Si queremos integrar el firewall con nuestro Directorio Activo (Active Directory – AD), para que no tengamos que usar siempre usuarios locales, si no aprovechar los que tiene la base de datos de los controladores de dominio, usaremos una herramienta llamada FSAE. En este procedimiento se explica, cómo instalar el FSAE, cómo configurar los controladores de dominio y el firewall, después crearemos una política y sólo navegarán por internet (o la regla que nos interese) los usuarios del directorio activo.

Lehenik eta behin tresna hori deskargatu behar da, hau egin dezakegu AKI. Instalatzen hastean, laguntzaile tipiko bat agertuko da, Edozein PC-n instalatu dezakegu, honek gero agente batzuk modu urrunekoan instalatuko ditu domeinu kontrolatzaileetan, ADko erabiltzaileen datuak ateratzeko, Ni gomendatzen dut domeinu kontrolatzaile batean instalatzea. Klik egin “Next”,

Hori da lehenetsitako bidea, “Next”

FSAE zerbitzuak abiarazteko baimenak dituen erabiltzaile eta pasahitz bat eskatzen digu, Baimentzen dituen bat sartzen dugu, Normalean domeinuaren administratzailea, “Next”,

“Install” instalatzen hasteko,

…

Vale, markatu check-a deitzen dena “Launch DC Agent Install Wizard” agenteak domeinu kontrolatzailetan instalatzen hasteko, erabiltzaileen informazioa eta haien hash-ak biltzeko pasahitzen gaia egiteko, “Finish”,

Vale, metemos la IP del agente que tendrá la información de la BD de AD, la de un controlador de dominio, el puerto por defecto sería el 8002, damos a “Hurrengoa”,

Vale, nos detecta nuestro dominio y pulsamos sobre “Hurrengoa”,

Nos muestra todas las cuentas de usuario que hay en nuestro Directorio Activo, lo normal es monotorizar todas las cuentas del DA, pero podemos marcar las que NO queremos que nos analice, después le damos a “Hurrengoa”,

Nos detecta los dos controladores que tengo en mi dominio y en los dos monotorizará los logins para que el FSAE funcione perfectamente, marcamos ambos para que se isntale el agente en ellos. “Hurrengoa”,

Vale, indica que está bien instalado en el primer domain controller, habría que reiniciar para que empiece a funcionar, cuando podamos lo hacemos.

Lo mismo, bigarren domeinu kontrolatzailean ere perfektuki instalatu da, ahal dugunean berrabiaraziko dugu.

“Amaitu”

Berrabiarazitakoan, kontsola irekitzen dugu “Ezarri FSAE”

Bi domeinu kontrolatzaileak ikusten ditugu, erabiltzaileen pasahitzak biltzeko loginak monitorizatzen ari direnak, Atakak hor dauden egiaztatzen dugu 8000 y el 8002, eta batez ere Fortigate-tik autentifikazioa eskatzea aktibatuta dagoela “FortiGate-tik autentifikaziozko konexioa eskatzea”, Pasahitz bat ezartzen diogu, horrela firewallak horretarako konektatuko da. Klik egin “Aplikatu” eta gero irten egiten gara “Gorde & close”.

Ondo, firewallearen konfigurazioa egiteko eta Active Directory-rekin lanean aritzeko, FW-an saioa hasi behar dugu eta ezkerreko aldean joan “Erabiltzaile” > “Windows AD”. Y pulsamos sobre “Create New” DA batera konektatzeko.

In “FortiClient AD” Domeinuaren izena jarriko dugu, adibidez “bujarra.com” o el que sea, en “Server #1” (y sucesivamente) pondremos todos los controladres de dominio (munduko katalogoak), jarri IPa eta portua 8000 aurreko ezarpen lehenetsia zen, pasahitza jartzen dugu horixe konektatu ahal izateko, aurrekoan FSAEn ezarri genuen pasahitza da, nire adibidean hau zen “123456”. Erronka hau errepikatzen dugu dominu kontroladore kopuru guztientzat edo haien loginekin jarraitu nahi dugun kopuruentzat, damos a “OK”.

Pantaila berritzen badugu, eguneratzerakoan nire domeinuaren Aktiboaren Direktorioko erabiltzaile/ talde guztiak erakutsiko dizkigu.

Beraz, Orain Aktiboaren Direktorioko erabiltzaile taldea sortu dezakegu. Garrantzitsua da jakitea hau ez litzatekeela erabiltzaile bakoitzarentzat funtzionatuko, baizik eta talde bakoitzarentzat, erabiltzaile bakoitzarentzat zerbait egin behar badugu, betebeharra dago taldea sortu behar dugula. Onena, Taldea sortzeko ezkerreko menuan: “Erabiltzaile” > “Erabiltzaile Taldea” > y pulsamos sobre “Create New”.

Izena jartzen diogu “Izena” nire kasuan GrupoAD, en “Type” jartzen dugu “Active Directory”, no tenemos por que assignarle ningún perfíl de protección. Eta “Disponibiliable Users” podemos askatu erabiltzaileak gure interesa neurtzeko taldean. Yo meto un grupo que tengo a todos los usuarios, lo pasamos a la parte de la right. Damos a “OK”.

Ahí tenemos nuestro grupo, ahora falta utilizarlo para las reglas que querramos.

Adibidez, yo solo quiero que navigen a internet erabiltzaileak que sean de mi dominio, me iria a las rules en “Firewall” > “Policy” y edito la de internal a wan1.

Dentro de la directiva, marco el check de “Autentikazioa” y pongo “Active Directory”, meto el grupo que acabo de crear y dando a “OK”, sólo navegarían los usuarios que pertenezcan a ese group. Siendo un group de usuarios de mi Active Directory ni les pedirá authenticación cuando navegen con su Internet Explorer/Mozilla… besterik gabe autentifikazioa automatikoki hartzen du. Bestela, Directorio Aktiboaren erabiltzaile talderekin lan egingo genuke, astunagoa da, firewall-ean erabiltzaileen DB bat izan behar genukeelako eta okerragoa litzateke gaiengatik “Erabiltzaile batek Windows-en pasahitza aldatzen badu…”. Onena da dena Directorio Aktiboarekin integratuta edukitzea.