Conector do Active Directory para Fortigate: FSAE – Extensão de autenticação do servidor Fortinet

Impressão amigável, PDF & Email

Si queremos integrar el firewall con nuestro Directorio Activo (Diretório ativo – ANÚNCIO), para que no tengamos que usar siempre usuarios locales, si no aprovechar los que tiene la base de datos de los controladores de dominio, usaremos una herramienta llamada FSAE. En este procedimiento se explica, cómo instalar el FSAE, cómo configurar los controladores de dominio y el firewall, después crearemos una política y sólo navegarán por internet (o la regla que nos interese) los usuarios del directorio activo.

Lo primero es descargar dicha herramienta, podemos hacerlo de AQUI. Empezamos a instalarla y nos saldrá un asistente típico, podemos instalarla en cualquier PC, esto luego nos instalará unos agentes de forma remota en los controladores de dominio para sacar información de los usuarios que tiene la BD del AD, yo recomiendo dejarlo instalado en un controlador de dominio. Clique em “Próximo”,

Ese es path por defecto, “Próximo”

Nos pide un usuario y una contraseña con permisos para iniciar los servicios del FSAE, metemos uno con permisos, normalmente el administrador de dominio, “Próximo”,

“Instalar” para que comienze a instalarlo,

Okey, marcamos a verificação de “Launch DC Agent Install Wizardpara que comienze a instalar los agentes en los controladores de dominio, para colectar información de los usuarios y sus hashes para el tema de las contraseñas, “Acabar”,

Okey, metemos la IP del agente que tendrá la información de la BD de AD, la de un controlador de dominio, el puerto por defecto sería el 8002, Nós damos “Seguinte”,

Okey, nos detecta nuestro dominio y pulsamos sobre “Seguinte”,

Nos muestra todas las cuentas de usuario que hay en nuestro Directorio Activo, lo normal es monotorizar todas las cuentas del DA, pero podemos marcar las que NO queremos que nos analice, después le damos a “Seguinte”,

Nos detecta los dos controladores que tengo en mi dominio y en los dos monotorizará los logins para que el FSAE funcione perfectamente, marcamos ambos para que se isntale el agente en ellos. “Seguinte”,

Okey, indica que está bien instalado en el primer domain controller, habría que reiniciar para que empiece a funcionar, cuando podamos lo hacemos.

O mesmo, en el segundo controlador de dominio también lo ha instalado perfectamente, lo reiniciamos cuando podamos.

“Fim”

Una vez reiniciados, abrimos la consolaConfigure FSAE

Nos salen los dos controladores de dominio de los cuales se están monotorizando los logins para recolectar sus passwords de los usuarios, comprobamos que los puertos son el 8000 e o 8002, y sobre todo que está habilitado el check de requerir autenticación desde el FortigateRequire authenticated connection from FortiGate”, le ponemos una contraseña que será la que utilice para conectarse el firewall a él. Clique em “Aplicar” y después salimos “Salvar & fechar”.

Nada mau, para configurar el firewall y que trabaje tirando con el Directorio Activo, tenemos que logearnos al FW e ir en la parte de la izquierda a “Utilizador” > “Windows AD”. E clique em “Criar novo” para conectarnos a un DA.

Em “FortiClient ADpondremos el nombre del dominio, Por exemplo “bujarra.com” ou o que quer que seja, em “Server #1” (y sucesivamente) pondremos todos los controladres de dominio (catálogos globales), ponemos su IP y el puerto 8000 era el que estaba por defecto antes, ponemos una contraseña para que se pueda conectar a él, es la contraseña que configuramos antes en el FSAE, que en mi ejemplo era “123456”. Repetimos este paso tantos controladores de dominio tengamos o querramos monotorizar sus logins, Nós damos “OKEY”.

Si refrescamos la pantalla, al actualizarla ya nos sacará todos los usuarios/grupos del Directorio activo de mi dominio.

Entonces, ya podemos crear un grupo de usuarios que sea del Directorio Activo. Es importante saber que esto no funcionaría por usuario, si no por grupo, si necesitamos hacer algo por usuario, es obligatorio que tengamos que crear un grupo. Poço, en el menú de la izquierda para crear el grupo: “Utilizador” > “Grupo de usuários” > e clique em “Criar novo”.

Le ponemos un nombre en “Nome” en mi caso GrupoAD, em “Tipo” Pôr “Diretório ativo”, no tenemos por que asignarle ningún perfíl de protección. E em “Usuários disponíveis” podemos escoger los usuarios que nos interesen meter en el grupo. Yo meto un grupo que tengo a todos los usuarios, lo pasamos a la parte de la derecha. Nós damos “OKEY”.

Ahí tenemos nuestro grupo, ahora queda utilizarlo para las reglas que querramos.

Por exemplo, yo sólo quiero que navegen a internet los usuarios que sean de mi dominio, me iria a las reglas en “Firewall” > “Política” y edito la de internal a wan1.

Dentro de la directiva, marco el check de “Autenticação” y pongo “Diretório ativo”, meto el grupo que acabo de crear y dando a “OKEY”, sólo navegarían los usuarios que pertenezcan a ese grupo. Siendo un grupo de usuarios de mi Active Directory ni les pedirá autenticación cuando navegen con su Internet Explorer/Mozillasi no que coje la autenticación de forma automática. Si no trabajaríamos con grupos de usuarios del Directorio Activo es más pesado por que deberíamos de tener una BD de usuarios en el firewall y sería peor por temas desi un usuario cambia su contraseña de Windows…”. Lo mejor es tenerlo integrado todo con el Directorio Activo.


Postagens recomendadas

Implementando a LAPS do Windows
Ler
Métricas FortiGate com Prometheus e Grafana
Ler
VPN com Citrix NetScaler III - Autenticação com certificados
Ler
Permitindo que usuários específicos escapem da filtragem da web do Fortigate
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Atualizando o firmware para um Fortigate

21 Outubro 2008

Usando a autenticação do Fortigate no Active Directory usando LDAP

21 Outubro 2008