Utilizzo dell'autenticazione Fortigate su Active Directory tramite LDAP
In questo documento viene spiegato come configurare un Fortigate per usare LDAP contro un servizio di directory, in questo caso contro un Active Directory di Microsoft Windows 2003. Maggiori informazioni su cos'è LDAP – QUI.
La prima cosa è connettersi al FW, e vai su “Utente” > “LDAP” e creare una nuova connessione usando LDAP, Per fare ciò, fare clic su “Crea nuovo”,
Dobbiamo compilare i dati per LDAP Server:
“Nome”: Il nome di questa connessione LDAP Server
“Server Name/IP”: L'IP del server a cui effettueremo le interrogazioni LDAP
“Server Port”: È la porta LDAP per connetterci a tale server.
“Common Name Identifier”: Default “cn” che significa che gli utenti metteranno per autenticarsi il loro “Nome Completo”, se lo lasciamo vuoto gli utenti dovranno autenticarsi usando il loro “Nome da visualizzare” o “NOI*****@*****io.eso”
“Distinguished Name”: Será la ruta hasta el contenedor de usuarios en el directorio activo. Tendremos en cuenta si es una Unidad Organizativa para poner “OU” o si es un contenedor normal para indicar “CN”. Debería ser una ruta como la siguiente: “OU=UnidadOrganizativa,DC=dominio,DC=dominio”. Veremos más abajo el caso concreto en mi Directorio Activo, cómo será la config que tengo.
Y si nos interesa, podríamos asegurar la conectividad entre el FW y el controlador de dominio/domain controller. Clicca su “OK”.
Vemos que es correcto.
Ahora lo que deberíamos hacer es crear un grupo de usuarios indicando al grupo de usuarios anteriores. Per fare ciò,, Stiamo per “Utente” > “Gruppo di utenti” > “Crea nuovo”.
Indicamos un nombre al grupo de usuarios en “Nome”, Per esempio “UsuariosVPN”. Y agregamos a la parte derecha a “Members” el grupo que acabamos de crear en “Users on RADIUS/LDAP servers”, Diamo “OK”.
Y comprobamos que el grupo ya está creado ahí. Ora quello che resterebbe sarebbe aggiungerlo a ciò che ci interessa, a una politica del Firewall per l'accesso VPN tramite IPSec, Certificato SSL… o a ciò che ci interessa.
Questo sarebbe il mio Active Directory, con questa OU chiamata: UtentiVPN e con quegli utenti al suo interno, sarebbero gli utenti che avranno accesso a connettersi a dove si applica ciò che abbiamo appena realizzato.
www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0
