Implementierung von FSSO zur Integration von Fortigate mit Active Directory

In jeder Organisation, wo es gibt (zumindest) ein Fortigate und auch ein Active Directory, das ist ein Muss. Diese Integration wird uns unter anderem ermöglichen, Fügen Sie dann AD-Benutzer oder -Gruppen zu den Firewallregeln hinzu, o auf Datensatzebene, Prüfungen, Bedrohungsprävention… Dann haben Sie die Daten des Benutzers.

ich sagte:, wenn Sie über Fortigate und Active Directory verfügen und diese noch nicht integriert haben, Wir werden versuchen, die notwendigen Schritte in diesem Beitrag aufzuzeigen. Wir werden den Fortinet SSO Collector Agent auf den Domänencontrollern installieren, die wir haben., oder mehr wussten wir als FSSO. Dieser Agent wird uns mehrere Dinge ermöglichen, darunter und sehr interessant, Sie können spezifische Firewallregeln für Active Directory-Benutzer oder -Gruppen dieses Typs erstellen: Wenn Sie nicht so und so sind, erreichen Sie diesen Server nicht, Navigationssteuerung… Ein weiterer Vorteil besteht darin, dass jedes Mal ein Protokoll in unserer Firewall erstellt wird, registriert den Benutzer, der es erstellt hat. Obligatorisch in jeder Organisation.

Auge, eine sehr wichtige Sache, wenn Sie über Remotedesktopserver oder Citrix VDA-Maschinen verfügen, auf denen Benutzer eine IP-Adresse teilen, Auf diesen Maschinen müssen wir später einen bestimmten Agenten installieren. Wir werden dies am Ende des Beitrags sehen..

Installieren des Fortinet SSO Collector Agent,

Zunächst einmal, wie wir bereits angedeutet haben, wird darin bestehen, den FSSO Collector Agent AD auf unseren Domänencontrollern zu installieren. Wir können den FSSO-Agenten von herunterladen Support-Website von Fortinet.

Wir installieren den Agenten, Es gibt nicht viel Geheimnisvolles, „Nächster“,

Wir akzeptieren die Lizenzbedingungen, „Nächster“,

Standardinstallationspfad ‚C:\Programmdateien (x86)\Fortinet\FSAE\‘, „Nächster“,

Wir müssen ein Konto mit Administratorrechten angeben, um den Dienst zu starten, Bitte, Erstellen Sie einen bestimmten Benutzer, Verwenden Sie hierfür nicht den Domänenadministrator. in diese Web Haben Sie Tipps, wie Sie dieses Konto später sichern können?. „Nächster“,

Wir bestätigen, dass wir beide Optionen markiert haben, und wir fahren im erweiterten Modus fort, „Nächster“,

Venga, bereit, „Installieren“ zu Beginn der Installation von,

… Wir warteten ein paar Sekunden…

und „Fertig“ Stellen Sie jedoch sicher, dass wir den FSSO-Assistenten starten.

Fortinet Single Sign On-Setup,

Wir müssen die IP-Adresse dieses Domänencontrollers angeben, die IP und den Port, die der Agent abhört. „folgende“,

Wir wählen die zu überwachende Domäne aus der Liste aus, „folgende“

Und wenn wir das Sammeln von Protokollen eines bestimmten Benutzers vermeiden möchten, können wir ihn jetzt markieren, „folgende“,

Markierung „DC-Agent-Modus“, Dazu muss der Agent auf dem Domänencontroller installiert sein und der Domänencontroller wird neu gestartet.; die „Abrufmodus“ Wenn wir dies nicht möchten, können wir den Agenten auf allen DCs installieren.

„zum Abschluss bringen“,

Sobald der Assistent fertig ist, Wir werden die Konsole öffnen „Konfiguration des Fortinet Single Sign On-Agenten“, Wir überprüfen, ob der Dienst ausgeführt wird, Wir prüfen, ob wir Parameter ändern möchten, darunter „Erfordert eine authentifizierte Verbindung von FortiGate“ Hier können wir ein Passwort eingeben, das wir als nächstes verwenden werden,

Erstellen des Connectors für AD,

Es ist Zeit, zu unserem FortiGate zu gehen und den Connector zu erstellen, der Sie mit unserem Active Directory verbindet, lassen Sie uns „Sicherheitsgewebe“ > „Externe Anschlüsse“ > und wir suchen ‚FSSO-Agent unter Windows AD‘.

