Fortigate ile Domain kullanıcılarını SSL Vpn ile bağlamak

Merhaba,

SSL VPN i LDAP ile Active Directory e bağlamak için FSSO tanımlamanız gerekmiyor.

SSL VPN i LDAP ile Active Directory ile doğrulama yapmak için aşağıdaki adımları sırası ile ve dikkatlice yapmanız yeterli olacaktır.

1 - Active Directory tarafında bir security grup açın SSL_VPN vb. bir isimde ve SSL VPN yapmak istediğiniz kullanıcıları bu gruba üye yapın.

2- Firewall tarafında ( model bağımsız ) , users altında ldap ta yeni bir AD bağlantısı tanımlayın, bunun ayarlarında default cn yazan yere sAMAccountName yazın. username girerken örneğin [email protected] şeklinde girin.  type kısmında regular kullanın ve hesap bilgilerinizi sol köşedeki test ile doğrulayın. fail alıyorsanız buradaki bilgiler hatalı yapılandırmada sorun var. success almanız gerekiyor.

3- Users altında groups 'a gidin ve buradan new grup dediğinizde gelen saydada grupa bir isim verin FW_VPN_Group gibi. Type Firewall olacak, altta REMOTE GROUP 'ta 2. adımda oluşturduğunuz AD bağlantısı seçin ve altta da 1. adımda oluşturduğunuz Security grup u seçin ve onaylayarak ekranları grubu oluşturun.

4- SSL VPN Settings e gidin ve sayfanın alt tarafında mapping i göreceksiniz, burada da 3. adımdaki grubunuzu seçip ilgili portal ile eşleştirin örneğin tunnel-access ile  ve sayfayı apply ile onaylayıp çıkın.

5- Policy ekranına gelin ve yeni bir policy yazın , source interface ssl.root , destination interface sizin local, dmz yada server network ünüz, source address all seçeceksiniz sağdan ama hemen yanında sağda users tabınında 3. maddede oluşturduğunuz grubu seçeceksiniz. destination address te all diyemezsiniz, gitmesini istediğiniz sunucu/ip vs. seçerek kuralı oluşturun.

son olarak artık vpn e bağlanabilirsiniz.

kolay gelsin,

yB

Merhaba,

SSL VPN i LDAP ile Active Directory e bağlamak için FSSO tanımlamanız gerekmiyor.

 

SSL VPN i LDAP ile Active Directory ile doğrulama yapmak için aşağıdaki adımları sırası ile ve dikkatlice yapmanız yeterli olacaktır.

 

1 - Active Directory tarafında bir security grup açın SSL_VPN vb. bir isimde ve SSL VPN yapmak istediğiniz kullanıcıları bu gruba üye yapın.

2- Firewall tarafında ( model bağımsız ) , users altında ldap ta yeni bir AD bağlantısı tanımlayın, bunun ayarlarında default cn yazan yere sAMAccountName yazın. username girerken örneğin [email protected] şeklinde girin.  type kısmında regular kullanın ve hesap bilgilerinizi sol köşedeki test ile doğrulayın. fail alıyorsanız buradaki bilgiler hatalı yapılandırmada sorun var. success almanız gerekiyor.

 

3- Users altında groups 'a gidin ve buradan new grup dediğinizde gelen saydada grupa bir isim verin FW_VPN_Group gibi. Type Firewall olacak, altta REMOTE GROUP 'ta 2. adımda oluşturduğunuz AD bağlantısı seçin ve altta da 1. adımda oluşturduğunuz Security grup u seçin ve onaylayarak ekranları grubu oluşturun.

 

4- SSL VPN Settings e gidin ve sayfanın alt tarafında mapping i göreceksiniz, burada da 3. adımdaki grubunuzu seçip ilgili portal ile eşleştirin örneğin tunnel-access ile  ve sayfayı apply ile onaylayıp çıkın.

5- Policy ekranına gelin ve yeni bir policy yazın , source interface ssl.root , destination interface sizin local, dmz yada server network ünüz, source address all seçeceksiniz sağdan ama hemen yanında sağda users tabınında 3. maddede oluşturduğunuz grubu seçeceksiniz. destination address te all diyemezsiniz, gitmesini istediğiniz sunucu/ip vs. seçerek kuralı oluşturun.

