Fortigate FSSO | در آموزش قبلی ارتباط FortiGate با اکتیو دایرکتوری از طریق LDAP را برای شما توضیح دادیم حالا می خواهیم به کمک Fortinet single sign-on (FSSO) از قابلیت FSSO استفاده کنیم تا یوزر مورد نظر ما هرجا لاگین کرد به صورت خودکار بدون این که پنل ورود فورتی را ببیند وارد اینترنت شود.
ارتباط FortiGate با Active Directory از طریق FSSO
سناریوی ما همان سناریوی قبلی هست ولی در اینجا ما روی Active Directory خودمان میخواهیم FSSO agent را نصب نماییم، میتوانید FSSO agent را از اینجا FSSO_Setup_5.0.0301_x64.exe دانلود نمایید.
در این مرحله باید یک یوزر با دسترسی ادمین به دامین را وارد نمایید.
حالا باید وارد مراحل نصب DC Agent شویم، در اینجا اطلاعات DC خودمان که 172.31.0.10 می باشد را میدهیم.
دامین خود را انتخاب می کنیم و وارد مرحله بعد می شویم.
در این مرحله باید mode را انتخاب کنید که دوتا حالت کلی داره:
- در صورت انتخاب DC-Agent mode یک dcagent.dll در Windows\system32 ایجاد می کند و Agent بر روی DC شما نصب می شود، در این حالت Agent به صورت مستقیم از DC یه Forti ارتباط دارد، توجه داشته باشید که در این حالت DC نیاز به ریست دارد.
- در صورت انتخاب Polling Mode شما میتوانید از NetAPI و یا Event Log برای ارتباط استفاده کنید که هر دو query ها را هر 10 ثانیه ارسال می کنند، در NetAPI سرعت بیشتر است ولی برخی از log ها ارسال نمیشود ولی در Event log polling تمام Log ها ارسال می شود برای همین کندتر می باشد.
در مرحله بالا ما DC-Agent mode را انتخاب کردیم و حالا از ما میخواهد تا سرور را ریست نماییم.
پس از این که سرور DC ما ریست شد میتوانید کانفیگ FSSO را باز کنید و همچنین مشاهده کنید که سرویس ها RUNNIG می باشد یا خیر.
حالا باید تنظیمات را بر روی فورتی گیت انجام دهیم، فقط برای تست لازم است که PC خود را به DC خود Join کنیم، فقط در صورتی که مانند آموزش های ما پیش رفتید این نکته رو توجه کنید که ما قبلا یک پالیسی ایجاد کرده بودیم که در آن گفته بودیم PC ما فقط اجاده استفاده از سرویس های RDP و ICMP به سرور DMZ را دارد که قبل از جوین کردن به سرور باید این پالیسی را تغییر بدید و بر روی ALL قرار دهید تا امکان ارتباط با DNS سرور هم داشته باشه و بتونه جوین دامین شود.
حالا وارد Security Fabric > External Connector می شویم و + Create New را کلیک می کنیم و Fortinet Single Sign-On Agent را انتخاب می کنیم.
حالا یک Name انتخاب میکنیم و در Primary FSSO Agent نیز آدرس DC و پسوردی که در DC Agent وارد کردیم را وارد میکنیم که 172.31.0.10 می باشد، User group source را بر روی Local قرار می دهیم و در LDAP server باید اکتیو خود را انتخاب نماییم که قبلا ایجاد کرده بودیم، در آخر نیز
حالا FSSO ما به اکتیودایرکتوری ما متصل شده است و می توانیم از استفاده کنیم، همانطور که مشخص است یوزر ها و گروه های ما را شناسایی کرده است.
در اخر نیز میتوانیم از قسمت پالیسی بر روی پالیسی که برای ارتباط PC خودمان به اینترنت ایجاد کرده بودیم در قسمت Source یوزر یا گروه مورد نظر را وارد کنیم تا از این پس یوزر هایی که ما مشخص کردیم امکان استفاده از اینترنت یا هر پالیسی که ما قرار دادیم را داشته باشند.
