In diesem Dokument wird erklärt, wie man ein Fortigate konfiguriert, um LDAP gegen einen Verzeichnisdienst zu verwenden, in diesem Fall gegen ein Microsoft Windows Active Directory 2003. Mehr Infos darüber, was LDAP ist – HIER.

Lo primero es conectarnos al FW, gehen und “Benutzer” > “LDAP (Englisch)” y crear una nueva conexión usando LDAP, Klicken Sie dazu auf “Neu erstellen”,

Debemos rellenar los datos para LDAP Server:
“Name”: El nombre de está conexión de LDAP Server
“Server Name/IP”: La IP del servidor al que realizaremos las consultas LDAP
“Server Port”: Es el puerto de LDAP para conectarnos a dicho servidor.
“Common Name Identifier”: Vorgabe “cn” que significa que los usuarios pondrán para autenticarse su “Nombre Completo”, si lo dejamos vacío los usuarios tendrán que autenticarse poniendo su “Nombre para mostrar” oder “UNS*****@*****io.eso”
“Distinguished Name”: Será la ruta hasta el contenedor de usuarios en el directorio activo. Tendremos en cuenta si es una Unidad Organizativa para poner “OU” o si es un contenedor normal para indicar “CN”. Debería ser una ruta como la siguiente: “OU=UnidadOrganizativa,DC=Domäne,DC=Domäne”. Veremos más abajo el caso concreto en mi Directorio Activo, cómo será la config que tengo.
Y si nos interesa, podríamos asegurar la conectividad entre el FW y el controlador de dominio/domain controller. Anklicken “OKAY”.

Vemos que es correcto.

Ahora lo que deberíamos hacer es crear un grupo de usuarios indicando al grupo de usuarios anteriores. Um dies zu tun,, Wir werden “Benutzer” > “Benutzergruppe” > “Neu erstellen”.

Indicamos un nombre al grupo de usuarios en “Name”, Zum Beispiel “UsuariosVPN”. Y agregamos a la parte derecha a “Members” el grupo que acabamos de crear en “Users on RADIUS/LDAP servers”, Wir geben “OKAY”.

Y comprobamos que el grupo ya está creado ahí. Ahora lo que quedaría sería agregarlo a lo que nos interese, a una política del Firewall para acceso de VPN por IPSec, SSL-Verbindung… o para lo que nos interese.

Este sería mi directorio activo, con esta UO llamada: UsuariosVPN y con esos usuarios dentro de ella, sería los usuarios que tengan acceso a conectarse a tonde aplique lo que acabamos de realizar.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0