Forum
Merhaba,
Yapımızda Windows Server 2008 R2 Ent. Üzerinde kurulu ve kullanmakta olduğumuz Active Directory ortamımız bulunmaktadır. Ayrıca yeni almış olduğumuz Fortigate 80c cihazı bulunmakta. Cihaz üzerinde gelen Firmware 4 idi. Ben bunu v5.0,build0252 'e yükselttim.
Dün, Active Directory ve Fortigate entegrasyonu gerçekleştirdim. Ancak bir şeyler eksik gibi, Çünkü Firewall 'da User&Devices > Monitör > Firewall üzerinden kullanıcıları göremiyorum. (No matching entries found) Ayrca SSL-VPN ayarlarını gerçekleştirdim. Firewall local user ile kimlik doğrulaması yapabiliyorken, Active Directory kullanıcısı ile kimlik doğrulamasından geçemiyorum.(ilgili AD kullanıcıları veya grup ssl-vpn grubana eklenmiştir.)
Yapılan işlemler
Active Directory bulunan server 'a FSSO (versiyon : 4.3.0120) 3. parti programını kurdum ve gerekli ayarları gerçekleştirdim. Show Service Status 'ta firewall 'u göremiyorum. Show Logon User 'ta kullanıcılar görünür durumda ancak bazıları Not verified statüsünde.
Firewall üzerinde User&Devices > Authencation > LDAP Server 'dan Active Directory bağlantısını gerçekleştirdim. Test ettiğimde (Successful)
Gene Firewall üzerinde User&Devices > Authencation > Single Sign-On Server ayarlarını gerçekleştirdim ve kullanacağım grupları seçtim. (Kullanıcı ve grupları görebiliyorum.)
Fortigate tarafında tüm grupları ve kullanıcıları görebilmeme rağmen ancak FSSO 'da firewall görünmemesi ne anlama gelmektedir çözemedim. Yardımlarınızı rica ederim
sunucu üzerinde fw varsa kapatıp denermisiniz ?
fsso yu sunucuda restart etmenizde gerekecektir
bu makaleye bakabilirsiniz
Bir süredir IP temelli tanımlamalarla kullanmakta olduğum Fortigate
60B cihazımda sık sık tıkanmalar ve CPU kullanım miktarının üst
seviyelere tırmanması gibi sorunlar yaşayınca cihazımı mevcut active
directory yapımla eşlenik olarak kullanmaya karar verdim.
Bu eşleşme durumunda kullanıcı Active Directory üzerinde login
olduktan sonra ilgili kullanıcı hakları ile internete erişebilecektir.
Active directory bünyesinde DHCP ve DNS yönetimi de bulunduğundan
FORTIGATE cihazımıza ekstra yük binmemektedir. Ayrıca CLI konsoldan
yapacak olduğumuz ip-mac-binding eşleşmelerine de gerek duyulmayacaktır.
Çünkü; Active Directory kullanıcı ayarlarında yer alan …. kullanıcısı sadece … makinasında oturum açabilir tanımı ile bir nev’i kullanıcıyıda belirli bir pc ye bağlamış oluruz.
Şimdi gelelim yapılması gerekenlere;
1) ftp://support.fortinet.com/FortiGate/v4.00/4.0MR2/MR2_Patch_2/FSAE/FSAE_Setup_3.5.059.exe adresinden FSAE (Fortinet Server Authentication Extension) yazılımını indirin.
2) FSAE yazılımını Active Directory barındıran sisteminize kurun.
3) FSAE programını çalıştırın ve ayarlarınızı aşağıdaki resimde
belirtildiği gibi düzenleyin. Burada dikkat edilmesi gereken husus Support NTLM authentication seçilmemelidir
Monitoring user logon events : Seçili
Support NTLM authentication: Seçilmemiş
Listening Ports
Fortigate : 8000 DC Agent: 8002
Log Level: Information
Log File Size: 10 Mb
Log Logon events in separate logs: Seçili
Authentication
Require authenticated connection from FORTIGATE: Seçili
Password: <belirleyecek olduğunuz şifre> Burada
tanımlayacak olduğunuz şifre ile FSAE ve FORTIGATE cihazı arasında
yetkilendirme yapılacaktır. Belirlenen şifre daha sonra Fortigate
üzerinde USER->Directory Service menüsünde kullanılacaktır.
Timers
Workstation verify interval (minutes): 2 Burada
belirlenen sürelerde workstation doğrulaması yapılarak FORTIGATE
cihazına bilgi verilir ve alınan bilgi doğrultusunda çıkış hakları
tanımlanır.
Dead entry timeout interval (minutes): 0 Burada
SIFIR(0) tanımlayarak oturumların FORTIGATE tarafında sonlandırılması
engellenir. Bu sayede bir kullanıcı belirli bir süre pasif kaldıktan
sonra bağlantısının kesilmesi sorunu da ortadan kalkmış olur.
