کد 9

Single Sign-on Using LDAP and FSSO Agent in Advanced Mode

اشتراک اطلاعات مربوط به احراز هویت کاربران اکتیو دایرکتوری با FortiGate

در این آموزش احراز هویت کاربر بوسیله ی FFSO انجام می شود. احراز هویت کاربر دسترسی به اینترنت را کنترل کرده و همچنین Security Profile های مختلفی را بروی کاربران مختلف اعمال می کند.

مرحله اول:

  • در ابتدا باید تنظیمات مربوط به یکپارچه سازی و Sync دستگاه Fortigate به LDAP Server را انجام دهید. بدین منظور از منوی سمت چپ مسیر User & Device > Authentication> LDAP Servers را دنبال کرده و گزینه ی Create New را انتخاب و مطابق شکل تنظیمات را انجام دهید :

Single Sign-on 8

نکته:

  • در قسمت Common Name Identifier باید مقدار sAMAccountName را به عنوان Identifier وارد کنید. برای Identifier بر اساس مدل LDAP Directory مقادیر متفاوتی در نظر گرفته می شود. این مقدار معمولا cn می باشد که البته در بعضی از سرورها، Identifier های دیگری از قبیل uid نیز استفاده می شود. برای اکتیو دایرکتوری این مقدار معمولا sAMAccountName در نظر گرفته می شود.
  • در قسمت Distinguished Name نیز نام دامین خود را با فرمتی که در عکس مشخص شده وارد کنید. مثلا در این مثال با توجه به نام دامین مربوطه که techdoc.local است، مقدار dc=techdoc,dc=local در نظر گرفته شده است.
  • در قسمت User DN و Password نیز همانطور که مشاهده می کنید باید نام کاربری و پسورد Administrator مربوط به دامین خود را وارد کنید. همچنین در قسمت Bind Type باید گزینه ی Regular را انتخاب کنید.
  • اگر گزینه ی Fetch DN را انتخاب کنید، اطلاعات کاربران Active Directory را برای شما حاصل خواهد کرد.
  • در پایان اگر گزینه ی Test را انتخاب کنید در صورتی که اطلاعات را درست وارد کرده باشید، در بالای صفحه در کادری آبی رنگ پیام Successful مبنی بر درستی انجام تنظیمات نمایش داده می شود.

نکته:

در صورتی که درستی کلیه ی تنظیمات را بررسی کرده ولی پیام Successful را دریافت نکردید می توانید تنظیمات مربوطه را از طریق CLI و به صورت دستور وارد کنید. بدین منظور از منوی سمت چپ مسیر System > Dashboard> Status را دنبال کرده سپس به Widget مربوط به CLI Console رفته و دستورات زیر را وارد  کنید:

config user ldap

edit LDAP

set server 10.10.20.3

set cnid sAMAccountName

set dn dc=techdoc,dc=local

set type regular

set username administrator@techdoc.local

.............     set password

next

end

مرحله دوم:

  • در این مرحله باید FSSO Agent را بر روی Windows AD Server خود نصب کنید. بدین منظور ابتدا فایل نصبی مورد نظر را تهیه کرده و مطابق تصاویر زیر اقدام به نصب و انجام تنظیمات مربوطه کنید.

Single Sign-on 7

Single Sign-on 6

نکته:

گزینه ی Advanced انتخاب گردد.

Single Sign-on 5

نکته:

در قسمت Collector Agent IP Address باید IP Address مربوط به Windows AD Server وارد شود.

Single Sign-on 4

نکته:

از بین گزینه ها دامین مربوطه را انتخاب کرده و به مرحله ی بعد بروید.

Single Sign-on 3

نکته:

در این مرحله شما می توانید انتخاب کنید که کدام کاربران مانیتور نشوند.

Single Sign-on 2

نکته:

در قسمت Working Mode باید گزینه ی DC Agent Mode انتخاب شود.

Single Sign-on 1

  • در انتها پیامی مبنی بر موفقیت آمیز بودن عملیات نصب دریافت می کنید و از شما خواسته می شود که Domain Controller خود را Reboot  کنید.
  • بعد از Reboot سیستم، Collector Agent اجرا می شود. شما می توانید مطابق شکل در قسمت Authentication تیک مربوط به گزینه ی Require authenticated connection from FortiGate را زده و برای آن یک پسورد انتخاب کنید.که در این صورت در هنگام اتصال Fortigate به Domain Controller باید پسورد فوق وارد شود.

Single Sign-on 16

مرحله سوم:

  •  در این مرحله تنظیمات مربوط به Single Sign-On را در Fortigate انجام می دهیم. بدین منظور از منوی سمت چپ مسیر User & Device > Authentication > Single Sign-On را دنبال کرده و گزینه ی Create New را انتخاب کرده و مطابق شکل تنظیمات را انجام دهید :

Single Sign-on 15

نکته: 

در قسمت Type باید Fortinet Single-Sign-On Agent انتخاب شود. همچنین پس از وارد کردن نام دامین و IP Address مربوط به آن و انتخاب LDAP Server ساخته شده در مرحله ی قبل، در قسمت Users/Groups جدولی حاوی نام کاربری کاربران اکتیو دایرکتوری نمایش داده خواهد شد. شما می توانید بر روی هر کدام از گروه های کاربری و یا کاربرانی که مد نظر شماست کلیک کرده و سپس گزینه Add Selected را انتخاب کنید.

مرحله چهارم:

  •  در این مرحله باید یک گروه کاربری در Fortigate ایجاد و به آن کاربرانی را که از Active Directory در مرحله قبل Sync کردید را اضافه کنید. بدین منظور از منوی سمت چپ مسیر User & Device > User > User Groups را دنبال کرده و گزینه ی Create New را انتخاب و مطابق شکل تنظیمات را انجام دهید :

Single Sign-on 14

مرحله پنجم:

  • در این مرحله باید یک Policy ایجاد کرده و از طریق آن  دستیابی به اینترت را برای کاربران گروه کاربری که در مرحله قبل ساختید فراهم کنید. بدین منظور از منوی سمت چپ مسیر Policy & Objects > Policy > IPv4 را دنبال کرده و گزینه ی Create New را انتخاب کرده و مطابق شکل تنظیمات را انجام دهید :

Single Sign-on 13

  • در پایان می توانید به FSSO Agent رفته و گزینه ی Show Logon Users را انتخاب کرده و کاربرانی که به دامین مربوطه Login کرده اند را مشاهده کنید:

Single Sign-on 12

  • همچنین می توانید در دستگاه Fortigate کاربران فوق را مشاهده کنید. بدین منظور از منوی سمت چپ مسیر User & Device > Monitor > Firewall را دنبال کنید.

Single Sign-on 11

  • همچنین می توانید به مسیر Log & Report > Traffic Log > Forward Traffic رفته و Log های مربوط به کاربران را مشاهده کنید. توجه داشته باید که با کلیک بر روی هر کاربر می توانید جزییات بیشتری از اطلاعات مربوط به آن کاربر را مشاهده کنید.

Single Sign-on 10


آخرین بروزرسانی
۱۰ آبان ۱۴۰۲ 
تعداد کلیک
۱۱