 

son olarak artık vpn e bağlanabilirsiniz.

 

kolay gelsin,

yB

 

 

Cevap için teşekkürler. Yalnız 4.adım da bir sıkıntı yaşıyorum. SSL VPN Settings bölümünün en alt kısmında "Authentication/Portal Mapping" bölümü var. Create New ile 3.adımdaki oluşturduğum grubu ve portal türünü seçip uyguluyorum. Uyguladıktan sonra SSL VPN Settings bölümüne geçiyor. Burada sadece mapping ayarlarını kaydetmesi için başka bir ayara dokunmadan uygula diyorum. Fakat aşağıda gördüğünüz ekran görüntüsündeki gibi bazı bilgileri girmemi zorunlu kılıyor.

[url= https://i.hizliresim.com/JDrJJW.jp g" target="_blank">https://i.hizliresim.com/JDrJJW.jp g"/> [/img][/url]

Merhabalar

• 443 portu (muhtemelen management için ) kullanılıyor vpn için başka port seçmenizi istiyor örneğin 4443 gibi bir port verebilirsiniz.
• - Allow access from any host diyebilir veya vpn ile erişmesiniz istediğiniz ip adreslerini gruplayıp onları belirtebilirsiniz
• - Vpn ile bağlanan kullanıcılara atayacağınız ip adreslerini soruyor bunu da custom kısmından tanımlayabilir veya Automatically assign adres diyebilirsiniz.

iyi çalışmalar

Merhabalar

• 443 portu (muhtemelen management için ) kullanılıyor vpn için başka port seçmenizi istiyor örneğin 4443 gibi bir port verebilirsiniz.
• - Allow access from any host diyebilir veya vpn ile erişmesiniz istediğiniz ip adreslerini gruplayıp onları belirtebilirsiniz
• - Vpn ile bağlanan kullanıcılara atayacağınız ip adreslerini soruyor bunu da custom kısmından tanımlayabilir veya Automatically assign adres diyebilirsiniz.

 

 

iyi çalışmalar

 

 

 

Son Adımda şöyle bir uyarı alıyorum;

[url= https://i.hizliresim.com/6N7WXk.jp g" target="_blank">https://i.hizliresim.com/6N7WXk.jp g"/> [/img][/url]

Merhaba sorunu çözüm sanırım. Şuan SSL VPN bağlantısı yapabiliyorum. Sadece oluşturduğum grubu degil, birde all eklediğimde uyarı vermedi bu şekilde kuralı oluşturdum. Kontrolünü sağladığımda sadece AD de oluşturduğum gruba üye olan kullanıcılar VPN yapabiliyor. Yani sorunsuz çalışıyor. Yardımlarınız için çok teşekkürler... Kafama takılan ufak bir sorum olacak size; SSL VPN ile sadece tunnel mode ile bağlanan kullanıcı kendi internetini mi, bağlı olduğu lokasyonun internetini mi kullanır? Böyle bir ayar varsa defaultta kendi internetini kullanacaktır muhtemelen, ama merak ettiğim için sormak istedim.

Normalde kendi internetini kullanır sadece vpn için izin verdiğiniz ip veyta ip blogu için size gelir

kullanıcıyı kendi ücerinizden nete çıakrmak isterseniz split-tunel özelliğini açmalısınız

http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-sslvpn-54/SSLVPN_Examples_54/Split_Tunnel.htm

bu arada kullanıcının nerden intenete çıktığını vpn bağlantısı sonrası www.ipadresimnedir.com adresine girerek test edebilkirsiniz.

Normalde kendi internetini kullanır sadece vpn için izin verdiğiniz ip veyta ip blogu için size gelir

kullanıcıyı kendi ücerinizden nete çıakrmak isterseniz split-tunel özelliğini açmalısınız

http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-sslvpn-54/SSLVPN_Examples_54/Split_Tunnel.htm

 

bu arada kullanıcının nerden intenete çıktığını vpn bağlantısı sonrası www.ipadresimnedir.com adresine girerek test edebilkirsiniz.

Yardımlarınız ve verdiğiniz bilgiler için teşekkürler tekrar.