích quản lý.

    Bài viết được thực hiện trên Firewall Fortigate Fimware 5.4.5 và Windows Server 2008R2.

    Chúc các bạn cấu hình thành công !

    Bài viết liên quan:
    -     Chứng thực LDAP trên Firewall Fortigate
     
    khoaTGM, 17/10/17
    #1

trang này