Forum
Merhaba,
FortiGate 110C v5.06 cihazına bağlı AP aracılığı ile misafir wireless ağı oluşturduk. Ardından User Identy ile kural oluşturduk.
Misafir ağına bağlanan bilgisayar internet tarayıcısını açtığında karşılarına "Bu web sitesinin güvenlik sertifikasında sorun var" uyarısı içeren https sayfası geliyor. "Bu web sitesine devam et" dediğimizde kullanıcı adı ve şifre ekranı geliyor ve bilgiler doğru girilirse internete çıkılıyor.
Bu kullanıcı bilgilerinin geldiği sayfanın direk gelebilmesini nasıl sağlarız? Sanırım https sayfası olduğu için böyle bir uyarı geliyor. Bu uyarı sayfasının gelmemesi için https yerine http sayfasından kullanıcı bilgilerini sormasını veya bir şekilde bu uyarı olmadan bilgilerin girilebilmesini nasıl sağlarız?
Fortigate üzerine yüklemiş olduğunuz SSL sertifikası var mı? Karşılama (login) ekranı fortigate üzerinden mi geliyor yoksa bir frame ile başka sunucuya mı yönlendiriyorsunuz?
FortiGate e yüklediğimiz bir SSL sertifikası yok. İçindekiler default olarak gelenler. Karşılama ekranı fortigate üzerinden geliyor. Login ekranından önce gitmek istediği sayfa https olduğu için tarayıcı güvenli mi diye soruyor.
Devam et dediğimizde https://192.168.1.99:1003 login sayfasına gidiyor.
ssl inspection seçeneğini kullanmamak veya
fortigate sslproxy sertifikasını clientlerinize girmeniz gerek
http://itzecurity.blogspot.in/2013/07/importing-fortigate-ssl-proxy.html
AD ye kayıtlı olan bilgisayarlara zaten group policy ile ssl sertifikasını yükledim. Onlarda bir sorun olmuyor, oturumu açınca şifre bile sormadan FSSO ile haberleşerek user bazında internete giriyorlar.
Ancak direk misafirler için fortigate üzerinden oluşturulan userlar için yaptığım policy deki misafir bilgisayarların user bilgilerini ilk girmelerini isterken böyle bir uyarı çıkıyor.
Zaten misafir bilgisayarı olduğu için teker teker SSL yükleyemem, zaten SSL yükleyene kadar o butona tıklarım. Ayrıca misafir bilgisayarların çoğu kuruma senede 1-2 kere geliyor. (Misafir local userı günlük şifresini değiştiriyorum)
SSL inspection kullanılmazsa çıkmaz diyorsunuz ama o dediğiniz web dolaşımında https sayfalarını kontrol ederken geçerli. Zaten onu kullanmıyorum, benim karşılaştığım uyarı userın login olmasını sağlayacak ekrandaki uyarı.
Aslında bu user login ekranını https yerine http sayfasında getirebilsek (CLI komutu filan mı var acaba) sorun çözülecek ama bir türlü yapamadık.
Aslına bakarsanız herhangi bir interface den admini http yaptığınızda fortigate cihazına https den ulaşmaya çalıştığınızda uyarının gelmesi ama http den ulaşmaya çalıştığınızda uyarının gelmemesi durumuyla aynı bu sorun. Admin bağlantısı gibi http den de user login imkanı verilecek bir seçenek olsa belki çözülür.