Cấu hình LDAP over SSL kết hợp Windows AD và Fortigate(LDAPS)

Discussion in 'Firewall Fortigate' started by hvminh, Apr 5, 2019.

Tags:
  1. hvminh

    hvminh Member

    # Trong bài viết này bạn sẽ học cách thực hiện cấu hình LDAP qua SSL cùng với Windows Server 2012. Server CA xác thực bên ngoài này kiểm tra mật khẩu cho User hoặc Group Fortigate đã chon.
    # Active Directory Certificate Services (AD CS) phải được cài đặt trong Windows Server 2012.
    [​IMG]

    1./ Xuất chứng chỉ LDAPS trong AD:
    - Mở bảng     Command Prompt > mmc.
    - Chọn File và click Add/Remove Snap-in. Chọn Certificates và click Add.
    - Trong Certificates snap-in chọn Computer account > Next.
    - Trong Select Computer, nếu bạn đang thực hiện trên LDAP server yêu cầu chứng thực, chọn Local. Ngược lại chọn Another computer > Browse đến địa chỉ LDAP server. Tiếp theo, OK > Finish.
    - Trong     Console, mở Certificates (<…>) > Personal > Certificate.
    - Chọn Chứng chỉ CA > All Tasks > Export.
    - Bảng Certificate Export Wizard, click Next.
    - Tiếp theo Export Private Key, chọn No > Next.
    - Tại cửa sổ Export File Format, chọn DER.
    [​IMG]

    - Cuối cùng, tại File to Export chọn đường dẫn và lưu tên file dưới dạng "file.cer", click Next.
    [​IMG]

    - Xác nhận lại cài đặt tại cửa sổ hoàn tất và click Finish.
    - Khi thấy bảng thông báo đã xuất Chứng chỉ CA thành công, click OK.

    2./ Nhập chứng chỉ LDAPs vào trong Firewall Fortigate:
    - Vào System > Config > Features, và kích hoạt Certificates.
    [​IMG]

    - Tiếp đến vào System > Certificates và chọn Import > CA Certificate.
    - Chọn Local PC > Choose File, sau đó chọn đường dẫn đến "file.cer" đã lưu ở trên và click OK.
    [​IMG]
    - Bạn có thể thay đổi tên CA bằng cách sử dụng CLI:
    FGT # config vpn certificate ca
    FGT (ca) # rename CA_Cert_1 to LDAPS-CA
    FGT (ca) # end
    - Tên CA đã được thay đổi như hình dưới:
    [​IMG]
    3./ Tạo LDAPS Server object trong Fortigate:
    - User DN phải có tài khoản truy cập admin
    [​IMG]
    4./ Kết quả:
    - Trên Firewall FortiGate sử dụng command để kiểm tra kết nối đến LDAPS server.
    - Khi vào Command hãy sử dụng user password trên LDAPS server
    - Nếu cấu hình chính xác, Command sẽ xuất xác thực đã thành công và cả danh sách người dùng.
    FGT # diagnose test authserver ldap LDAPS admin pa$$w0rd
    authenticate 'administrator' against 'LDAPS'     succeeded!
    Group membership(s) - CN=Domain Admins,CN=Users,DC=fortinet,DC=local
    CN=Administrators,CN=Builtin,DC=fortinet,DC=local
    CN=Domain Users,CN=Users,DC=fortinet,DC=local
    Chúc các bạn thành công!
     
    hvminh, Apr 5, 2019
    #1

Share This Page