Si queremos integrar el firewall con nuestro Directorio Activo (Aktives Verzeichnis – INSERAT), para que no tengamos que usar siempre usuarios locales, si no aprovechar los que tiene la base de datos de los controladores de dominio, usaremos una herramienta llamada FSAE. En este procedimiento se explica, cómo instalar el FSAE, cómo configurar los controladores de dominio y el firewall, después crearemos una política y sólo navegarán por internet (o la regla que nos interese) los usuarios del directorio activo.

Lo primero es descargar dicha herramienta, podemos hacerlo de HIER. Empezamos a instalarla y nos saldrá un asistente típico, podemos instalarla en cualquier PC, esto luego nos instalará unos agentes de forma remota en los controladores de dominio para sacar información de los usuarios que tiene la BD del AD, yo recomiendo dejarlo instalado en un controlador de dominio. Anklicken “Nächster”,

Ese es path por defecto, “Nächster”

Nos pide un usuario y una contraseña con permisos para iniciar los servicios del FSAE, metemos uno con permisos, normalmente el administrador de dominio, “Nächster”,

“Installieren” para que comienze a instalarlo,

…

Okay, Wir markieren die Prüfung von “Launch DC Agent Install Wizard” para que comienze a instalar los agentes en los controladores de dominio, para colectar información de los usuarios y sus hashes para el tema de las contraseñas, “Beenden”,

Okay, metemos la IP del agente que tendrá la información de la BD de AD, la de un controlador de dominio, el puerto por defecto sería el 8002, Wir geben “Folgende”,

Okay, nos detecta nuestro dominio y pulsamos sobre “Folgende”,

Nos muestra todas las cuentas de usuario que hay en nuestro Directorio Activo, lo normal es monotorizar todas las cuentas del DA, pero podemos marcar las que NO queremos que nos analice, después le damos a “Folgende”,

Nos detecta los dos controladores que tengo en mi dominio y en los dos monotorizará los logins para que el FSAE funcione perfectamente, marcamos ambos para que se isntale el agente en ellos. “Folgende”,

Okay, indica que está bien instalado en el primer domain controller, habría que reiniciar para que empiece a funcionar, cuando podamos lo hacemos.

Lo mismo, en el segundo controlador de dominio también lo ha instalado perfectamente, lo reiniciamos cuando podamos.

“Ende”

Nach dem Neustart, Wir öffnen die Konsole “Configure FSAE”

Nos salen los dos controladores de dominio de los cuales se están monotorizando los logins para recolectar sus passwords de los usuarios, comprobamos que los puertos son el 8000 Und die 8002, y sobre todo que está habilitado el check de requerir autenticación desde el Fortigate “Require authenticated connection from FortiGate”, le ponemos una contraseña que será la que utilice para conectarse el firewall a él. Anklicken “Anwenden” y después salimos “Retten & schließen”.

Nicht schlecht, para configurar el firewall y que trabaje tirando con el Directorio Activo, tenemos que logearnos al FW e ir en la parte de la izquierda a “Benutzer” > “Windows AD”. Und klicken Sie auf “Neu erstellen” para conectarnos a un DA.

In “FortiClient AD” pondremos el nombre del dominio, Zum Beispiel “bujarra.com” oder was auch immer es ist, in “Server #1” (y sucesivamente) pondremos todos los controladres de dominio (catálogos globales), ponemos su IP y el puerto 8000 era el que estaba por defecto antes, ponemos una contraseña para que se pueda conectar a él, es la contraseña que configuramos antes en el FSAE, que en mi ejemplo era “123456”. Repetimos este paso tantos controladores de dominio tengamos o querramos monotorizar sus logins, Wir geben “OKAY”.

Si refrescamos la pantalla, al actualizarla ya nos sacará todos los usuarios/grupos del Directorio activo de mi dominio.

Entonces, ya podemos crear un grupo de usuarios que sea del Directorio Activo. Es importante saber que esto no funcionaría por usuario, si no por grupo, si necesitamos hacer algo por usuario, es obligatorio que tengamos que crear un grupo. Brunnen, en el menú de la izquierda para crear el grupo: “Benutzer” > “Benutzergruppe” > und klicken Sie auf “Neu erstellen”.

Le ponemos un nombre en “Name” en mi caso GrupoAD, in “Art” Stellen “Aktives Verzeichnis”, no tenemos por que asignarle ningún perfíl de protección. Und in “Verfügbare Benutzer” podemos escoger los usuarios que nos interesen meter en el grupo. Yo meto un grupo que tengo a todos los usuarios, lo pasamos a la parte de la derecha. Wir geben “OKAY”.

Ahí tenemos nuestro grupo, ahora queda utilizarlo para las reglas que querramos.

Zum Beispiel, yo sólo quiero que navegen a internet los usuarios que sean de mi dominio, me iria a las reglas en “Firewall” > “Politik” y edito la de internal a wan1.

Dentro de la directiva, marco el check de “Authentifizierung” y pongo “Aktives Verzeichnis”, meto el grupo que acabo de crear y dando a “OKAY”, sólo navegarían los usuarios que pertenezcan a ese grupo. Siendo un grupo de usuarios de mi Active Directory ni les pedirá autenticación cuando navegen con su Internet Explorer/Mozilla… si no que coje la autenticación de forma automática. Si no trabajaríamos con grupos de usuarios del Directorio Activo es más pesado por que deberíamos de tener una BD de usuarios en el firewall y sería peor por temas de “si un usuario cambia su contraseña de Windows…”. Lo mejor es tenerlo integrado todo con el Directorio Activo.