Si queremos integrar el firewall con nuestro Directorio Activo (Active Directory – AD), para que no tengamos que usar siempre usuarios locales, si no aprovechar los que tiene la base de datos de los controladores de dominio, usaremos una herramienta llamada FSAE. En este procedimiento se explica, cómo instalar el FSAE, cómo configurar los controladores de dominio y el firewall, después crearemos una política y sólo navegarán por internet (o la regla que nos interese) los usuarios del directorio activo.

Lo primero es descargar dicha herramienta, podemos hacerlo de AKI. Empezamos a instalarla y nos saldrá un asistente típico, podemos instalarla en cualquier PC, esto luego nos instalará unos agentes de forma remota en los controladores de dominio para sacar información de los usuarios que tiene la BD del AD, yo recomiendo dejarlo instalado en un controlador de dominio. Pulsamos sobre “Next”,

Ese es path por defecto, “Next”

Nos pide un usuario y una contraseña con permisos para iniciar los servicios del FSAE, metemos uno con permisos, normalmente el administrador de dominio, “Next”,

“Install” para que comienze a instalarlo,

…

Vale, marcamos el check de “Launch DC Agent Install Wizard” para que comienze a instalar los agentes en los controladores de dominio, para colectar información de los usuarios y sus hashes para el tema de las contraseñas, “Finish”,

Vale, metemos la IP del agente que tendrá la información de la BD de AD, la de un controlador de dominio, el puerto por defecto sería el 8002, damos a “Siguiente”,

Vale, nos detecta nuestro dominio y pulsamos sobre “Siguiente”,

Nos muestra todas las cuentas de usuario que hay en nuestro Directorio Activo, lo normal es monotorizar todas las cuentas del DA, pero podemos marcar las que NO queremos que nos analice, después le damos a “Siguiente”,

Nos detecta los dos controladores que tengo en mi dominio y en los dos monotorizará los logins para que el FSAE funcione perfectamente, marcamos ambos para que se isntale el agente en ellos. “Siguiente”,

Vale, indica que está bien instalado en el primer domain controller, habría que reiniciar para que empiece a funcionar, cuando podamos lo hacemos.

Lo mismo, en el segundo controlador de dominio también lo ha instalado perfectamente, lo reiniciamos cuando podamos.

“Finalizar”

Una vez reiniciados, abrimos la consola “Configure FSAE”

Nos salen los dos controladores de dominio de los cuales se están monotorizando los logins para recolectar sus passwords de los usuarios, comprobamos que los puertos son el 8000 y el 8002, y sobre todo que está habilitado el check de requerir autenticación desde el Fortigate “Require authenticated connection from FortiGate”, le ponemos una contraseña que será la que utilice para conectarse el firewall a él. Pulsamos sobre “Apply” y después salimos “Save & close”.

Bien, para configurar el firewall y que trabaje tirando con el Directorio Activo, tenemos que logearnos al FW e ir en la parte de la izquierda a “User” > “Windows AD”. Y pulsamos sobre “Create New” para conectarnos a un DA.

En “FortiClient AD” pondremos el nombre del dominio, por ejemplo “bujarra.com” o el que sea, en “Server #1” (y sucesivamente) pondremos todos los controladres de dominio (catálogos globales), ponemos su IP y el puerto 8000 era el que estaba por defecto antes, ponemos una contraseña para que se pueda conectar a él, es la contraseña que configuramos antes en el FSAE, que en mi ejemplo era “123456”. Repetimos este paso tantos controladores de dominio tengamos o querramos monotorizar sus logins, damos a “OK”.

Si refrescamos la pantalla, al actualizarla ya nos sacará todos los usuarios/grupos del Directorio activo de mi dominio.

Entonces, ya podemos crear un grupo de usuarios que sea del Directorio Activo. Es importante saber que esto no funcionaría por usuario, si no por grupo, si necesitamos hacer algo por usuario, es obligatorio que tengamos que crear un grupo. Bueno, en el menú de la izquierda para crear el grupo: “User” > “User Group” > y pulsamos sobre “Create New”.

Le ponemos un nombre en “Name” en mi caso GrupoAD, en “Type” ponemos “Active Directory”, no tenemos por que asignarle ningún perfíl de protección. Y en “Avaliable Users” podemos escoger los usuarios que nos interesen meter en el grupo. Yo meto un grupo que tengo a todos los usuarios, lo pasamos a la parte de la derecha. Damos a “OK”.

Ahí tenemos nuestro grupo, ahora queda utilizarlo para las reglas que querramos.

Por ejemplo, yo sólo quiero que navegen a internet los usuarios que sean de mi dominio, me iria a las reglas en “Firewall” > “Policy” y edito la de internal a wan1.

Dentro de la directiva, marco el check de “Authentication” y pongo “Active Directory”, meto el grupo que acabo de crear y dando a “OK”, sólo navegarían los usuarios que pertenezcan a ese grupo. Siendo un grupo de usuarios de mi Active Directory ni les pedirá autenticación cuando navegen con su Internet Explorer/Mozilla… si no que coje la autenticación de forma automática. Si no trabajaríamos con grupos de usuarios del Directorio Activo es más pesado por que deberíamos de tener una BD de usuarios en el firewall y sería peor por temas de “si un usuario cambia su contraseña de Windows…”. Lo mejor es tenerlo integrado todo con el Directorio Activo.