Fortigate v4 Active Directory Entegrasyonu
Merhaba
Bu makalemizde Active Directory ile Fortigate Firewallımızı tümleşik çalıştırarak kullanıcılarımızın denetimini active directory domain server daki kısıtlamalara göre yapacağız. Bu şekilde ip belirtmeksizin kullanıcılarımız internete active directorydeki user haklarına göre yetki ile internete çıkabilecek. İnternette fazlası ile Fortigate Active directory sağlıksız diye asılsız makale, haber, yayın bulunmaktadır. Lütfen bu kişilere itimat etmeyiniz. Ürünlere hâkim sertifikası olan gerçek uzmanlar ile görüşürseniz yardımcı olmaya çalışıcaklardır. http://www.fortinet.com/emeapartners/emea_country_partners.aspx?region=EMEA&subregion=Turkey linkinde sertifikalı firmaların listesi bulunmaktadır.Dışındaki firmaların söylemlerine itimat etmeyiniz.İşin garibi bu firmalarda Çözüm Park portalından bizlerden birçok şey öğreniyorlar.
Kısaca Yapımızdan Bahsedelim
Fortigate – Gateway veya Transparent Mode ile
Windows 2003,2008 dc
Fortigate Firmware V4 Build 0099 (Bu firmware end of life olmayan ürünlerde kullanılabilinir.)50,50a,60,100 gibi ürünler hariç
İhtayıcınız için ekteki linkten firmware ve fsae yazılımı indirebilirsiniz.
ftp://support.fortinet.com/FortiGate/v4.00/4.0.0/4.0.2/
ftp://pftpintl:[email protected]/FortiGate/v4.00/4.0.0/4.0.2/FSAE/FSAE_Setup_3.5.040.exe
Yapımızın yukarıdaki resimdeki gibi olduğunu düşünerek kuruluma başlıyalım
Basit bir yapıda bu sistem sorunsuzca çalışıcaktır. Çoklu domain ortamında lütfen profosyonel hizmet alarak bu işe başlayınız. Öncelikle birinci tavsiyemiz işleme başlamadan mutalaka öce Fortinet Fortigate Firewallımınız yedeğiniz alıyoruz. Daha sonra windows sunucumuzun yedeğini alıyoruz.
Backup İşlemleri
Fortigate tarafı = system=>maintanence=>backup diyerek karşımıza çıkan dosyayı bilgisayarımıza yedekliyoruz.
Windows Server Tarafı = start => run => ntbackup => backlup => system state backup yapınız.
Öncelikle Fortinet Fortigate Firewallımızda aşağıdaki gibi adımlara ilerliyoruz.
User = Remote =Ldap=;Create New Diyerik aşağıdaki gibi tanım yapıyoruz
Daha sonra query çekerek tanımımız düzgünmü değilmi görüyoruz. Ben eski sürümlerde bunu düzgün olarak çalıştıramamıştım.
User = > Directory Service => create new ile aşağıdaki ekranı alıyoruz
ad dc ip adresimiz 10.10.1.2 olduğunu düşünerek ip adresini yazıyoruz. Burdaki password tamamen bize kalmış cihaz ile active directorye yukleyeceğimiz yazılımın konuşması için eşitlenmiş olmalıdır. Ldap server kısmını seçerek yaptığımız tanımı burda çalıştırıyoruz.
Active directory serverımıza Fsae Collector Agent Yazılımı kurulmalıdır. Dikkat edilecek kısım Support NTLM seçilmemelidir. Diğer ayarları defaul bırakarak devam edebiliriz. Fortinet Fortigate Firewallımızda girdiğimiz şifrenin aynını burdada girmemiz gerekmektedir. Mutlaka active directory sunucumuzu bir kere restart edelim. Bu işlemleri yapmadan system state backup yapmış olmamız gerekmekte unutmayalım.
Domain ayar kısmımıza giriyoruz. Select domain to monitor kısmına tıklayarak aşağıdaki menuyu açıyoruz.
Aşağıdaki kısma gerekli ayarlarımızı girmemiz gerekiyor.
Bu kısımda ya administrator hesabımızı şifresi doğru şekilde giriyoruz veya kendimize administratos grubuna üye bir user açıp işlemi yapmamız gerekmekte. Şayet şirket politikanız gereğince şifre belirli sürede değişiyorsa lütfen bu userı zorlamadan muaf tutunuz.
Şimdi Fortigate cihazımız ile active directory sunucumuz düzgün görüşebiliyormu onu test ediyoruz
Serverımızda cmd ile dos prompta düşerek dsquery user komutu ile cn, dc bilgilerimizi alıyoruz.
Policylerimizde yazılınca aşağıdaki gibi bir ekran alıyoruz. Birazdan Policy kısmını göstereceğiz
Firewall Console ekranında diagnose debug authd fsae list diyerek firewalldaki active directory isimlerini görebiliyoruz.
Şimdi önce aşağıdaki gibi en sağdaki kısımdan kullanıcılarımızı işaretliyoruz daha sonra dc kısmındaki maviliğe tıklayarak açılır menuden userlarımızı gruplarımızı oularımızı görebiliyoruz.
Şimdi aşağıdaki ekrana göre gruplarımızı oluşturucaz bu gruplar tamamen Fortigate Tarafı içindir. Server ile ilgili bir kayıt içermez. Amaç burda serverdan çektiğimiz kullanıcıları yetkilendirmektir. Örnek admin diye bir grup oluşturup tekilileri bu grubun içine taşıyoruz ve user diye bir grup açık kullanıcıları içine aktarıyoruz.
Şimdi Firewall policye gelerek aşağıdaki gibi bir kural yazıyoruz.
Farkında iseniz admin ve user diye 2 adet active directory için yaptığımız tanım mevcut. Şayet burda kullanıcılar dışındakilerinde internete çıkmasını istiyorsa yeni bir grup daha yapar fsae guest hesabını buna dahil ederiz yoksa misafirlerin internet çıkışları için ip bazlı policy tanımlamak gerekecektir.
Aşağıdaki gibi bir policmiz oluyor. linux kamera vs gibi cihazlar için ip tabanlı kural yazmak gerekir bunu unutmayınız.
Column Settings kısmından authentication seçerseniz aşağıdaki gibi bir policymiz olduğunu göreceğiz.
Gördüğünüz gibi Savaş kullanıcısı 223 kb trafik yapmış ve bu trafiği kullanıcı bazında takip edebiliyorsunuz
Gördüğünüz üzere sağlıklı bir active directory yapınız varsa başarılı bir kurulum yaparsınız. Active directorynizde sıkıntı varsa düzeltmeden bu işlemlere başlamayınız.
Bu işin duayeni değiliz ama işimizi düzgün yapmaya çalışıyoruz. Makalede emeği geçen Kemal Akbalık kardeşime sonsuz teşekkürler.