Bei der Auswahl geben wir einen Namen für die Verbindung an und geben die Maschine oder Maschinen an, auf denen der FSSO-Agent installiert ist, neben dem Passwort, das wir vor zwei Schritten festgelegt haben, klicken Sie auf „Sich bewerben & Aktualisierung“,

Und wir werden sehen, wie es mehrere Objekte vom Typ Benutzer oder Gruppen erkennt., „OK“,

Wir überprüfen, ob der Stecker jetzt angehoben ist,

FSSO validieren,

Und jetzt können wir mit der Definition der Gruppen unseres Active Directory in Fortigate beginnen, von „Benutzer & Authentifizierung“ > „Benutzergruppen“ Wir können eine neue Gruppe erstellen, zeigen an, dass es sich um einen Typ handelt „Fortinet Single Sign-On (FSSO)“ und in den Mitgliedern können wir direkt die Benutzer oder Gruppen hinzufügen, die uns aus dem Active Directory interessieren.

Diese von uns definierten Benutzer oder Gruppen können sehr nützlich sein, wie zum Beispiel dafür, um Firewall-Regeln zu bearbeiten oder zu erstellen, in denen wir darauf hinweisen, dass Sie keiner Gruppe angehören, weil Sie keinen Zugang zum Internet haben, zum Beispiel. in der Regel, in der Quelle, Abgesehen davon, woher wir wissen, können wir IP-Adressen oder Netzwerkbereiche angeben, Nun können wir diese Benutzer oder Gruppen aus dem Active Directory auswählen. Fabelhaft!

Und das? wunderbar, Nun erscheint in den Firewall-Protokollen ein neues Feld mit den Daten des Benutzers, der den Datensatz erstellt hat! Wir können nun wissen, welche Benutzer welche Websites besuchen! 🙂

Und wie immer, Wenn wir einen Protokollsammler haben, Es wird ein sehr nützliches Feld sein, da es uns ermöglicht, alle von der FortiGate-Firewall aufgezeichneten Details auf Benutzerebene zu verfolgen!

Installieren des FSSO-Agenten auf Remotedesktopservern oder Citrix VDAs,

ich sagte:, Wenn Sie einen Computer haben, auf dem mehrere Benutzer unter derselben IP-Adresse arbeiten, normalerweise auf Terminaldiensteservern oder Citrix VDA-Servern, Auf diesen Maschinen muss ein weiterer Agent installiert werden, den wir ebenfalls herunterladen müssen Support-Website von Fortinet.

Auf jedem Server müssen wir den Fortinet SSO Terminal Server Agent installieren, „Nächster“,

Wir akzeptieren Sie die Lizenzvereinbarung & „Nächster“,

Das gleiche wie vorher, Standardpfad „C:\Programmdateien (x86)\Fortinet\FSAE\“, Presse „Nächster“,

Wir geben die IP-Adresse des Servers selbst an, die IP, die wir haben, und zusätzlich müssen wir die IP-Adresse des FSSO Collector Agent angeben, Wenn wir mehr als eine haben, müssen wir sie hinzufügen. „Nächster“,

Presse „Installieren“ beginnen Installation,

… Wir warteten ein paar Sekunden…

„Fertig“

Und wenn wir wollen, öffnen wir die Konfigurationskonsole „Konfiguration des Fortinet SSO-Terminalserver-Agenten“, aber im Prinzip müssten wir keine Änderungen vornehmen.

Im FSSO-Agenten der Domänencontroller müssen wir einen Registrierungsschlüssel bearbeiten, um die IPs zu ignorieren, auf denen der TS-Agent installiert ist, Auf diese Weise duplizieren wir nicht, was wir von diesen Maschinen sammeln., wenn nicht nur der TS-Agent drin ist.

Wir bearbeiten den Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Fortinet\FSAE\collectoragent“ es fiel ‚dc_agent_ignore_ip_list‘ und wir geben die IP-Adressen des TS-Agenten an.

Und wenn alles gut geht, dann werden wir im FSSO-Tool sehen „Angemeldete Benutzer anzeigen“ was dabei herauskommt ‚TS-Agent‘ in der Spalte ‚Art‘.

gut, Hier sind wir für heute zu Ende, Wie immer hoffe ich, dass es jemandem nützlich sein kann., Dabei geht es nicht nur darum, ein FortiGate in Unternehmen einzuführen, und das war's, dass es viele Dinge gibt, die getan werden können, um eine kohärente Nutzung zu ermöglichen, Ich würde meine rechte Hand wetten (das richtige) denn die Hälfte der Unternehmen verwendet UTM nicht einmal in ihren Regeln, und ich setze auf Erfahrung, so befinde ich mich in den Welten Gottes…

also das, Integrieren Sie Ihre Forti-Firewalls in Active Directory und seien Sie gut!

Pflegekräfte, gut laufen, Umarmungen,

Hector Herrero
Letzte Artikel von Hector Herrero (Alle anzeigen)