E aew meu povo!!
Como fala o goiano: Firrrrrrme? rsrsrsrsr
Parte 3. 1, 2, 3 e Já.
Vamos configurar essa autenticação usando LDAP. No nosso exemplo vou usar o Active Directory, mas poderia ser qualquer outro serviço LDAP.
Acessa teu Fortigate, vai lá em "User & Device" depois em "LDAP Server", agora vamos configurar a integração com o nosso LDAP.
Clica em "+ Create New"
Os campos são bem intuitivos, vou fazer apenas algumas observações.
No campo "Cammon Name Identifier" vai vir por padrão configurado para usar "CN", vamos alterar para "sAMAccountName".
No "Distinguished Name" você pode especificar apenas um caminho específico no seu LDAP. No nosso caso vamos configurar direto na raiz para que possa ler qualquer objeto no domínio.
Em "Brind Type", vamos usar a opção regular para que o Fortigate autentique o acessar ao nosso LDAP. Use uma conta que tenha permissão para ler a árvore do seu LDAP.
Depois de tudo configurado você pode clicar em "Test Connectivity" para validar as configurações.
Validadas as configurações, vamos criar os grupos.
Aqui é bem parecido com o procedimento usando o FSSO, porém nesse caso vamos usar o "Type" Firewall e em "Remote Groups" clicar em "+ Add".
Em "Remote Server" vamos selecionar o servidor LDAP que configuramos. Depois disso, só precisamos ir em "Search" para buscar pelo grupo no nosso LDAP, e adicionaremos ao grupo que estamos criando no Fortigate.
Clique com o botão direito sob o grupo que deseja adicionar e clique em "+ Add Selected" e depois em "OK".
Configurações realizadas, agora clique em "Ok".
Execute o mesmo procedimento para outros grupos.
Reparem que o ícone dos grupos usando LDAP é diferente dos que usam o FSSO.
Grupos configurados, agora vamos configurar a Firewall Policy para cada grupo.
Lembre-se de adicionar ao campo "source" o grupo.
Regras criadas, agora vamos fazer o teste com um dispositivo que não esteja no domínio. No meu lab, vou usar um Ubuntu.
Ao tentar acessar uma página automaticamente, o Fortigate vai trazer a tela de autenticação, uma vez que existem regras configuradas com autenticação LDAP.
Se as credenciais usadas para autenticar fizerem parte de um dos grupos configurados, o usuário terá seu acesso liberado.
Vamos lá no Fortigate, confirmar se a autenticação ocorreu corretamente.
Usei um usuário do grupo INTERNET_N1 para autenticar.
Sucesso!!!
Agora vamos ver se o mesmo está saindo pela regra correta.
Pei Buf!!!
Autenticação realizada com sucesso e tráfego dando match na regra correta.
Próximo post vamos falar da questão dos timers da autenticação LDAP.
Um grande questionamento dos clientes é: Eu vou ter que autenticar todo dia?
Vem comigo...
Contato para projetos, serviços e parceiras, click AQUI.
Comments