Forum
Bir süredir IP temelli tanımlamalarla kullanmakta olduğum Fortigate
60B cihazımda sık sık tıkanmalar ve CPU kullanım miktarının üst
seviyelere tırmanması gibi sorunlar yaşayınca cihazımı mevcut active
directory yapımla eşlenik olarak kullanmaya karar verdim.
Bu eşleşme durumunda kullanıcı Active Directory üzerinde login
olduktan sonra ilgili kullanıcı hakları ile internete erişebilecektir.
Active directory bünyesinde DHCP ve DNS yönetimi de bulunduğundan
FORTIGATE cihazımıza ekstra yük binmemektedir. Ayrıca CLI konsoldan
yapacak olduğumuz ip-mac-binding eşleşmelerine de gerek duyulmayacaktır.
Çünkü; Active Directory kullanıcı ayarlarında yer alan …. kullanıcısı sadece … makinasında oturum açabilir tanımı ile bir nev’i kullanıcıyıda belirli bir pc ye bağlamış oluruz.
Şimdi gelelim yapılması gerekenlere;
1) ftp://support.fortinet.com/FortiGate/v4.00/4.0MR2/MR2_Patch_2/FSAE/FSAE_Setup_3.5.059.exe adresinden FSAE (Fortinet Server Authentication Extension) yazılımını indirin.
2) FSAE yazılımını Active Directory barındıran sisteminize kurun.
3) FSAE programını çalıştırın ve ayarlarınızı aşağıdaki resimde
belirtildiği gibi düzenleyin. Burada dikkat edilmesi gereken husus Support NTLM authentication seçilmemelidir
Monitoring user logon events : Seçili
Support NTLM authentication: Seçilmemiş
Listening Ports
Fortigate : 8000 DC Agent: 8002
Log Level: Information
Log File Size: 10 Mb
Log Logon events in separate logs: Seçili
Authentication
Require authenticated connection from FORTIGATE: Seçili
Password: <belirleyecek olduğunuz şifre> Burada
tanımlayacak olduğunuz şifre ile FSAE ve FORTIGATE cihazı arasında
yetkilendirme yapılacaktır. Belirlenen şifre daha sonra Fortigate
üzerinde USER->Directory Service menüsünde kullanılacaktır.
Timers
Workstation verify interval (minutes): 2 Burada
belirlenen sürelerde workstation doğrulaması yapılarak FORTIGATE
cihazına bilgi verilir ve alınan bilgi doğrultusunda çıkış hakları
tanımlanır.
Dead entry timeout interval (minutes): 0 Burada
SIFIR(0) tanımlayarak oturumların FORTIGATE tarafında sonlandırılması
engellenir. Bu sayede bir kullanıcı belirli bir süre pasif kaldıktan
sonra bağlantısının kesilmesi sorunu da ortadan kalkmış olur.
IP address change verify interval (seconds): 60 Burada
60 saniye tanımlamak sureti ile bir kullanıcının farklı sistemde oturum
açması durumunda IP adresinin güncellemesi için geçecek süre
tanımlanmış olur. Eğer Active Directory üzerinden kullanıcının sadece
belirli bir workstation üzerinde oturum açması tanımlanmış ise bu
değerin yüksek olması önemsizdir.
belirtilen ayarlamalar tanımlandıktan sonra Active Directory sunucumuzu RESTART yapalım.
4) FSAE programının ana ekranından Select domain to monitor menüsüne girerek aşağıdaki ekran açılır.
Domain Filter kısmında izleyecek olduğumuz DOMAIN seçilir ve SETTING butonuna tıklanır.
Açılan ekranda;
AD Server address: Active Directory sunucu IP adresiniz
AD Server Port: 389 olarak bırakınız.
Base DN: Domain name bilgileriniz.
User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.
Password: Administrator grubuna dahil kullanıcınızın şifresi.
bu bilgiler ilgili yerlere yazıldıktan sonra OK tuşuna basılarak işlem tamamlanır ve FSAE ana ekranına dönülür.
5) Set Directory Access Information butonuna basılarak ilgili ekrana geçilir.
AD Access mode : Advanced seçilir ve Advanced Setting butonuna basılarak AD Settings ekranı açılır.
AD Settings ekranında;
AD Server address: Active directory sunucu adresiniz yazılır.
AD Server Port: 3268
Base DN: Domain bilginiz yazılır.
User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.
Password: Administrator grubuna dahil kullanıcınızın şifresi.
6) Şimdi sıra geldi FORTIGATE cihazımızı FSAE yazılımı üzerinden Active Directory ile eşleştirmeye,
Bunun için öncelikle FORTIGATE cihazınıza bağlanın
USER menüsünden REMOTE sekmesindeki LDAP bölümüne girin.
Create New Diyerek LDAP sunucumuzu sisteme tanıtalım.
Name : Fortigate cihazımız için tanımlama ismimiz.
Server Name/IP: Active directory sunucumuzun ip adresi
Server Port: 389
Common Name Identifier: DC
Distinguished Name: Domain name bilgimiz.
