E aew galera blz???
Bem, hoje vou começar uma seriezinha sobre autenticação no Fortigate, resolvi fazer uma série para que os posts não fiquem muito longos e cansativos.
E para iniciar vamos falar da instalação e configuração do Fortinet Single Sign On ou FSSO.
Nessa primeira parte vamos abordar apenas a instalação do FSSO e sua integração com o nosso Fortigate.
Então vamos deixar de enrolação e vamos aos prints ;)
Vamos iniciar com um ponto muito importante e que muitos administradores de Fortigate não se atentam. Baixem sempre a versão do FSSO indicada para a versão do Firmware instalado no seu Fortigate, Blz??? Se fizerem upgrade do firmware do seu Fortigate, lembrem-se de verificar se também não saiu uma versão nova do FSSO.
Nesse nosso exemplo vamos instalar tanto o FSSO quanto o agente no nosso controlador de Domínio.
Aqui vamos configurar a conta que vai executar o serviço do FSSO. Recomendo que seja criada uma conta espécifica para esse serviço, e lembre de dar as permissões necessárias para realizar as consultas (Domain Admin).
Vamos selecionar o método avançado, como método de acesso, pois também vamos querer informações de grupos.
Aqui o instalador do FSSO já vai automaticamente iniciar a instalação do "DC Agent".
Normalmente o instalador já trás as informações corretas, caso deseja pode usar IPv6 também.
Aqui ele já trás também o domínio, é só selecionar e seguir com a instalação.
Aqui podemos marcar os usuários que não desejamos monitorar os eventos de logon, caso não deseje excluir nenhum usuário é só seguir com a instalação.
No primeiro campo podemos selecionar quais Controladores de Domínio queremos monitorar, se você tiver mais de um pode monitorar os que julgar importante para sua implantação. Vamos trabalhar com DC Agent uma vez que já estamos instalando o agente.
Como podem ver, vai ser necessário realizar um reboot, então lembra de alinhar com o cliente antes de reiniciar vissi.
Reboot realizado e serviço rodando.
Depois disso vai lá no iniciar e abre o FSSO.
Aqui temos uns pontos importantes, não vou me aprofundar mas vou fazer algumas observações.
Listening Port: O acesso a essas portas precisam estar liberadas para que o Fortigate consiga se comunicar com o FSSO. Sendo assim você vai precisar liberar no firewall do servidor essas portas.
Loggin: Aqui é uma mão na roda pra resolver problema com o FSSO, aconselho aumentar o tamanho do arquivo de log.
Authentication: Defini uma senha aí, pois vamos precisar dela para que o firewall possa se comunicar.
Timners: Dá uma olhada com carinho em cada um dos timers, eles podem trabalhar contra ou ao seu favor, vai depender de como estão configurados.
Depois de fazer todos os ajustes clica lá em "Save & Close"
Agora vamos lá no Fortigate.
Acessa ele, vai em Security Fabric e depois em Fabric Connector (Nas versões mais novas esse connector vai se encontrar em External Connector), clica em "Create New".
Seleciona o "Fortinet Single Sgn-On Agent".
Aqui vamos colocar um nome para o conector, informar o IP do servidor que o agente se encontra instalado e informar a senha que definimos lá no FSSO. Depois disso é clicar em "Apply & Refresh". Se você lembrou de liberar as portas e deu as permissões corretas ao usuário que está executando o serviço, ele vai trazer ali em "Users/Groups os usuários e grupos encontrados.
Clica lá em "View".
Status do connector tem de estar "Up".
Vamos voltar lá no FSSO e clicar em " Show Service Status".
Lá você vai ver as informações do Firewall.
Agora vai em "Show Monitored DCs".
Lá você vai ver as informações do DV que está sendo monitorado.
Agora vai lá em "Show Logon Users"
Como vocês podem ver, o agente já pegou a informação de logon do meu usuário.
Vamos finalizar aqui.
No próximo post dessa série vamos abordar como criar grupos de usuários no Fortigate usando a integração dele com o FSSO e assim ver sua usabilidade na prática.
Fiquem tranquilos que ainda vamos ver o uso de LDAP para autenticação de dispositivos que não fazem parte do domínio e para SSL VPN.
Vem comigo, que aqui é Pei Buf!!!
Contato para projetos, serviços e parceiras, click AQUI.