ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Fortinet

Fortigate v4 Active Directory Entegrasyonu

Merhaba

Bu makalemizde Active Directory ile Fortigate Firewallımızı tümleşik çalıştırarak kullanıcılarımızın denetimini active directory domain server daki kısıtlamalara göre yapacağız. Bu şekilde ip belirtmeksizin kullanıcılarımız internete active directorydeki user haklarına göre yetki ile internete çıkabilecek. İnternette fazlası ile Fortigate Active directory sağlıksız diye  asılsız makale, haber, yayın bulunmaktadır. Lütfen bu kişilere itimat etmeyiniz. Ürünlere hâkim sertifikası olan gerçek uzmanlar ile görüşürseniz yardımcı olmaya çalışıcaklardır. http://www.fortinet.com/emeapartners/emea_country_partners.aspx?region=EMEA&subregion=Turkey linkinde sertifikalı firmaların listesi bulunmaktadır.Dışındaki firmaların söylemlerine itimat etmeyiniz.İşin garibi bu firmalarda Çözüm Park portalından bizlerden birçok şey öğreniyorlar.

Kısaca Yapımızdan Bahsedelim

image001

Fortigate – Gateway veya Transparent Mode ile
Windows 2003,2008 dc
Fortigate Firmware V4 Build 0099 (Bu firmware end of life olmayan ürünlerde kullanılabilinir.)50,50a,60,100 gibi ürünler hariç
İhtayıcınız için ekteki linkten firmware ve fsae yazılımı indirebilirsiniz.
ftp://support.fortinet.com/FortiGate/v4.00/4.0.0/4.0.2/

ftp://pftpintl:F0rt1intl@support.fortinet.com/FortiGate/v4.00/4.0.0/4.0.2/FSAE/FSAE_Setup_3.5.040.exe

Yapımızın yukarıdaki resimdeki gibi olduğunu düşünerek kuruluma başlıyalım

Basit bir yapıda bu sistem sorunsuzca çalışıcaktır. Çoklu domain ortamında lütfen profosyonel hizmet alarak bu işe başlayınız. Öncelikle birinci tavsiyemiz işleme başlamadan mutalaka öce Fortinet Fortigate Firewallımınız yedeğiniz alıyoruz. Daha sonra windows sunucumuzun yedeğini alıyoruz.
Backup İşlemleri
Fortigate tarafı = system=>maintanence=>backup diyerek karşımıza çıkan dosyayı bilgisayarımıza yedekliyoruz.
Windows Server Tarafı = start => run => ntbackup => backlup => system state backup yapınız.

Öncelikle Fortinet Fortigate Firewallımızda aşağıdaki gibi adımlara ilerliyoruz.

User = Remote =Ldap=;Create New Diyerik aşağıdaki gibi tanım yapıyoruz

image002

 

Daha sonra query çekerek tanımımız düzgünmü değilmi görüyoruz. Ben eski sürümlerde bunu düzgün olarak çalıştıramamıştım.

image003

 

User = > Directory Service => create new ile aşağıdaki ekranı alıyoruz
ad dc ip adresimiz 10.10.1.2 olduğunu düşünerek ip adresini yazıyoruz. Burdaki password tamamen bize kalmış cihaz ile active directorye yukleyeceğimiz yazılımın konuşması için eşitlenmiş olmalıdır. Ldap server kısmını seçerek yaptığımız tanımı burda çalıştırıyoruz.


image004

 

Active directory serverımıza Fsae Collector Agent Yazılımı kurulmalıdır. Dikkat edilecek kısım Support NTLM seçilmemelidir. Diğer ayarları defaul bırakarak devam edebiliriz. Fortinet Fortigate Firewallımızda girdiğimiz şifrenin aynını burdada girmemiz gerekmektedir. Mutlaka active directory sunucumuzu bir kere restart edelim. Bu işlemleri yapmadan system state backup yapmış olmamız gerekmekte unutmayalım.

 

image005

 

Domain ayar kısmımıza giriyoruz. Select domain to monitor kısmına tıklayarak aşağıdaki menuyu açıyoruz.

image006

 

Aşağıdaki kısma gerekli ayarlarımızı girmemiz gerekiyor.

image007

 

image008

 

Bu kısımda ya administrator hesabımızı şifresi doğru şekilde giriyoruz veya kendimize administratos grubuna üye bir user açıp işlemi yapmamız gerekmekte. Şayet şirket politikanız gereğince şifre belirli sürede değişiyorsa lütfen bu userı zorlamadan muaf tutunuz.

image009

 

Şimdi Fortigate cihazımız ile active directory sunucumuz düzgün görüşebiliyormu onu test ediyoruz
Serverımızda cmd ile dos prompta düşerek dsquery user komutu ile cn, dc bilgilerimizi alıyoruz.

image010

 

Policylerimizde yazılınca aşağıdaki gibi bir ekran alıyoruz. Birazdan Policy kısmını göstereceğiz

image011

 

Firewall Console ekranında diagnose debug authd fsae list diyerek firewalldaki active directory isimlerini görebiliyoruz.

