Fortinet

Fortigate v4 Active Directory Entegrasyonu

Merhaba

Bu makalemizde Active Directory ile Fortigate Firewallımızı tümleşik çalıştırarak kullanıcılarımızın denetimini active directory domain server daki kısıtlamalara göre yapacağız. Bu şekilde ip belirtmeksizin kullanıcılarımız internete active directorydeki user haklarına göre yetki ile internete çıkabilecek. İnternette fazlası ile Fortigate Active directory sağlıksız diye  asılsız makale, haber, yayın bulunmaktadır. Lütfen bu kişilere itimat etmeyiniz. Ürünlere hâkim sertifikası olan gerçek uzmanlar ile görüşürseniz yardımcı olmaya çalışıcaklardır. http://www.fortinet.com/emeapartners/emea_country_partners.aspx?region=EMEA&subregion=Turkey linkinde sertifikalı firmaların listesi bulunmaktadır.Dışındaki firmaların söylemlerine itimat etmeyiniz.İşin garibi bu firmalarda Çözüm Park portalından bizlerden birçok şey öğreniyorlar.

Kısaca Yapımızdan Bahsedelim

image001

Fortigate – Gateway veya Transparent Mode ile
Windows 2003,2008 dc
Fortigate Firmware V4 Build 0099 (Bu firmware end of life olmayan ürünlerde kullanılabilinir.)50,50a,60,100 gibi ürünler hariç
İhtayıcınız için ekteki linkten firmware ve fsae yazılımı indirebilirsiniz.
ftp://support.fortinet.com/FortiGate/v4.00/4.0.0/4.0.2/

ftp://pftpintl:[email protected]/FortiGate/v4.00/4.0.0/4.0.2/FSAE/FSAE_Setup_3.5.040.exe

Yapımızın yukarıdaki resimdeki gibi olduğunu düşünerek kuruluma başlıyalım

Basit bir yapıda bu sistem sorunsuzca çalışıcaktır. Çoklu domain ortamında lütfen profosyonel hizmet alarak bu işe başlayınız. Öncelikle birinci tavsiyemiz işleme başlamadan mutalaka öce Fortinet Fortigate Firewallımınız yedeğiniz alıyoruz. Daha sonra windows sunucumuzun yedeğini alıyoruz.
Backup İşlemleri
Fortigate tarafı = system=>maintanence=>backup diyerek karşımıza çıkan dosyayı bilgisayarımıza yedekliyoruz.
Windows Server Tarafı = start => run => ntbackup => backlup => system state backup yapınız.

Öncelikle Fortinet Fortigate Firewallımızda aşağıdaki gibi adımlara ilerliyoruz.

User = Remote =Ldap=;Create New Diyerik aşağıdaki gibi tanım yapıyoruz

image002

 

Daha sonra query çekerek tanımımız düzgünmü değilmi görüyoruz. Ben eski sürümlerde bunu düzgün olarak çalıştıramamıştım.

image003

 

User = > Directory Service => create new ile aşağıdaki ekranı alıyoruz
ad dc ip adresimiz 10.10.1.2 olduğunu düşünerek ip adresini yazıyoruz. Burdaki password tamamen bize kalmış cihaz ile active directorye yukleyeceğimiz yazılımın konuşması için eşitlenmiş olmalıdır. Ldap server kısmını seçerek yaptığımız tanımı burda çalıştırıyoruz.

image004

 

Active directory serverımıza Fsae Collector Agent Yazılımı kurulmalıdır. Dikkat edilecek kısım Support NTLM seçilmemelidir. Diğer ayarları defaul bırakarak devam edebiliriz. Fortinet Fortigate Firewallımızda girdiğimiz şifrenin aynını burdada girmemiz gerekmektedir. Mutlaka active directory sunucumuzu bir kere restart edelim. Bu işlemleri yapmadan system state backup yapmış olmamız gerekmekte unutmayalım.

 

image005

 

Domain ayar kısmımıza giriyoruz. Select domain to monitor kısmına tıklayarak aşağıdaki menuyu açıyoruz.

image006

 

Aşağıdaki kısma gerekli ayarlarımızı girmemiz gerekiyor.

image007

 

image008

 

Bu kısımda ya administrator hesabımızı şifresi doğru şekilde giriyoruz veya kendimize administratos grubuna üye bir user açıp işlemi yapmamız gerekmekte. Şayet şirket politikanız gereğince şifre belirli sürede değişiyorsa lütfen bu userı zorlamadan muaf tutunuz.

image009

 

Şimdi Fortigate cihazımız ile active directory sunucumuz düzgün görüşebiliyormu onu test ediyoruz
Serverımızda cmd ile dos prompta düşerek dsquery user komutu ile cn, dc bilgilerimizi alıyoruz.

image010

 

Policylerimizde yazılınca aşağıdaki gibi bir ekran alıyoruz. Birazdan Policy kısmını göstereceğiz

image011

 

Firewall Console ekranında diagnose debug authd fsae list diyerek firewalldaki active directory isimlerini görebiliyoruz.

image012

 

Şimdi önce aşağıdaki gibi en sağdaki kısımdan kullanıcılarımızı işaretliyoruz daha sonra dc kısmındaki maviliğe tıklayarak açılır menuden userlarımızı gruplarımızı oularımızı görebiliyoruz.

image013

 

Şimdi aşağıdaki ekrana göre gruplarımızı oluşturucaz bu gruplar tamamen Fortigate Tarafı içindir. Server ile ilgili bir kayıt içermez. Amaç burda serverdan çektiğimiz kullanıcıları yetkilendirmektir. Örnek admin diye bir grup oluşturup tekilileri bu grubun içine taşıyoruz ve user diye bir grup açık kullanıcıları içine aktarıyoruz.

image014

Şimdi Firewall policye gelerek aşağıdaki gibi bir kural yazıyoruz.

Farkında iseniz admin ve user diye 2 adet active directory için yaptığımız tanım mevcut. Şayet burda kullanıcılar dışındakilerinde internete çıkmasını istiyorsa yeni bir grup daha yapar fsae guest hesabını buna dahil ederiz yoksa misafirlerin internet çıkışları için ip bazlı policy tanımlamak gerekecektir.

image015

 

Aşağıdaki gibi bir policmiz oluyor. linux kamera vs gibi cihazlar için ip tabanlı kural yazmak gerekir bunu unutmayınız.

image016

Column Settings kısmından authentication seçerseniz aşağıdaki gibi bir policymiz olduğunu göreceğiz.

image017

Gördüğünüz gibi Savaş kullanıcısı 223 kb trafik yapmış ve bu trafiği kullanıcı bazında takip edebiliyorsunuz

image018

Gördüğünüz üzere sağlıklı bir active directory yapınız varsa başarılı bir kurulum yaparsınız. Active directorynizde sıkıntı varsa düzeltmeden bu işlemlere başlamayınız.

Bu işin duayeni değiliz ama işimizi düzgün yapmaya çalışıyoruz. Makalede emeği geçen Kemal Akbalık kardeşime sonsuz teşekkürler.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu