Wenn wir die Firewall mit unserem Active Directory integrieren wollen (Aktives Verzeichnis – INSERAT), damit wir nicht immer lokale Benutzer verwenden müssen, sondern die Nutzer der Datenbank der Domänencontroller nutzen können, werden wir ein Werkzeug namens FSAE verwenden. In diesem Verfahren wird erklärt, wie man den FSAE installiert, wie man die Domänencontroller und die Firewall konfiguriert, dann erstellen wir eine Richtlinie und sie werden nur im Internet surfen (oder die Regel, die uns interessiert) die Benutzer des Active Directory.

Das Erste ist, dieses Werkzeug herunterzuladen, wir können es von HIER. Wir beginnen, es zu installieren, und es wird uns ein typischer Assistent angezeigt, wir können es auf jedem PC installieren, dies wird später Agenten remote auf den Domänencontrollern installieren, um Informationen über die Benutzer zu erhalten, die in der AD-Datenbank sind, Ich empfehle, es auf einem Domänencontroller installiert zu lassen. Anklicken “Nächster”,

Das ist der Standardpfad, “Nächster”

Es fordert uns nach einem Benutzer und einem Passwort mit Berechtigungen zum Starten der FSAE-Dienste, wir geben einen mit Berechtigungen ein, normalerweise der Domänenadministrator, “Nächster”,

“Installieren” um die Installation zu beginnen,

…

Okay, Wir markieren die Prüfung von “Launch DC Agent Install Wizard” um die Agenten auf den Domänencontrollern zu installieren, um Informationen über die Benutzer und ihre Hashes zum Thema Passwörter zu sammeln, “Beenden”,

Okay, wir geben die IP des Agenten ein, der die Informationen der AD-Datenbank haben wird, die eines Domänencontrollers, der Standardport wäre der 8002, Wir geben “Folgende”,

Okay, unserem Domain wird erkannt und wir klicken auf “Folgende”,

Es zeigt uns alle Benutzerkonten, die in unserem Active Directory existieren, normalerweise werden alle DA-Konten überwacht, aber wir können diejenigen markieren, die NICHT analysiert werden sollen, danach klicken wir auf “Folgende”,

Es erkennt die beiden Controller, die ich in meiner Domäne habe, und auf beiden werden die Logins überwacht, damit FSAE perfekt funktioniert, wir markieren beide, damit der Agent auf ihnen installiert wird. “Folgende”,

Okay, zeigt an, dass es auf dem ersten Domänencontroller korrekt installiert ist, es müsste neu gestartet werden, damit es funktioniert, wenn wir können, machen wir es.

Lo mismo, auch auf dem zweiten Domänencontroller wurde es perfekt installiert, wir starten ihn neu, wenn wir können.

“Ende”

Nach dem Neustart, Wir öffnen die Konsole “FSAE konfigurieren”

Die beiden Domänencontroller werden angezeigt, deren Logins überwacht werden, um die Passwörter der Benutzer zu sammeln, wir überprüfen, dass die Ports offen sind 8000 Und die 8002, und vor allem, dass die Option 'Authentifizierung vom Fortigate erforderlich' aktiviert ist “Authentifizierte Verbindung von FortiGate erforderlich”, wir legen ein Passwort fest, das der Firewall für die Verbindung verwenden wird. Anklicken “Anwenden” und danach verlassen wir “Retten & schließen”.

Nicht schlecht, um die Firewall zu konfigurieren und sie mit dem Active Directory arbeiten zu lassen, wir müssen uns am FW anmelden und im linken Bereich zu gehen zu “Benutzer” > “Windows AD”. Und klicken Sie auf “Neu erstellen” um uns mit einem DC zu verbinden.

In “FortiClient AD” wir geben den Domainnamen ein, Zum Beispiel “bujarra.com” oder was auch immer es ist, in “Server #1” (und so weiter) pondremos todos los controladres de dominio (catálogos globales), ponemos su IP y el puerto 8000 era el que estaba por defecto antes, ponemos una contraseña para que se pueda conectar a él, es la contraseña que configuramos antes en el FSAE, que en mi ejemplo era “123456”. Repetimos este paso tantos controladores de dominio tengamos o querramos monotorizar sus logins, Wir geben “OKAY”.

Si refrescamos la pantalla, al actualizarla ya nos sacará todos los usuarios/grupos del Directorio activo de mi dominio.

Dann, ya podemos crear un grupo de usuarios que sea del Directorio Activo. Es importante saber que esto no funcionaría por usuario, si no por grupo, si necesitamos hacer algo por usuario, es obligatorio que tengamos que crear un grupo. Brunnen, Und el menú de la izquierda paraar crear el grupo: “Benutzer” > “Benutzergruppe” > und klicken Sie auf “Neu erstellen”.

Le ponemos un nombre en “Name” en mi caso GrupoAD, in “Art” Stellen “Aktives Verzeichnis”, no tenemos por que asignarle ningún perfíl de protección. Und in “Verfügbare Benutzer” podemos escoger los usuarios que nos interesen meter en el grupo. Yo meto un grupo que tengo a todos los usuarios, lo pasamos a la parte de la derecha. Wir geben “OKAY”.

Ahí tenemos nuestro grupo, ahora queda utilizarlo para las reglas que querramos.

Zum Beispiel, yo sólo quiero que navegen a internet los usuarios que sean de mi dominio, me iria a las reglas en “Firewall” > “Politik” y edito la de internal a wan1.

Dentro de la directiva, marco el check de “Authentifizierung” y pongo “Aktives Verzeichnis”, meto el grupo que acabo de crear y dando a “OKAY”, sólo navegarían los usuarios que pertenezcan a ese grupo. Siendo un grupo de usuarios de mi Active Directory ni les pedirá autenticación cuando navegen con su Internet Explorer/Mozilla… sondern dass die Authentifizierung automatisch erfolgt. Andernfalls würden wir mit Benutzergruppen des Active Directory arbeiten, was mühsamer ist, weil wir eine Benutzerdatenbank in der Firewall haben müssten, und das wäre aufgrund von ... schlechter “wenn ein Benutzer sein Windows-Passwort ändert…”. Am besten ist es, alles mit dem Active Directory zu integrieren.