Konpainia batean non (gutxienez) Fortigate bat eta Active Directory bat, horrek bidezkoa da. Integratze honek besteak beste, ADko erabiltzaileak edo taldeak sufirekintzako arauetara gehitzeko, edo maila logetara, auditoria, mehatxuen prebentzioa… erabiltzailearen xehetasuna izatea.

Esan dut, Fortigate eta Active Directory badituzu eta oraindik integratu ez badituzu, idatzizko honek beharrezko pausoak erakusteko saiatu gaitezen. Domaineko kontrolatzaileetan Fortinet SSO Bilduma Agentea instalatuko dugu, edo FSSO bezala ezaguna. Agent honek hainbat gauza ahalbidetuko dizkigu, horien artean eta oso interesgarriak, poder crear reglas de firewall específicas a usuarios o grupos del Directorio Activo del tipo: si no eres Fulano no llegas a ese servidor, controles de navegación… Y otro de los beneficios que tendremos será que cada vez que se genere un log en nuestro firewall, registrará el usuario que lo ha generado. Obligatorio en cualquier organización.

Ojo, una cosa MUY importante, si tienes algún servidor de Escritorio remoto o alguna máquina Citrix VDA donde los usuarios compartan una dirección IP, deberemos posteriormente instalar un agente particular en estas máquinas. Esto lo veremos al final del post.

Instalación de Fortinet SSO Collector Agent,

Lo primero de todo como indicamos, será instalar el FSSO Collector Agent AD en nuestros controladores de dominio. Podremos descargar el FSSO Agent desde la web de soporte de Fortinet.

Instalamos el agente, no tiene mucho misterio, “Next”,

Aceptamos los términos de la licencia, “Next”,

Path por defecto de instalación 'C:\Program Files (x86)\Fortinet\FSAE\’, “Next”,

Debemos indicar una cuenta con privilegios de administrador para iniciar el servicio, por favor, crear un usuario específico, no uséis el administrador de dominio para esto. In esta web tenéis unos tips para securizar luego esta cuenta. “Next”,

Confirmamos que tenemos ambas opciones marcadas, y seguimos en el modo avanzado, “Next”,

Venga, listos, “Install” instalatzen hasteko,

… esperamos unos segundos…

Y “Finish” pero asegurando que vamos a iniciar el asistente de FSSO.

Configuración de Fortinet Single Sign On,

Debemos indicar la dirección IP de este controlador de dominio, la IP y el puerto por el que escuchará el Agente. “Hurrengoa”,

Seleccionamos el dominio del listado para monitorizar, “Hurrengoa”

Y si queremos evitar recoger logs de algún usuario en particular podremos marcarlo ahora, “Hurrengoa”,

Marcamos “DC Agent Mode”, esta requerirá el agente instalado en el DC y cuidado que reiniciará el DC; edo “Polling Mode” si no queremos o podemos instalar el Agente en todos los DCs.

“Amaitu”,

Una vez finalizado el asistente, abriremos la consola de “Fortinet Single Sign On Agent Configuration”, verificamos que el servicio esté corriendo, repasamos si queremos modificar algún parámentro, entre ellos “Require authentiated connection from FortiGate” donde podremos poner una contraseña que usaremos a continuación,

Creando el conector contra el AD,

Es hora de ir a nuestro FortiGate y crear el conector que le unirá a nuestro Directorio Activo, vamos a “Security Fabric” > “Kanpoko Konektoreak” > eta bilatzen dugu 'FSSO Agent Windows ADn'.

Hautatzerakoan konexioari izena emango diogu eta FSSO agent bidez instalatuta duten makina edo makinen izena emango dugu, jakinari emandako pasahitzarekin bi pausotan, sustatu “Aplikatu & Eguneratu”,

Eta ikusiko dugu nola hainbat Erabiltzaile edo Talde objektu detektatzen dituen, “OK”,

Berretsiko dugu konektorea orain bai altxatuta dagoela,

FSSO validatzen,

Eta orain gure Aktiboko Direktorioaren taldeak definitzen hasi gaitezke Fortigate-n, etik “Erabiltzaile & Autentikazioa” > “Erabiltzaile Taldeak” talde berri bat sortu dezakegu, taldea dela adieraziz “Fortinet Single Sign-On (FSSO)” eta kideetan Aktiboko Direktoriotik interesatzen zaizkigun Erabiltzaileak edo Taldeak zuzenean gehitu ditzakegu.

Hautatzen ditugun Erabiltzaile edo Talde hauek oso ondo etor daitezke, como por ejemplo para esto, para editar o crear reglas de firewall donde indiquemos que si no perteneces a un grupo, pues no accedes a Internet, por poner un ejemplo. En la regla, en el Source, a parte de como sabemos podemos poner direcciones IP o rangos de red, pues ahora podremos escoger estos usuarios o grupos del Directorio Activo. Fabuloso!

¿Y esto? Una maravilla, ahora en los logs del firewall saldrá un nuevo campo con los datos del usuario que ha generado el registro! Ya podremos saber qué usuarios visitan qué webs! 🙂

Eta beti bezala, si tenemos un recolector de logs, será un campo bastante útil, ya que nos permitirá perseguir a nivel de usuario cualquier detalle que registre el firewall de FortiGate!

Instalación del Agente FSSO en Servidores de Escritorio remoto o Citrix VDA,

Esan dut, si tienes alguna máquina donde trabajen múltiples usuarios bajo una misma dirección IP, habitualmente sobre servidores de Terminal Services o servidores Citrix VDA, en estas máquinas será necesario instalar otro agente que nos tendremos que descargar igualmente de la web de soporte de Fortinet.

En cada servidor debemos instalar el Fortinet SSO Terminal Server Agent, “Next”,

Lizentziaren hitzarmenarekin ados gaude & “Next”,

Lo mismo que antes, path por defecto “C:\Program Files (x86)\Fortinet\FSAE\”, Sakatu “Next”,

Indicamos la dirección IP del propio servidor, la IP que tengamos y adicionalmente debemos indicar la dirección IP de los FSSO Collector Agent, si tenemos más de uno debemos añadirlos. “Next”,

Sakatu “Install” instalazioa hasteko,

… esperamos unos segundos…

“Finish”

Y si queremos abrimos la consola de configuración “Fortinet SSO Terminal Server Agent Configuration”, pero en principio no tendríamos que hacer ningún cambio.

En el Agente del FSSO del o de los DCs debemos editar una clave de registro para ignorar las IPs que tienen el Agente TS instalado, así no duplicaremos lo que recogemos de esas maquinas, si no solo lo del Agente TS en ellas.

Editamos en la clave “HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Fortinet\FSAE\collectoragent” la cadeba ‘dc_agent_ignore_ip_list’ e indicamos las direcciones IP de los del Agente TS.

Y si va todo bien, luego en la herramienta de FSSO veremos en “Show Logon Users” que sale como ‘TS-Agent’ en la columna ‘Type’.

Onena, aquí acabamos por hoy, como siempre esperando que a alguien le pueda ser de utilidad, ez da soilik FortiGate bat enpresetan jartzea eta kit, eta asko daude egiteko erabilera koherente bat emateko, eskuineko eskuan apustua egingo nuke (ona) enpresen erdiak ez du UTM erabiltzen bere arauetan, eta esperientziagatik apustu egiten dut, Jaungoikoaren munduetan aurkitzen dudanagatik…

Hori da, zure Forti sufirek Aktibo Direktorioan integratzen laguntzea eta onak izatea!

Zaindu zaitezte, ondo joan dadila, besarkadak,