IP address change verify interval (seconds): 60 Burada
60 saniye tanımlamak sureti ile bir kullanıcının farklı sistemde oturum
açması durumunda IP adresinin güncellemesi için geçecek süre
tanımlanmış olur. Eğer Active Directory üzerinden kullanıcının sadece
belirli bir workstation üzerinde oturum açması tanımlanmış ise bu
değerin yüksek olması önemsizdir.
belirtilen ayarlamalar tanımlandıktan sonra Active Directory sunucumuzu RESTART yapalım.
4) FSAE programının ana ekranından Select domain to monitor menüsüne girerek aşağıdaki ekran açılır.
Domain Filter kısmında izleyecek olduğumuz DOMAIN seçilir ve SETTING butonuna tıklanır.
Açılan ekranda;
AD Server address: Active Directory sunucu IP adresiniz
AD Server Port: 389 olarak bırakınız.
Base DN: Domain name bilgileriniz.
User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.
Password: Administrator grubuna dahil kullanıcınızın şifresi.
bu bilgiler ilgili yerlere yazıldıktan sonra OK tuşuna basılarak işlem tamamlanır ve FSAE ana ekranına dönülür.
5) Set Directory Access Information butonuna basılarak ilgili ekrana geçilir.
AD Access mode : Advanced seçilir ve Advanced Setting butonuna basılarak AD Settings ekranı açılır.
AD Settings ekranında;
AD Server address: Active directory sunucu adresiniz yazılır.
AD Server Port: 3268
Base DN: Domain bilginiz yazılır.
User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.
Password: Administrator grubuna dahil kullanıcınızın şifresi.
6) Şimdi sıra geldi FORTIGATE cihazımızı FSAE yazılımı üzerinden Active Directory ile eşleştirmeye,
Bunun için öncelikle FORTIGATE cihazınıza bağlanın
USER menüsünden REMOTE sekmesindeki LDAP bölümüne girin.
Create New Diyerek LDAP sunucumuzu sisteme tanıtalım.
Name : Fortigate cihazımız için tanımlama ismimiz.
Server Name/IP: Active directory sunucumuzun ip adresi
Server Port: 389
Common Name Identifier: DC
Distinguished Name: Domain name bilgimiz.
Bind Type: Regular Burada
değerin REGULAR olmasına özellikle dikkat ediniz aksi halde sunucu ile
iletişimizini kuracak olan USER DN ve Password bilgisi istenmeyeceğinden
saatlerce FORTIGATE ile Active Directory neden haberleşemiyor diye
saatlerce uğraşırsınız.
User DN: Administrator grubuna üye kullanıcınızının domain üzerindeki tanımlaması Örnek: CN=administrator,CN=Users,DC=STSO,DC=LOCAL
Password:Kullanıcınızın şifresi
tanımlarınızı
yaptıktan sonra Distinguished Name yanındaki browse simgesine
tıklayarak sunucumuza üzerindeki kullanıcı gruplarını listeliyoruz. OK
butonuna basıyoruz.
7) User menüsünden Directory Service altında Directory Service sekmesine girin.
Name kısmında sunucu adınızın fortigate tarafındaki tanımını yazın
FSAE Collector Ip /Name: FSAE yazılımının yüklü olduğu sunucunuzun IP adresini yazın.
Port : 8000
Password : ilk bölümde FSAE kurulumu yapılırken Authentication bölümünde tanımlamış olduğunuz şifrenizi yazınız.
LDAP Server: User ->Remote-> Ldap menüsünde tanımlamasını yaptığınız sunucunuzu seçin.
8) Şimdi sıra geldi FORTIGATE ile FSAE yazılımımız ve dolayısıyla Active Directory haberleşebiliyor mu? bunu öğrenelim.
Öncelikle Active Directory kurulu sunucumuzda Başlat -> Programlar
-> Çalıştır satırına gelerek CMD yazın ve komut satırına geçiş yapın.
Daha sonra komut satırımızda dsquery user yazarak Active Directory üzerindeki kullanıcılarımızı görelim.
Burada dikkat edilmesi gereken
husus Active Directory üzerindeki kullanıcı tanımlarımızda asla TÜRKÇE
KARAKTER kullanılmaması gerektiğidir. Aksi halde FORTIGATE üzerinde bu
kullanıcılar işlem göremeyeceğinden, internete çıkışlarında problemler
yaşanacaktır.
Bu sorunu pratik olarak çözmek isterseniz http://www.sekercioglu.eu/index.php/windows-scripting-host-ile-active-directory-uzerindeki-kullanici-bilgilerini-degistirme/ adresindeki script kodlarımıza bakabilirsiniz.
