如果我们想将防火墙与我们的 Active Directory 集成 (活动目录 – 广告), 因此，我们不必总是使用本地用户, 如果没有，请利用域控制器数据库具有的, 我们将使用一个名为 FSAE 的工具. 此过程说明, 如何安装 FSAE, 如何配置域控制器和防火墙, 然后，我们将创建一个策略，他们只需浏览 Internet (或我们感兴趣的规则) Active Directory 用户.

首先是下载此工具, 我们可以在 这里. 我们开始安装它，我们将得到一个典型的向导, 我们可以将其安装在任何 PC 上, 然后，这将在域控制器上远程安装一些代理，以从 AD 数据库具有的用户中提取信息, 我建议将其安装在域控制器上. 点击 “下一个”,

这是默认路径, “下一个”

它要求我们提供具有启动 FSAE 服务权限的用户名和密码, 我们放了一个有许可证, 通常是域管理员, “下一个”,

“安装” 供您开始安装,

…

还行, 我们标记 “启动 DC 代理安装向导” 开始在域控制器上安装代理, 收集用户信息和哈希值以发布密码, “完成”,

还行, 我们输入将具有 AD 数据库信息的代理的 IP, 域控制器的, 默认端口为 8002, 我们给予 “以后”,

还行, 它检测到我们的域，我们点击 “以后”,

它向我们展示了 Active Directory 中的所有用户帐户, 正常情况是监控 DA 的所有账户, 但是我们可以标记我们不想被分析的那些, 然后我们点击 “以后”,

它检测我的域中的两个控制器，并在这两个控制器中监控登录，以便 FSAE 完美运行, 我们标记两者，以便在它们上安装代理. “以后”,

还行, 指示它已正确安装在第一个域控制器上, 它必须重新启动才能开始工作, 只要我们能做到，我们就会去做.

一样, 在第二个域控制器上，您也已完美安装, 我们会在可以的时候重新启动它.

“结束”

重新启动后, 我们打开控制台 “配置 FSAE”

我们获取两个域控制器，其登录名受到监控，以从用户那里收集他们的密码, 我们检查端口是否为 8000 和 8002, 最重要的是，启用了需要 Fortigate 身份验证的检查 “需要来自 FortiGate 的经过身份验证的连接”, 我们给它一个密码，它将用它来连接防火墙. 点击 “应用” 然后我们出去 “救 & 关闭”.

不错, 配置防火墙并使其运行 Active Directory, 我们必须登录到固件，然后转到左侧 “用户” > “Windows 广告”. 然后点击 “新建” 连接到 DA.

在 “FortiClient AD” 我们将域名, 例如 “bujarra.com” 或者其他什么, 在 “服务器 #1” (等等) 我们将把所有的域控制器 (全球目录), 我们将您的 IP 和端口 8000 这是之前默认的那个, 我们设置了一个密码，以便您可以连接到它, 是我们之前在 FSAE 中设置的密码, 在我的例子中是 “123456”. 我们重复此步骤，与许多域控制器拥有的域控制器一样多，或者希望监控其登录, 我们给予 “还行”.

如果我们刷新屏幕, 当您更新它时，它将从我的域的 Active Directory 中删除所有用户/组.

然后, 现在，我们可以创建来自 Active Directory 的用户组. 重要的是要知道这不会对每个用户起作用, 如果不按组, 如果我们需要为每个用户做某事, 我们必须创建一个组. 井, 在左侧菜单中创建群组: “用户” > “用户组” > 并单击 “新建”.

我们给它起个名字 “名字” 就我而言，GrupoAD, 在 “类型” 放 “活动目录”, 我们不必为其分配任何保护配置文件. 在 “可用用户” 我们可以选择要放入组中的用户. 我放置了一个拥有所有用户的组, 我们将其移至右侧. 我们给予 “还行”.

这就是我们的小组, 现在我们必须将它用于我们想要的规则.

例如, 我只希望我域中的用户导航到 Internet, 我会去看 “防火墙” > “政策” 并将 one 从 internal 编辑为 wan1.

在指令中, 我检查 “认证” 我把 “活动目录”, 我把我刚刚创建的群组和给予 “还行”, 只有属于该组的用户才会浏览. 作为我的 Active Directory 的一组用户，当使用他们的 Internet Explorer/Mozilla 浏览时，它不会要求他们进行身份验证… 但它会自动进行身份验证. 如果我们不与 Active Directory 的用户组合作，它会更重，因为我们应该在防火墙中有一个用户数据库，而 “如果用户更改了其 Windows 密码…”. 最好将其全部与 Active Directory 集成.