EqLlyHJ5w6,694hQRgLWm

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例



飞塔防火墙使用LDAPFSSO代理进行单点登录方法实例




1. FortiGate防火墙上配置Windows DC LDAP服务器

找到User & Device > LDAP Servers配置具体的LDAP内容

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


2. Windows DC服务器上安装FSSO的代理软件

按照软件安装的向导一步步操作安装

输入Windows AD管理员administrator的密码

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例

选择Advanced


Collector Agent IP address的地方填写Windows AD server对应的IP地址,端口号8002

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


选择需要做监控的域名

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


选择哪些你不需要做监控的用户名

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


Working Mode的选项处选择DC Agent Mode.

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


重启域控制器


重启后,代理软件就可以开始正常运行

勾选Require authenticated connection from FortiGate的选项并输入和防火墙联动的密码

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


3. FortiGate防火墙上配置Single Sign-On

找到User & Device > Single Sign-On然后创建一个新的SSO server

Groups的选项中, 选择相应需要监控的用户,下图中选择了"FortiOS Writers"这个组

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例

4. FortiGate防火墙中增加一个用户组

找到User & Device > User Groups创建一个新的FSSO用户组

Members的选项中选择"FortiOS Writers" 这个组

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


5. FortiGate防火墙中添加相应的策略

找到Policy & Objects > IPv4 Policy 创建一条新的策略,允许"FortiOS_Writers"在安全的认证情况下浏览网页

默认的网页安全过滤Profile将被调用

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


9. 结果

FSSO的代理软件上,我们可以看到通过SSO认证上来的相应用户

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


登录防火墙,通过CLI命令行输入以下命令,查看用户FSSO的认证情况

diagnose debug authd fsso list

----FSSO logons----

IP: 10.10.20.3 User: ADMINISTRATOR Groups: CN=FORTIOS

WRITERS,CN=USERS,DC=TECHDOC,DC=LOCAL Workstation:

WIN2K8R2.TECHDOC.LOCAL MemberOf: FortiOS_Writers

IP: 10.10.20.7 User: TELBAR Groups: CN=FORTIOS

WRITERS,CN=USERS,DC=TECHDOC,DC=LOCAL Workstation:

TELBAR-PC7.TECHDOC.LOCAL MemberOf: FortiOS_Writers

Total number of logons listed: 2, filtered: 0

----end of FSSO logons----


也可以在防火墙的Web页面上找到Monitor >Firewall User Monitor的选项来查看FSSO用户认证信息

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例





找到Log & Report > Forward Traffic的选项,可以查看到对应FSSO用户浏览网页的日志记录

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例


选择某一条日志双击可以看到具体的日志内容

飞塔防火墙使用LDAP和FSSO代理进行单点登录方法实例



EqLlyHJ5w6