Sem muito arrodeio, vamos para a parte 2 da série Autenticação.
Agora vamos ver como usar na prática a integração que fizemos com o FSSO.
Para realizar esse teste criei dois grupos no meu AD, o grupo INTERNET_N1 e INTERNET_N2, no primeiro adicionei o usuário user.filial1 e no segundo o user.matriz.
Vamos no Fortigate criar dois grupos com o mesmo nome e atrelar os grupos do nosso AD ao mesmo, por meio do FSSO.
Acessa teu Fortigate e vai lá em "User & Device" e depois em "User Groups".
Clica em "+ Create New".
Aqui vamos colocar o "Name" do grupo, no "Type" vamos selecionar "Fortinet Single Sgn-on (FSSO)", clica no campo "Members", o painel lateral vai listar todos os objetos que o FSSO encontrou no nosso AD, então vamos ali na buscar e digitar "INTERNET". Podem ver que ele trouxe os dois grupos N1 e N2, seleciona o N1 e clica em OK.
Repita o mesmo procedimento para criar o grupo INTERNET_N2.
Grupos criados.
Agora vamos configurar as regras de firewall para cada grupo.
Crie uma regra para cada grupo e especifique no campo "source" o grupo que criamos em sua respectiva regra.
Agora vamos testar se o firewall vai identificar a conta do usuário e aplicar seu tráfego a regra correta, conforme o grupo que o mesmo faz parte.
Vamos iniciar com o user.filial1 que faz parte do grupo INTERNET_N1, logue com o mesmo em uma estação e realize acesso à algum site. Feito isso, vamos checar no firewall a autenticação do usuário.
No Fortigate vá em "Monitor" e depois em "Firewall User Monitor" e clique no botão "Show all FSSO Logons"
Conforme imagem o firewall já identificou o usuário e os grupos que o mesmo faz parte.
Agora vamos em "FortiView" e depois em "Sources".
Aqui já podemos verificar que o Firewall foi capaz de identificar o tráfego, não apenas pelo IP de origem, mas também pelo usuário.
Vamos verificar em qual regra ele está dando "match". Dá dois cliques no user.filial1.
Pei Buf!!! Usuário saindo pela regra correta.
Vamos repetir o mesmo teste para o usuário user.matriz, para esse teste vou colocar apenas os prints.
Pei buf!
Agora vamos dá uma olhada lá no FSSO.
Quando abrir o FSSO clica lá em "Show Logon Users List", aqui vocês vão ver todos os usuários com o logon registrado no FSSO.
Uma observação importante é que nos clientes é necessário liberar a porta para que o FSSO possa realizar a checagem do "Status" se a porta (135 ou 445) não estiver aberta o status vai ficar como "Not Verified" e o usuário não vai conseguir navegar.
Agora você pode se perguntar: E no caso de dispositivos que não estejam no domínio, como celular, tablet, notebook, etc.? E em ambientes que não possuem um Active Directo e sim um Open LDAP?
Fica tranquilo, no próximo post vamos falar da autenticação via LDAP e como configurar a mesma.
Contato para projetos, serviços e parceiras, click AQUI.