Bind Type: Regular Burada
değerin REGULAR olmasına özellikle dikkat ediniz aksi halde sunucu ile
iletişimizini kuracak olan USER DN ve Password bilgisi istenmeyeceğinden
saatlerce FORTIGATE ile Active Directory neden haberleşemiyor diye
saatlerce uğraşırsınız.
User DN: Administrator grubuna üye kullanıcınızının domain üzerindeki tanımlaması Örnek: CN=administrator,CN=Users,DC=STSO,DC=LOCAL
Password: Kullanıcınızın şifresi
tanımlarınızı
yaptıktan sonra Distinguished Name yanındaki browse simgesine
tıklayarak sunucumuza üzerindeki kullanıcı gruplarını listeliyoruz. OK
butonuna basıyoruz.
7) User menüsünden Directory Service altında Directory Service sekmesine girin.
Name kısmında sunucu adınızın fortigate tarafındaki tanımını yazın
FSAE Collector Ip /Name: FSAE yazılımının yüklü olduğu sunucunuzun IP adresini yazın.
Port : 8000
Password : ilk bölümde FSAE kurulumu yapılırken Authentication bölümünde tanımlamış olduğunuz şifrenizi yazınız.
LDAP Server: User ->Remote-> Ldap menüsünde tanımlamasını yaptığınız sunucunuzu seçin.
Şimdi sıra geldi FORTIGATE ile FSAE yazılımımız ve dolayısıyla Active Directory haberleşebiliyor mu? bunu öğrenelim.
Öncelikle Active Directory kurulu sunucumuzda Başlat -> Programlar
-> Çalıştır satırına gelerek CMD yazın ve komut satırına geçiş yapın.
Daha sonra komut satırımızda dsquery user yazarak Active Directory üzerindeki kullanıcılarımızı görelim.
Burada dikkat edilmesi
gereken husus Active Directory üzerindeki kullanıcı tanımlarımızda asla
TÜRKÇE KARAKTER kullanılmaması gerektiğidir. Aksi halde FORTIGATE
üzerinde bu kullanıcılar işlem göremeyeceğinden, internete çıkışlarında
problemler yaşanacaktır.
Bu sorunu pratik olarak çözmek isterseniz http://www.sekercioglu.eu/index.php/windows-scripting-host-ile-active-directory-uzerindeki-kullanici-bilgilerini-degistirme/ adresindeki script kodlarımıza bakabilirsiniz.
Active
directory üzerindeki kullanıcılarımızı gördük, peki ama bu bilgileri
FSAE yazılımı almış mı? ona da bakalım. Bunun için FSAE programının ana
ekranından Show Logon Users bölümüne giriyoruz…
Görüldüğü üzere FSAE programımızda kullanıcı verilerini düzgün şekilde alıyor.
En son olarak da FORTIGATE cihazımız bu verileri FSAE programından alabiliyor mu? ona da bakalım..
evet FORTIGATE cihazımız da bilgileri düzgün şekilde bünyesine alıyor.
9) O zaman sıra geldi alınan bu kullanıcı verileri ile grup oluşturup o gruplara erişim kuralları tanımlamaya.
Kullanıcı
grubu tanımlamak için User -> Directory Service -> Directory
Service menüsüne gelerek Directory Service listesinden seçimimizi
yapıyoruz,
ardından da üst menülerde yer alan Edit Users / Groups bağlantısına tıklıyoruz.
Ekrana
gelen kullanıcı listesinden ya da kullanıcıların bağlı olduğu
gruplardan yetkilendirmek istediklerimizi seçiyoruz ve OK butonuna
basıyoruz.
10) Daha sonra User -> User Group -> User Group menüsünde Create New bağlantısına girerek
ekranına ulaşıyoruz. Burada dikkat edilmesi gereken husus;
Name: Fortigate üzerinde kullanıcı grubuna verilecek olan isim
Type: Directory Service seçilmelidir.
Available Members: Mevcut kullanıcılar
Members: Gruba dahil edilecek kullanıcılar
gerekli ayarlamaları yaptığınızda ekran aşağıdakine benzer bir duruma gelecektir.
ayarları kaydetmek için OK butonuna basıyoruz.
11)
Şimdi grubumuzu oluşturduk, sıra geldi bu gruba policy tanımlamasına.
Ancak dikkat edilmesi gereken husus bağlantı kuracak olan sistem şayet Active Directory üyesi değilse bu kullanıcının tanımını IP bazlı yapmalısınız (eski düzen) ve kural sıralamasında AD temelli kuralın üzerinde yer alması gerekiyor. Aksi halde çıkış yapamaz.
Öncelikle Enable Identity Based Policy seçimimizi yapıyoruz
Ardından da Directory Service (FSAE) seçimimizi yapıyoruz.
Sonrasında ise ADD butonuna basarak user group bünyesindeki kullanıcı grubumuzu seçeceğimiz ekranı açıyoruz.
bu ekrandan da kullanıcı gruplarımızı ve onların kullanacakları protokol ve servisleri tanımlıyoruz.