image012

 

Şimdi önce aşağıdaki gibi en sağdaki kısımdan kullanıcılarımızı işaretliyoruz daha sonra dc kısmındaki maviliğe tıklayarak açılır menuden userlarımızı gruplarımızı oularımızı görebiliyoruz.



image013

 

Şimdi aşağıdaki ekrana göre gruplarımızı oluşturucaz bu gruplar tamamen Fortigate Tarafı içindir. Server ile ilgili bir kayıt içermez. Amaç burda serverdan çektiğimiz kullanıcıları yetkilendirmektir. Örnek admin diye bir grup oluşturup tekilileri bu grubun içine taşıyoruz ve user diye bir grup açık kullanıcıları içine aktarıyoruz.

image014

Şimdi Firewall policye gelerek aşağıdaki gibi bir kural yazıyoruz.

Farkında iseniz admin ve user diye 2 adet active directory için yaptığımız tanım mevcut. Şayet burda kullanıcılar dışındakilerinde internete çıkmasını istiyorsa yeni bir grup daha yapar fsae guest hesabını buna dahil ederiz yoksa misafirlerin internet çıkışları için ip bazlı policy tanımlamak gerekecektir.


image015

 

Aşağıdaki gibi bir policmiz oluyor. linux kamera vs gibi cihazlar için ip tabanlı kural yazmak gerekir bunu unutmayınız.

image016

Column Settings kısmından authentication seçerseniz aşağıdaki gibi bir policymiz olduğunu göreceğiz.

image017

Gördüğünüz gibi Savaş kullanıcısı 223 kb trafik yapmış ve bu trafiği kullanıcı bazında takip edebiliyorsunuz

image018

Gördüğünüz üzere sağlıklı bir active directory yapınız varsa başarılı bir kurulum yaparsınız. Active directorynizde sıkıntı varsa düzeltmeden bu işlemlere başlamayınız.

Bu işin duayeni değiliz ama işimizi düzgün yapmaya çalışıyoruz. Makalede emeği geçen Kemal Akbalık kardeşime sonsuz teşekkürler.

Yorumlar

 

Emrah GUNDAY

Emeğinize sağlık iyi paylaşım.Teşekkürler.

Nisan 26, 2009 18:09
 

Ugur DEMIR

Teşekkürler

Nisan 26, 2009 21:01
 

Uğur DAŞDEMİR

Elinize sağlık Savaş Bey;

Nisan 26, 2009 22:33
 

Hüseyin ERTUGRUL

Çok önemli bir çözüm, kurumsal firmalar için büyük kolaylık. Elinize sağlık Savaş hocam. Fortigate makalelerinin devamını bekliyoruz.

Nisan 27, 2009 12:46
 

Savas Demir

arkadaşlar fortinet sitesinden kendi cihazınıza uygun fsae yazılımı ve firmware indirmek için https://support.fortinet.com linkini kullanınız

selamlar

Nisan 27, 2009 18:43
 

Murat GUCLU

Teşekkürler

Nisan 29, 2009 08:53
 

Eyüp Dal

Tşk ederim işime ciddi anlamda yaricak gibi :)

Nisan 29, 2009 13:26
 

mehmet aydın

hocam çok sagol baya acık anlatmıssın.

Nisan 29, 2009 15:18
 

Murat CAN

Teşekkürler.

Mayıs 1, 2009 19:06
 

Akın Keskinsoy

Fortigate hakkında yazıların artmasını dilerim. Bu makale hepimizin rahat anlayacağı açıklamalar içermektedir. Teşekkürler...

Mayıs 2, 2009 10:32
 

ilhamiozturk

Emeğinize sağlık Paylaşım için teşekkürler

Ağustos 14, 2009 09:06
 

Faruk AY

çok güzel

Mayıs 15, 2010 07:45
 

serkanuz

harika bir yazı çok teşekkürler Fotigate var bir sürü para verip alıyoruz tam özelliklerini kullanamıyorum ki zaten bilmiyorum :)

Ekim 8, 2010 22:37
 

Adem ALTUNBAS

hem 60B hemde 224B var yapımda çok ilgimi çekti denicem. Elinize Sağlık.

Ekim 27, 2010 18:37
 

MURAT GÜNDEĞER

eline sağlık hocam

Nisan 15, 2011 21:06
 

Fatih Gürdal

Ellerine sağlık hocam bir sorum olacak bu makaleyi terminal serverde uygulayacağım bi exra yapmam gereken birşey olurmu acaba ?

Haziran 1, 2012 12:41
 

Mehmet Kanal

Paylaşım için teşekkürler.

Ekim 24, 2013 16:06
 

refik yorgancı

Elinize saglik tesekkurler.

Ağustos 20, 2014 18:15
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Savas Demir

Fortinet Security Products Logs&Reports Software Fortinet FCNSP,FCNSA FCESP Watchguard WCSP-XTM Cyber-Security McAfee AV Security Partner

Bu Kategori

Hızlı aktarma

Etiketler