Se vogliamo integrare il firewall con la nostra Active Directory (Rubrica attiva – ANNUNCIO), quindi non dobbiamo sempre utilizzare utenti locali, in caso contrario, sfruttare quelli che il database dei controller di dominio ha, useremo uno strumento chiamato FSAE. Questa procedura spiega, Come installare FSAE, Come configurare i controller di dominio e il firewall, Quindi creeremo una politica e navigheranno semplicemente in Internet (o la regola che ci interessa) Utenti di Active Directory.

La prima cosa è scaricare questo strumento, possiamo farlo in un QUI. Iniziamo a installarlo e otterremo una procedura guidata tipica, possiamo installarlo su qualsiasi PC, questo installerà quindi alcuni agenti in remoto sui controller di dominio per estrarre informazioni dagli utenti che il database AD ha, Consiglio di lasciarlo installato su un controller di dominio. Clicca su “Prossimo”,

Questo è il percorso predefinito, “Prossimo”

Ci chiede un nome utente e una password con le autorizzazioni per avviare i servizi FSAE, Ne abbiamo messo uno con i permessi, Di solito l'amministratore di dominio, “Prossimo”,

“Installare” per iniziare l'installazione,

…

Ok, segniamo il controllo di “Avviare l'Installazione guidata dell'agente del controller di dominio” Per iniziare l'installazione degli agenti nei controller di dominio, per raccogliere informazioni sull'utente e hash per l'emissione di password, “Finire”,

Ok, inseriamo l'IP dell'agente che avrà le informazioni di AD DB, quello di un controller di dominio, La porta predefinita sarebbe la 8002, Diamo “Seguente”,

Ok, Rileva il nostro dominio e clicchiamo su “Seguente”,

Ci mostra tutti gli account utente che si trovano nella nostra Active Directory, la cosa normale è monitorare tutti i conti del DA, ma possiamo segnare quelli che NON vogliamo vengano analizzati, quindi clicchiamo su “Seguente”,

Rileva i due controller che ho nel mio dominio e in entrambi monitorerà gli accessi in modo che la FSAE funzioni perfettamente, Contrassegniamo entrambi in modo che l'agente sia installato su di essi. “Seguente”,

Ok, indica che è installato correttamente nel primo controller di dominio, Dovrebbe essere riavviato per iniziare a funzionare, Quando possiamo, lo facciamo.

Lo stesso, Anche sul secondo controller di dominio è stato installato perfettamente, Lo riavviamo quando possiamo.

“Fine”

Una volta riavviato, Apriamo la console “Configurare FSAE”

Otteniamo i due controller di dominio i cui account di accesso vengono monitorati per raccogliere le password dagli utenti, Controlliamo che le porte siano le 8000 E la 8002, e soprattutto che sia abilitato il check per richiedere l'autenticazione da Fortigate “Richiedi connessione autenticata da FortiGate”, Gli diamo una password che utilizzerà per collegare il firewall ad esso. Clicca su “Applicare” E poi usciamo “Salvare & chiudere”.

Non male, per configurare il firewall e farlo funzionare con Active Directory, dobbiamo accedere al FW e andare sul lato sinistro per “Utente” > “Annunci pubblicitari di Windows”. E clicca su “Crea nuovo” per connettersi a un DA.

In “FortiClient AD” Metteremo il nome di dominio, Per esempio “bujarra.com” o qualunque cosa sia, in “Server #1” (E così via) Verranno inseriti tutti i controller di dominio (Cataloghi globali), Mettiamo il tuo IP e la tua porta 8000 era quello che prima era di default, Impostiamo una password in modo che tu possa connetterti ad essa, è la password che abbiamo impostato in precedenza nella FSAE, che nel mio esempio era “123456”. Ripetiamo questo passaggio tanti controller di dominio quanti sono i controller di dominio che hanno o vorrebbero monitorare i loro accessi, Diamo “OK”.

Se aggiorniamo lo schermo, quando lo aggiorni, rimuoverà tutti gli utenti/gruppi dall'Active Directory del mio dominio.

Allora, ora possiamo creare un gruppo di utenti che proviene da Active Directory. È importante sapere che questo non funzionerebbe per utente, se non per gruppo, Se dobbiamo fare qualcosa per utente, È obbligatorio che dobbiamo creare un gruppo. Bene, nel menu a sinistra per creare il gruppo: “Utente” > “Gruppo di utenti” > e clicca su “Crea nuovo”.

Gli diamo un nome in “Nome” nel mio caso GrupoAD, in “Digitare” Mettere “Rubrica attiva”, Non dobbiamo assegnargli alcun profilo di protezione. E in “Utenti disponibili” Possiamo scegliere gli utenti che vogliamo inserire nel gruppo. Ho messo un gruppo che ho tutti gli utenti, lo spostiamo sul lato destro. Diamo “OK”.

Lì abbiamo il nostro gruppo, Ora dobbiamo usarlo per le regole che vogliamo.

Per esempio, Desidero che solo gli utenti che si trovano nel mio dominio possano accedere a Internet, Andrei alle regole in “Firewall” > “Politica” e modificato quello da interno a wan1.

Nell'ambito della direttiva, Controllo il “Autenticazione” e ho messo “Rubrica attiva”, Ho messo il gruppo che ho appena creato e dando “OK”, Solo gli utenti che appartengono a quel gruppo navigheranno. Essendo un gruppo di utenti della mia Active Directory non chiederà loro l'autenticazione durante la navigazione con il loro Internet Explorer/Mozilla… ma richiede l'autenticazione automaticamente. Se non lavorassimo con gruppi di utenti di Active Directory sarebbe più pesante perché dovremmo avere un database di utenti nel firewall e sarebbe peggio per problemi di “se un utente modifica la password di Windows…”. È meglio avere tutto integrato con Active Directory.