Sonrasında
ise Firewall -> Policy ekranında şayet Column Settings gelerek COUNT
ve Authentication bilgilerini eklersek, hangi kullanıcı grubunun ne
kadar trafikle çıkış yaptığını detaylı olarak görebilirsiniz.
Eğer
kullanıcı bazında detaylı trafik bilgisi almak isterseniz o zaman da
User->Monitor -> Firewall menüsüne gelerek hangi kullanıcının ne
kadar trrafik yaptığını, logon kaydının olup olmadığını yada ne kadar
zamandır açık olduğunu inceleyebilirsiniz.
Daha
önceleri IP temelli kural tanımlamaları yapıyordum, kuralları
tanımlarken IP mac Binding tanımları, DHCP tanımları gibi kurallar
Firewall üzerine binince sık sık JAM problemleri yaşıyordum. Öyle ki
firewall üzerinde CPU kullanımı %70 ve üzerinde dolaşıyordu.
Version güncellemesi ve ardından da FSAE ile Active Directory eşleştirmesinden sonra kaynak tablom aşağıdaki duruma geldi.
Sizlere tavsiyem eğer sağlıklı bir Active Directory yapınız var ise gecikmeden bu yapıya geçiniz.
Bu sistemi kurarken desteğini benden hiç esirgemeyen sevgili arkadaşım Savaş DEMİR’e sonsuz teşekkürlerimi sunarım.
eline sağlık Burak.Çok güzel bir anlatım olmuş.
teşekkürler
fortinet ftp kullanıcı adı ve şifrelerinin bu şekilde açık verilmesi bazı yasal durumlara yol açmıştı geçmiş zamanda. forumun kapanmasına sebebiyet vermemek için bu şekilde link verilmemesi daha iyi olmaz mı?
Anlaşılır ve sade anlatımınız için teşekkürler. Firmware güncellemesi sebebiyle eskimiş olan AD entegrasyon anlatımları cihaz ile yeni tanışmış kişiler için zorlayaıcı olabiliyordu.
Fakat benim sormak istediğim farklı bir soru var zira burda belirttiğiniz ayarları aynı şekilde baya bi önce yapmıştım burdaki anlatımınız bir nevi ayarlarımı check etmemi sağladı diyebiirim bunun için teşekkür ederim. Yalnız [http] http://www.cozumpark.com/forums/thread/212067.aspx [/http] bu başlıkta da belirttiğim gibi böyle bir sorunum var.
Aynı firmware e sahip cihazlar kullandığımız için sizede sormak istiyorum. Acaba linkte belirttiğim soruna dair bir fikriniz var mı?
Yardımlarınız için şimdiden teşekkür ederim.
siz fsae kurduktan sonra fortigatte aşağıdaki komutu çalıştırınca userları görebiliyormusunuz ?
diagnose debug authd fsae list
Merhaba Savaş bey, Userları görmede de bir sıkıntım yok dediğiniz komutu konsola verince userlarım geliyor. AD ile entegrasyonumda bir sıkıntım yok yani.
o zaman şunu yapın policyi devreye alınca pcleri kapatıp açıp deneyiniz
sonucu bildiriniz lütfen
Savaş bey öneriniz için teşekkür ederim. Yarın uyguladığımda sonucuda buradan bildireceğim... Dilerim işe yarar, çünkü policy uyguladıktan sonra böyle bir şeyi denemedim hiç.
Kuralı aktif edip bilgisayarı yeniden bşlattım ve değişen bir şey olmadı, sonrasında cihazoda yeniden başlattım fakat sonuç yine aynı. Enable Identity Based Policy aktif ettiğimde internet tüm kullanıcılar için kesilmekte.
Bazen AD üzerindeki kullanıcıların TÜRKÇE karakter içeren bilgilerinden dolayı bu sorunlar olabiliyordu. Acaba AD üzerindeki kullanıcı isimlerini test ettiniz mi? yada yazıda belirtmiş olduğum scripti çalıştırmayı denediniz mi?
Sunucu sistemleri üzerinde bu yaşıma kadar işin aslı hiç bir zaman Türkçe karakter hiç kullanmadım. Bayadır böyle. O sebepten dolayı şuanki sistem alt yapısında da Türkçe karakter kullanmadım. Yani yapımda ne bir kullanıcı adı, ne bir grup adı yada nebir OU da Türkçe karakter bulunmamakta.
Bahsettiğiniz scripte sanırım Türkçe karakter ile ilgili olandı. Ürünümün modeli Fortiwifi 60C şuanki firmware en güncel firmware. Cihaza özgü bir sorunmu var diyeceğim ama tam emin değilim. Yalnız inatla kimlik doğrulama ve yetkilendirme işlemlerini AD kullanarak yapma taraftarı olduğum için bu konuyu araştıracağım. Dilerim burdan da kayde değer yardımlar alıp bu sorunu halledebiliriz.
Saygılarımla.
Hüseyin bey bu sorunla ilgili bir çözüme ulaşabildiniz mi aynı problem bende de var ve bir türlü sonuca ulaşamadım.