Ús d' autenticació d' un Fortigate contra Directori Actiu usant LDAP

En aquest document se explica cómo configurar un Fortigate para usar LDAP contra un servei de directorio, en aquest cas contra un Active Directory de Microsoft Windows 2003. Más info de lo que es LDAP – AKI.

Fortigate LDAP

El primer pas és connectar-nos al FW, i anar a “User” > “LDAP” i crear una nova connexió utilitzant LDAP, per a això posem en “Create New”,

Fortigate LDAP

Hem d’omplir les dades per al LDAP Server:
“Name”: El nom d’aquesta connexió de LDAP Server
“Nom del Servidor/IP”: La IP del servidor al qual realitzarem les consultes LDAP
“Port del Servidor”: És el port de LDAP per connectar-nos a aquest servidor.
“Identificador del Nom Comú”: Per defecte “cn” que significa que els usuaris posaran per autenticar-se el seu “Nom Complet”, si el deixem buit els usuaris hauran d’autenticar-se posant el seu “Nombre para mostrar” o “ens*****@*****io.eso
“Nom Distingit”: Serà la ruta fins al contenidor d’usuaris al directori actiu. Tindrem en compte si és una Unitat Organitzativa per posar “OU” o si és un contenidor normal per indicar “CN”. Hauria de ser una ruta com la següent: “OU=UnitatOrganitzativa, DC=dominio, DC=dominio”. Veremos más abajo el caso concreto en mi Directorio Activo, cómo será la config que tengo.
Y si nos interesa, podríamos asegurar la conectividad entre el FW y el controlador de dominio/domain controller. Posem en “OK”.

Fortigate LDAP

Vemos que es correcto.

Fortigate LDAP

Ahora lo que deberíamos hacer es crear un grupo de usuarios indicando al grupo de usuarios anteriores. Per a això, ens vam trobar “User” > “User Group” > “Create New”.

Fortigate LDAP

Indicamos un nombre al grupo de usuarios en “Name”, per exemple “UsuariosVPN”. Y agregamos a la parte derecha aMembersel grupo que acabamos de crear enUsers on RADIUS/LDAP servers”, donem a “OK”.

Fortigate LDAP

Y comprobamos que el grupo ya está creado ahí. Ahora lo que quedaría sería agregarlo a lo que nos interese, a una política del Firewall para acceso de VPN por IPSec, SSL… o para lo que nos interese.

Fortigate LDAP

Este sería mi directorio activo, con esta UO llamada: UsuariosVPN y con esos usuarios dentro de ella, serien els usuaris que tenen accés a connectarse a tonde aplique el que acabamos de realizar.

www.bujarra.com – Héctor Herrero – nh*****@*****ra.com – v 1.0


Posts recomanats

Autor

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Gestión de LOG's en un Fortigate

21 d'October de 2008