实施 FSSO 以将 Fortigate 与 Active Directory 集成

在存在 (至少) Fortigate 和 Active Directory, 这是必须的. 这种集成将使我们能够，除其他外，, 将 AD 用户或组添加到防火墙规则, 或在记录级别, 审计, 威胁预防… 好吧，拥有用户的详细信息.

我说了什么, 如果您有 Fortigate 和 Active Directory 但尚未集成它们, 我们将尝试在这篇文章中展示必要的步骤. 我们将在我们拥有的域控制器上安装 Fortinet SSO Collector Agent, 或者我们更了解的 FSSO. 这个代理将允许我们做几件事, 其中而且非常有趣, 能够创建特定于 Active Directory 用户或以下类型的组的防火墙规则: 如果您不是某某，您将无法访问该服务器, 导航控件… 我们将获得的另一个好处是，每次在我们的防火墙中生成日志时, 将注册生成它的用户. 在任何组织中都需要.

眼睛, 一件非常重要的事情, 如果您有用户共享 IP 地址的远程桌面服务器或 Citrix VDA 计算机, 然后，我们必须在这些计算机上安装特定的代理. 我们将在文章末尾看到这一点.

安装 Fortinet SSO Collector 代理,

首先，正如我们所指出的, 将在我们的域控制器上安装 FSSO Collector Agent AD. 我们可以从支持网站由 Fortinet.

我们安装代理, 它没有太多的神秘之处, “下一个”,

我们接受许可条款, “下一个”,

默认路径安装 'C:\程序文件 (x86)\FortinetFSAE', “下一个”,

我们必须指定具有管理员权限的帐户才能启动服务, 请, 创建特定用户, 不要为此使用域管理器. 在本网站您有一些保护此帐户的提示. “下一个”,

我们确认我们已选中这两个选项, 我们仍处于高级模式, “下一个”,

来, 准备, “安装” 开始安装,

… 等待几秒钟…

和 “完成” 但要确保我们将启动 FSSO 助手.

配置 Fortinet 单点登录,

我们必须指明此域控制器的 IP 地址, Agent 将侦听的 IP 和端口. “以后”,

从列表中选择要监控的域, “以后”

如果我们想避免从特定用户那里收集日志，我们现在就可以标记它, “以后”,

马克 “DC 代理模式”, 这将需要在 DC 上安装代理，并注意它会重新启动 DC; 或 “轮询模式” 如果我们不想或不能在所有 DC 上安装代理.

“结束”,

向导完成后, 我们将打开 “Fortinet Single Sign On 代理配置”, 我们验证服务是否正在运行, 我们审查是否要修改任何参数, 其中 “需要来自 FortiGate 的身份验证连接” 我们可以在哪里放置下一步将使用的密码,

针对 AD 创建连接器,

现在是时候转到我们的 FortiGate 并创建连接器，将您加入我们的 Active Directory, 我们将 “安全架构” > “外部连接器” > 并搜索“FSSO Agent on Windows AD”.

选择它将为连接提供一个名称，并指示安装了 FSSO 代理的计算机, 在我们两步前为您设置的密码旁边, 点击 “应用 & 刷新”,

我们将看到它如何检测到多个 User 或 Groups 类型的对象, “还行”,

我们验证连接器现在是否已启动,

验证 FSSO,

现在我们可以开始在 Fortigate 中定义 Active Directory 的组, 因为 “用户 & 认证” > “用户组” 我们可以创建一个新组, 告诉你它是 “Fortinet 单点登录 (FSSO)” 在成员中，我们将能够直接从 Active Directory 添加我们感兴趣的用户或组.

我们定义的这些用户或组可以派上用场, 例如，对于这个, 编辑或创建防火墙规则，其中我们指示如果您不属于, 因为您无法访问 Internet, 举个例子. 在规则, 在源头, 除了我们如何知道我们可以放置 IP 地址或网络范围, 现在我们可以从 Active Directory 中选择这些用户或组. 瑰!