Si nous voulons intégrer le pare-feu à notre Active Directory (Active Directory – ANNONCE), Nous n’avons donc pas toujours besoin d’utiliser des utilisateurs locaux, Si ce n’est pas le cas, profitez de ceux que la base de données des contrôleurs de domaine a, nous allons utiliser un outil appelé FSAE. Cette procédure explique, Comment installer le FSAE, Comment configurer les contrôleurs de domaine et le pare-feu, Ensuite, nous créerons une politique et ils navigueront simplement sur Internet (ou la règle qui nous intéresse) Utilisateurs Active Directory.

La première chose à faire est de télécharger cet outil, Nous pouvons le faire en un clin d’œil ICI. Nous commençons à l’installer et nous obtiendrons un assistant typique, nous pouvons l’installer sur n’importe quel PC, cela installera ensuite des agents à distance sur les contrôleurs de domaine pour extraire des informations des utilisateurs que la base de données AD a, Je recommande de le laisser installé sur un contrôleur de domaine. Cliquez sur “Prochain”,

C’est le chemin par défaut, “Prochain”

Il nous demande un nom d’utilisateur et un mot de passe avec les autorisations nécessaires pour démarrer les services FSAE, Nous en mettons un avec des permis, Généralement l’administrateur du domaine, “Prochain”,

“Installer” pour que vous puissiez commencer l’installation,

…

D’accord, nous marquons le contrôle de “Lancement de l’assistant d’installation de l’agent DC” pour commencer l’installation des agents sur les contrôleurs de domaine, Pour collecter des informations sur l’utilisateur et des hachages pour l’émission de mots de passe, “Finir”,

D’accord, nous entrons l’adresse IP de l’agent qui aura les informations de la base de données AD, celui d’un contrôleur de domaine, Le port par défaut serait le 8002, Nous donnons “Suivant”,

D’accord, Il détecte notre domaine et nous cliquons sur “Suivant”,

Il nous montre tous les comptes d’utilisateurs qui se trouvent dans notre Active Directory, la chose normale est de surveiller tous les comptes de la DA, mais nous pouvons marquer ceux que nous ne voulons PAS voir analysés, puis nous cliquons sur “Suivant”,

Il détecte les deux contrôleurs que j’ai dans mon domaine et dans les deux, il surveillera les connexions afin que le FSAE fonctionne parfaitement, Nous marquons les deux pour que l’agent soit installé dessus. “Suivant”,

D’accord, indique qu’il est correctement installé sur le premier contrôleur de domaine, Il faudrait le redémarrer pour qu’il commence à fonctionner, Quand nous le pouvons, nous le faisons.

De même, Sur le deuxième contrôleur de domaine, vous l’avez également parfaitement installé, Nous le redémarrons quand nous le pouvons.

“Fin”

Une fois redémarré, Nous ouvrons la console “Configurer FSAE”

Nous obtenons les deux contrôleurs de domaine dont les connexions sont surveillées pour collecter leurs mots de passe auprès des utilisateurs, Nous vérifions que les ports sont les 8000 et le 8002, et surtout que la vérification d’exiger une authentification de Fortigate est activée “Exiger une connexion authentifiée de FortiGate”, Nous lui donnons un mot de passe qu’il utilisera pour y connecter le pare-feu. Cliquez sur “Appliquer” Et puis nous sortons “Sauvegarder & fermer”.

Pas mal, pour configurer le pare-feu et le faire fonctionner sous Active Directory, nous devons nous connecter au FW et aller sur le côté gauche pour “Utilisateur” > “Windows AD”. Et cliquez sur “Créer un nouveau” pour se connecter à un DA.

Dans “FortiClient AD” Nous mettrons le nom de domaine, Par exemple “bujarra.com” ou quoi que ce soit, dans “Serveur #1” (et ainsi de suite) Nous allons mettre tous les contrôleurs de domaine (Catalogues mondiaux), Nous mettons votre IP et votre port 8000 C’était celui qui était par défaut avant, Nous définissons un mot de passe pour que vous puissiez vous y connecter, est le mot de passe que nous avons configuré précédemment dans la FSAE, ce qui, dans mon exemple, était “123456”. Nous répétons cette étape pour autant de contrôleurs de domaine que de contrôleurs de domaine ont ou souhaitent surveiller leurs connexions, Nous donnons “D’ACCORD”.

Si nous actualisons l’écran, lorsque vous le mettez à jour, il supprimera tous les utilisateurs/groupes de l’Active Directory de mon domaine.

Alors, nous pouvons maintenant créer un groupe d’utilisateurs qui provient d’Active Directory. Il est important de savoir que cela ne fonctionnerait pas par utilisateur, si ce n’est pas par groupe, si nous devons faire quelque chose par utilisateur, Il est obligatoire de créer un groupe. Puits, dans le menu de gauche pour créer le groupe: “Utilisateur” > “Groupe d’utilisateurs” > et cliquez sur “Créer un nouveau”.

Nous lui donnons un nom en “Nom” dans mon cas GrupoAD, dans “Type” Mettre “Active Directory”, Nous n’avons pas besoin de lui attribuer de profil de protection. Et dans “Utilisateurs disponibles” Nous pouvons choisir les utilisateurs que nous voulons mettre dans le groupe. Je mets un groupe dont j’ai tous les utilisateurs, Nous le déplaçons vers la droite. Nous donnons “D’ACCORD”.

Voilà, nous avons notre groupe, Maintenant, nous devons l’utiliser pour les règles que nous voulons.

Par exemple, Je souhaite uniquement que les utilisateurs qui sont dans mon domaine naviguent sur Internet, J’irais aux règles dans “Pare-feu” > “Politique” et édité celui de internal à wan1.

Dans le cadre de la directive, Je vérifie le “Authentification” et j’ai mis “Active Directory”, J’ai mis le groupe que je viens de créer et j’ai donné “D’ACCORD”, Seuls les utilisateurs appartenant à ce groupe parcourront. Étant un groupe d’utilisateurs de mon Active Directory, il ne leur demandera pas d’authentification lors de la navigation avec leur Internet Explorer/Mozilla… Mais il prend l’authentification automatiquement. Si on ne travaillait pas avec des groupes d’utilisateurs de l’Active Directory c’est plus lourd car on devrait avoir une base de données d’utilisateurs dans le pare-feu et ce serait pire pour les problèmes de “si un utilisateur modifie son mot de passe Windows…”. Il est préférable de tout intégrer à Active Directory.