Kas
3
2010

Fortigate v4.0,build0291 ve Active Directory Entegrasyonu Nasıl Yapılır?

Bir süredir IP temelli tanımlamalarla kullanmakta olduğum Fortigate 60B cihazımda sık sık tıkanmalar ve CPU kullanım miktarının üst seviyelere tırmanması gibi sorunlar yaşayınca cihazımı mevcut active directory yapımla eşlenik olarak kullanmaya karar verdim.

Bu eşleşme durumunda kullanıcı Active Directory üzerinde login olduktan sonra ilgili kullanıcı hakları ile internete erişebilecektir.

Active directory bünyesinde DHCP ve DNS yönetimi de bulunduğundan FORTIGATE cihazımıza ekstra yük binmemektedir. Ayrıca CLI konsoldan yapacak olduğumuz ip-mac-binding eşleşmelerine de gerek duyulmayacaktır.

Çünkü; Active Directory kullanıcı ayarlarında yer alan …. kullanıcısı sadece … makinasında oturum açabilir tanımı ile bir nev’i kullanıcıyıda belirli bir pc ye bağlamış oluruz.

Şimdi gelelim yapılması gerekenlere;

1) ftp://support.fortinet.com/FortiGate/v4.00/4.0MR2/MR2_Patch_2/FSAE/FSAE_Setup_3.5.059.exe adresinden FSAE (Fortinet Server Authentication Extension) yazılımını indirin.

2) FSAE yazılımını Active Directory barındıran sisteminize kurun.

3) FSAE programını çalıştırın ve ayarlarınızı aşağıdaki resimde belirtildiği gibi düzenleyin. Burada dikkat edilmesi gereken husus Support NTLM authentication seçilmemelidir

Monitoring user logon events : Seçili

Support NTLM authentication: Seçilmemiş

Listening Ports

Fortigate : 8000   DC Agent: 8002

Log Level: Information

Log File Size: 10 Mb

Log Logon events in separate logs: Seçili

Authentication

Require authenticated connection from FORTIGATE: Seçili

Password: <belirleyecek olduğunuz şifre> Burada tanımlayacak olduğunuz şifre ile FSAE ve FORTIGATE cihazı arasında yetkilendirme yapılacaktır. Belirlenen şifre daha sonra Fortigate üzerinde USER->Directory Service menüsünde kullanılacaktır.

Timers

Workstation verify interval (minutes): 2 Burada belirlenen sürelerde workstation doğrulaması yapılarak FORTIGATE cihazına bilgi verilir ve alınan bilgi doğrultusunda çıkış hakları tanımlanır.

Dead entry timeout interval (minutes): 0 Burada SIFIR(0) tanımlayarak oturumların FORTIGATE tarafında sonlandırılması engellenir. Bu sayede bir kullanıcı belirli bir süre pasif kaldıktan sonra bağlantısının kesilmesi sorunu da ortadan kalkmış olur.

IP address change verify interval (seconds): 60 Burada 60 saniye tanımlamak sureti ile bir kullanıcının farklı sistemde oturum açması durumunda IP adresinin güncellemesi için geçecek süre tanımlanmış olur. Eğer Active Directory üzerinden kullanıcının sadece belirli bir workstation üzerinde oturum açması tanımlanmış ise bu değerin yüksek olması önemsizdir.

belirtilen ayarlamalar tanımlandıktan sonra Active Directory sunucumuzu RESTART yapalım.

4) FSAE programının ana ekranından Select domain to monitor menüsüne girerek aşağıdaki ekran açılır.

Domain Filter kısmında izleyecek olduğumuz DOMAIN seçilir ve SETTING butonuna tıklanır.

Açılan ekranda;

AD Server address: Active Directory sunucu IP adresiniz

AD Server Port: 389 olarak bırakınız.

Base DN: Domain name bilgileriniz.

User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.

Password: Administrator grubuna dahil kullanıcınızın şifresi.

bu bilgiler ilgili yerlere yazıldıktan sonra OK tuşuna basılarak işlem tamamlanır ve FSAE ana ekranına dönülür.

5) Set Directory Access Information butonuna basılarak ilgili ekrana geçilir.

AD Access mode : Advanced seçilir ve Advanced Setting butonuna basılarak AD Settings ekranı açılır.

AD Settings ekranında;

AD Server address: Active directory sunucu adresiniz yazılır.

AD Server Port: 3268

Base DN: Domain bilginiz yazılır.

User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.

Password: Administrator grubuna dahil kullanıcınızın şifresi.

6) Şimdi sıra geldi FORTIGATE cihazımızı FSAE yazılımı üzerinden Active Directory ile eşleştirmeye,

Bunun için öncelikle FORTIGATE cihazınıza bağlanın

USER menüsünden REMOTE sekmesindeki LDAP bölümüne girin.

Create New Diyerek LDAP sunucumuzu sisteme tanıtalım.

Name : Fortigate cihazımız için tanımlama ismimiz.

