Browse Ask a Question
 
Tools Add
Rss Categories

 Featured
Single Sign-on Using LDAP and FSSO Agent in Advanced Mode

Author: Partian Co Reference Number: AA-00205 Views: 2325 Created: 2017-03-10 19:41 Last Updated: 2017-10-03 14:38 100 Rating/ 1 Voters

 

اشتراک اطلاعات مربوط به احراز هویت کاربران اکتیو دایرکتوری با FortiGate 

 

نکته:

در این آموزش از FortiOS 5.2.10 استفاده شده است.

در این آموزش احراز هویت کاربر بوسیله ی FFSO انجام می شود. احراز هویت کاربر دسترسی به اینترنت را کنترل کرده و همچنین Security Profile های مختلفی را بروی کاربران مختلف اعمال می کند.

مرحله اول:
  •  در ابتدا باید تنظیمات مربوط به یکپارچه سازی و Sync دستگاه Fortigate به LDAP Server را انجام دهید. بدین منظور از منوی سمت چپ مسیر User & Device > Authentication> LDAP Servers را دنبال کرده و گزینه ی Create New را انتخاب و مطابق شکل تنظیمات را انجام دهید :


نکته:

  • در قسمت Common Name Identifier باید مقدار sAMAccountName را به عنوان Identifier وارد کنید. برای Identifier بر اساس مدل LDAP Directory مقادیر متفاوتی در نظر گرفته می شود. این مقدار معمولا cn می باشد که البته در بعضی از سرورها، Identifier های دیگری از قبیل uid نیز استفاده می شود. برای اکتیو دایرکتوری این مقدار معمولا sAMAccountName در نظر گرفته می شود.
  • در قسمت Distinguished Name نیز نام دامین خود را با فرمتی که در عکس مشخص شده وارد کنید. مثلا در این مثال با توجه به نام دامین مربوطه که techdoc.local است، مقدار dc=techdoc,dc=local در نظر گرفته شده است.
  • در قسمت User DN و Password نیز همانطور که مشاهده می کنید باید نام کاربری و پسورد Administrator مربوط به دامین خود را وارد کنید. همچنین در قسمت Bind Type باید گزینه ی Regular را انتخاب کنید.
  • اگر گزینه ی Fetch DN را انتخاب کنید، اطلاعات کاربران Active Directory را برای شما حاصل خواهد کرد.
  • در پایان اگر گزینه ی Test را انتخاب کنید در صورتی که اطلاعات را درست وارد کرده باشید، در بالای صفحه در کادری آبی رنگ پیام Successful مبنی بر درستی انجام تنظیمات نمایش داده می شود.

نکته:

در صورتی که درستی کلیه ی تنظیمات را بررسی کرده ولی پیام Successful را دریافت نکردید می توانید تنظیمات مربوطه را از طریق CLI و به صورت دستور وارد کنید. بدین منظور از منوی سمت چپ مسیر System > Dashboard> Status را دنبال کرده سپس به Widget مربوط به CLI Console رفته و دستورات زیر را وارد  کنید:

config user ldap
edit LDAP
set server 10.10.20.3
set cnid sAMAccountName
set dn dc=techdoc,dc=local
set type regular
set username [email protected]
.............           set password
next
end

مرحله دوم:
  • در این مرحله باید FSSO Agent را بر روی Windows AD Server خود نصب کنید. بدین منظور ابتدا فایل نصبی مورد نظر را تهیه کرده و مطابق تصاویر زیر اقدام به نصب و انجام تنظیمات مربوطه کنید.

نکته:

گزینه ی Advanced انتخاب گردد.

نکته:

در قسمت Collector Agent IP Address باید IP Address مربوط به Windows AD Server وارد شود.

نکته:

از بین گزینه ها دامین مربوطه را انتخاب کرده و به مرحله ی بعد بروید.


نکته:

در این مرحله شما می توانید انتخاب کنید که کدام کاربران مانیتور نشوند.

نکته:

در قسمت Working Mode باید گزینه ی DC Agent Mode انتخاب شود.


  • در انتها پیامی مبنی بر موفقیت آمیز بودن عملیات نصب دریافت می کنید و از شما خواسته می شود که Domain Controller خود را Reboot  کنید.
  • بعد از Reboot سیستم، Collector Agent اجرا می شود. شما می توانید مطابق شکل در قسمت Authentication تیک مربوط به گزینه ی Require authenticated connection from FortiGate را زده و برای آن یک پسورد انتخاب کنید.که در این صورت در هنگام اتصال Fortigate به Domain Controller باید پسورد فوق وارد شود.

مرحله سوم:
  •  در این مرحله تنظیمات مربوط به Single Sign-On را در Fortigate انجام می دهیم. بدین منظور از منوی سمت چپ مسیر User & Device > Authentication > Single Sign-On را دنبال کرده و گزینه ی Create New را انتخاب کرده و مطابق شکل تنظیمات را انجام دهید :


نکته: 

در قسمت Type باید Fortinet Single-Sign-On Agent انتخاب شود. همچنین پس از وارد کردن نام دامین و IP Address مربوط به آن و انتخاب LDAP Server ساخته شده در مرحله ی قبل، در قسمت Users/Groups جدولی حاوی نام کاربری کاربران اکتیو دایرکتوری نمایش داده خواهد شد. شما می توانید بر روی هر کدام از گروه های کاربری و یا کاربرانی که مد نظر شماست کلیک کرده و سپس گزینه Add Selected را انتخاب کنید.

مرحله چهارم:

  •  در این مرحله باید یک گروه کاربری در Fortigate ایجاد و به آن کاربرانی را که از Active Directory در مرحله قبل Sync کردید را اضافه کنید. بدین منظور از منوی سمت چپ مسیر User & Device > User > User Groups را دنبال کرده و گزینه ی Create New را انتخاب و مطابق شکل تنظیمات را انجام دهید :


مرحله پنجم:
 
  • در این مرحله باید یک Policy ایجاد کرده و از طریق آن  دستیابی به اینترت را برای کاربران گروه کاربری که در مرحله قبل ساختید فراهم کنید. بدین منظور از منوی سمت چپ مسیر Policy & Objects > Policy > IPv4 را دنبال کرده و گزینه ی Create New را انتخاب کرده و مطابق شکل تنظیمات را انجام دهید :




  • در پایان می توانید به FSSO Agent رفته و گزینه ی Show Logon Users را انتخاب کرده و کاربرانی که به دامین مربوطه Login کرده اند را مشاهده کنید:

  • همچنین می توانید در دستگاه Fortigate کاربران فوق را مشاهده کنید. بدین منظور از منوی سمت چپ مسیر User & Device > Monitor > Firewall را دنبال کنید.

  • همچنین می توانید به مسیر Log & Report > Traffic Log > Forward Traffic رفته و Log های مربوط به کاربران را مشاهده کنید. توجه داشته باید که با کلیک بر روی هر کاربر می توانید جزییات بیشتری از اطلاعات مربوط به آن کاربر را مشاهده کنید.




 










 

 



 










Rss Comments 1
  • #
    [evudimaci]: Exploring excites soldier genetics, information? 2019-11-29 14:48

    [url=http://mewkid.net/where-is-xena/]Amoxicillin Online[/url] <a href="http://mewkid.net/where-is-xena/">Amoxicillin 500 Mg</a> mwd.jgmu.kb.partian.co.hev.xd http://mewkid.net/where-is-xena/

Info Add Comment
Nickname: Your Email: Subject: Comment:
Enter the code below:
Info Ask a Question