Active
directory üzerindeki kullanıcılarımızı gördük, peki ama bu bilgileri
FSAE yazılımı almış mı? ona da bakalım. Bunun için FSAE programının ana
ekranından Show Logon Users bölümüne giriyoruz…
Görüldüğü üzere FSAE programımızda kullanıcı verilerini düzgün şekilde alıyor.
En son olarak da FORTIGATE cihazımız bu verileri FSAE programından alabiliyor mu? ona da bakalım..
Fortinet Single Sign On FSSO yazılımının yayınlanmasından sonra kullanılan firmware yapılarında (Örn:MR3 Patch 4) diagnose debug authd FSAE list komutu yerine diagnose debug authd FSSO list komutu kullanılmaktadır.
evet FORTIGATE cihazımız da bilgileri düzgün şekilde bünyesine alıyor.
9) O zaman sıra geldi alınan bu kullanıcı verileri ile grup oluşturup o gruplara erişim kuralları tanımlamaya.
Kullanıcı
grubu tanımlamak için User -> Directory Service -> Directory
Service menüsüne gelerek Directory Service listesinden seçimimizi
yapıyoruz,
ardından da üst menülerde yer alan Edit Users / Groups bağlantısına tıklıyoruz.
Ekrana
gelen kullanıcı listesinden ya da kullanıcıların bağlı olduğu
gruplardan yetkilendirmek istediklerimizi seçiyoruz ve OK butonuna
basıyoruz.
10) Daha sonra User -> User Group -> User Group menüsünde Create New bağlantısına girerek
ekranına ulaşıyoruz. Burada dikkat edilmesi gereken husus;
Name: Fortigate üzerinde kullanıcı grubuna verilecek olan isim
Type: Directory Service seçilmelidir.
Available Members: Mevcut kullanıcılar
Members: Gruba dahil edilecek kullanıcılar
gerekli ayarlamaları yaptığınızda ekran aşağıdakine benzer bir duruma gelecektir.
ayarları kaydetmek için OK butonuna basıyoruz.
11)
Şimdi grubumuzu oluşturduk, sıra geldi bu gruba policy tanımlamasına.
Ancak dikkat edilmesi gereken husus bağlantı kuracak olan sistem şayet Active Directory üyesi değilse bu kullanıcının tanımını IP bazlı yapmalısınız (eski düzen) ve kural sıralamasında AD temelli kuralın üzerinde yer alması gerekiyor. Aksi halde çıkış yapamaz.
Öncelikle Enable Identity Based Policy seçimimizi yapıyoruz
Ardından da Directory Service (FSAE) seçimimizi yapıyoruz.
Sonrasında ise ADD butonuna basarak user group bünyesindeki kullanıcı grubumuzu seçeceğimiz ekranı açıyoruz.
bu ekrandan da kullanıcı gruplarımızı ve onların kullanacakları protokol ve servisleri tanımlıyoruz.
Sonrasında
ise Firewall -> Policy ekranında şayet Column Settings gelerek COUNT
ve Authentication bilgilerini eklersek, hangi kullanıcı grubunun ne
kadar trafikle çıkış yaptığını detaylı olarak görebilirsiniz.
Eğer
kullanıcı bazında detaylı trafik bilgisi almak isterseniz o zaman da
User->Monitor -> Firewall menüsüne gelerek hangi kullanıcının ne
kadar trrafik yaptığını, logon kaydının olup olmadığını yada ne kadar
zamandır açık olduğunu inceleyebilirsiniz.
Daha
önceleri IP temelli kural tanımlamaları yapıyordum, kuralları
tanımlarken IP mac Binding tanımları, DHCP tanımları gibi kurallar
Firewall üzerine binince sık sık JAM problemleri yaşıyordum. Öyle ki
firewall üzerinde CPU kullanımı %70 ve üzerinde dolaşıyordu.
Version güncellemesi ve ardından da FSAE ile Active Directory eşleştirmesinden sonra kaynak tablom aşağıdaki duruma geldi.
Sizlere tavsiyem eğer sağlıklı bir Active Directory yapınız var ise gecikmeden bu yapıya geçiniz.
Bu sistemi kurarken desteğini benden hiç esirgemeyen sevgili arkadaşım Savaş DEMİR’e sonsuz teşekkürlerimi sunarım.
Savaş hocam teşekkürler, Atladığım noktayı buldum. 🙂 V5 henüz yeni olduğundan uygun makale bulamamıştım. V4 makalesinden yararlanmıştım bende.
Single-Sign-On > Create New 'den oluşturduğum bağlantı ayarını yapmışım. Onu olarak değiştirdim ve sorunum çözüldü. 🙂
r.e.
Anlatımınız çok faydalı cidden ancak resimler görünmüyor.güncelleyebilirmisiniz.Birde active directory raporunu nasıl alabilirz.