Server Name/IP: Active directory sunucumuzun ip adresi

Server Port: 389

Common Name Identifier: DC
Distinguished Name: Domain name bilgimiz.

Bind Type: Regular Burada değerin REGULAR olmasına özellikle dikkat ediniz aksi halde sunucu ile iletişimizini kuracak olan USER DN ve Password bilgisi istenmeyeceğinden saatlerce FORTIGATE ile Active Directory neden haberleşemiyor diye saatlerce uğraşırsınız.

User DN: Administrator grubuna üye kullanıcınızının domain üzerindeki tanımlaması Örnek: CN=administrator,CN=Users,DC=STSO,DC=LOCAL

Password:Kullanıcınızın şifresi

tanımlarınızı yaptıktan sonra Distinguished Name yanındaki browse simgesine tıklayarak sunucumuza üzerindeki kullanıcı gruplarını listeliyoruz. OK butonuna basıyoruz.

7) User menüsünden Directory Service altında Directory Service sekmesine girin.

Name kısmında sunucu adınızın fortigate tarafındaki tanımını yazın

FSAE Collector Ip /Name: FSAE yazılımının yüklü olduğu sunucunuzun IP adresini yazın.

Port : 8000

Password : ilk bölümde FSAE kurulumu yapılırken Authentication bölümünde tanımlamış olduğunuz şifrenizi yazınız.

LDAP Server: User ->Remote-> Ldap menüsünde tanımlamasını yaptığınız sunucunuzu seçin.

8) Şimdi sıra geldi FORTIGATE ile FSAE yazılımımız ve dolayısıyla Active Directory haberleşebiliyor mu? bunu öğrenelim.

Öncelikle Active Directory kurulu sunucumuzda Başlat -> Programlar -> Çalıştır satırına gelerek CMD yazın ve komut satırına geçiş yapın.

Daha sonra komut satırımızda dsquery user yazarak Active Directory üzerindeki kullanıcılarımızı görelim.

Burada dikkat edilmesi gereken husus Active Directory üzerindeki kullanıcı tanımlarımızda asla TÜRKÇE KARAKTER kullanılmaması gerektiğidir. Aksi halde FORTIGATE üzerinde bu kullanıcılar işlem göremeyeceğinden, internete çıkışlarında problemler yaşanacaktır.

Bu sorunu pratik olarak çözmek isterseniz http://www.sekercioglu.eu/index.php/windows-scripting-host-ile-active-directory-uzerindeki-kullanici-bilgilerini-degistirme/ adresindeki script kodlarımıza bakabilirsiniz.

Active directory üzerindeki kullanıcılarımızı gördük, peki ama bu bilgileri FSAE yazılımı almış mı? ona da bakalım. Bunun için FSAE programının ana ekranından Show Logon Users bölümüne giriyoruz…

Görüldüğü üzere FSAE programımızda kullanıcı verilerini düzgün şekilde alıyor.

En son olarak da FORTIGATE cihazımız bu verileri FSAE programından alabiliyor mu? ona da bakalım..

 

Fortinet Single Sign On FSSO yazılımının yayınlanmasından sonra kullanılan firmware yapılarında (Örn:MR3 Patch 4) diagnose debug authd FSAE list komutu yerine diagnose debug authd FSSO list komutu kullanılmaktadır.

evet FORTIGATE cihazımız da bilgileri düzgün şekilde bünyesine alıyor.

9) O zaman sıra geldi alınan bu kullanıcı verileri ile grup oluşturup o gruplara erişim kuralları tanımlamaya.


Kullanıcı grubu tanımlamak için User -> Directory Service -> Directory Service menüsüne gelerek Directory Service listesinden seçimimizi yapıyoruz,

ardından da üst menülerde yer alan Edit Users / Groups bağlantısına tıklıyoruz.

Ekrana gelen kullanıcı listesinden ya da kullanıcıların bağlı olduğu gruplardan yetkilendirmek istediklerimizi seçiyoruz ve OK butonuna basıyoruz.

10) Daha sonra User -> User Group -> User Group menüsünde Create New bağlantısına girerek

ekranına ulaşıyoruz. Burada dikkat edilmesi gereken husus;

Name: Fortigate üzerinde kullanıcı grubuna verilecek olan isim

Type: Directory Service seçilmelidir.

Available Members: Mevcut kullanıcılar

Members: Gruba dahil edilecek kullanıcılar

gerekli ayarlamaları yaptığınızda ekran aşağıdakine benzer bir duruma gelecektir.

ayarları kaydetmek için OK butonuna basıyoruz.

11) Şimdi grubumuzu oluşturduk, sıra geldi bu gruba policy tanımlamasına. Ancak dikkat edilmesi gereken husus bağlantı kuracak olan sistem şayet Active Directory üyesi değilse bu kullanıcının tanımını IP bazlı yapmalısınız (eski düzen) ve kural sıralamasında AD temelli kuralın üzerinde yer alması gerekiyor. Aksi halde çıkış yapamaz.

Öncelikle Enable Identity Based Policy seçimimizi yapıyoruz

Ardından da Directory Service (FSAE) seçimimizi yapıyoruz.


Sonrasında ise ADD butonuna basarak user group bünyesindeki kullanıcı grubumuzu seçeceğimiz ekranı açıyoruz.

bu ekrandan da kullanıcı gruplarımızı ve onların kullanacakları protokol ve servisleri tanımlıyoruz.

Sonrasında ise Firewall -> Policy ekranında şayet Column Settings gelerek COUNT ve Authentication bilgilerini eklersek, hangi kullanıcı grubunun ne kadar trafikle çıkış yaptığını detaylı olarak görebilirsiniz.

Eğer kullanıcı bazında detaylı trafik bilgisi almak isterseniz o zaman da User->Monitor -> Firewall menüsüne gelerek hangi kullanıcının ne kadar trrafik yaptığını, logon kaydının olup olmadığını yada ne kadar zamandır açık olduğunu inceleyebilirsiniz.

Daha önceleri IP temelli kural tanımlamaları yapıyordum, kuralları tanımlarken IP mac Binding tanımları, DHCP tanımları gibi kurallar Firewall üzerine binince sık sık JAM problemleri yaşıyordum. Öyle ki firewall üzerinde CPU kullanımı %70 ve üzerinde dolaşıyordu.

Version güncellemesi ve ardından da FSAE ile Active Directory eşleştirmesinden sonra kaynak tablom aşağıdaki duruma geldi.

Sizlere tavsiyem eğer sağlıklı bir Active Directory yapınız var ise gecikmeden bu yapıya geçiniz.

Bu sistemi kurarken desteğini benden hiç esirgemeyen sevgili arkadaşım Savaş DEMİR’e sonsuz teşekkürlerimi sunarım.




11 Yorum “Fortigate v4.0,build0291 ve Active Directory Entegrasyonu Nasıl Yapılır?”

  • Murat AYDIN 28 Ocak 2012, 20:00

    DN query listelerken Query failed hatası alıyorum. Neden olabilir ?

  • Burak ŞEKERCİOĞLU 28 Ocak 2012, 20:53

    dsquery işlemini sunucu üzerinde yapmalısınız. Eğer yine hata veriyorsa hata açıklamasını detaylı olarak yazarsanız yardımcı olmaya çalışırım

  • deniz umul 01 Mart 2012, 00:27

    Burak bey merhaba,
    tanımlamalarımın tamamı doğru ancak user monitor firewall sekmesinden AD üzerinde oturum açmış kullanıcıları göremiyorum.

  • Burak ŞEKERCİOĞLU 13 Mart 2012, 08:33

    Peki kullanıcılarınız internete erişebiliyor mu?
    Şayet erişemiyorlarsa yeni fortinet sürümlerinde (örn:MR3 Patch4)

    diagnose debug authd fsso list komutu ile FSSO yazılımından UTM cihazınıza gelen kullanıcı oturum açma bilgilerini kontrol edebilirsiniz.

    Sonrasında ise kullanıcı isimlerinizin içinde TÜRKÇE karakter olup olmadığını kontrol etmelisiniz. Türkçe karakter barındıran kullanıcılarda Fortigate yazılımı sorun çıkartabilmektedir.

  • Ruth 10 Nisan 2012, 21:10

    This is cool!

  • Yok 04 Haziran 2012, 15:14

    Peki Mobil cihazlar ?

  • Burak ŞEKERCİOĞLU 04 Haziran 2012, 21:39

    Bu tarz kullanıcı denetimi ile mobil cihazları denetlemeniz gerektiğinde ilgili kullanıcının browser üzerinden web çıkış yaptığı sırada kullanıcı adı ve parolası sorulur.
    Bu şifre sorusuna verilecek doğru yanıt sonrasında ise mobil kullanıcıda yetkileri doğrultusunda internete çıkabilir.

  • furkan yok 07 Haziran 2012, 15:54

    Workstation verify interval (minutes): 1
    Dead entry timeout interval (minutes): 0
    IP address change verify interval (seconds): 60 olarak ayarladım.

    show logon user ilk anda herkezin status kısmı ok olarak duruyor daha sonra yarısından çoğu not verified olarak değişiyor.2 gün öncesinde şirkette bu sistemi aktif ettik.Fakat yaklaşık 10 yakın kullanıcımızda internet problemi oldu ne yaptıysak düzeltemedik.Türkçe karakter sorunumuz yok fsso kurmadan önce herkesi düzenledik ou,user,grublar hepsi eng karakter olacak şekilde ayarlı.İki adet dc miz var her ikisindede fsso yüklü birbirlerinden kullanıcıları çekip forti ye gönderiyor.

  • yok 08 Haziran 2012, 08:00

    Toplam 200 kullanıcıya yakın şirketimizde yaklaşık 10 kullanıcımız nete çıkmıyor.Ve şirkete gelen herhangi bir misafiri nasıl nete çıkaracağız.

    • Burak ŞEKERCİOĞLU 08 Haziran 2012, 17:02

      10 kullanıcı internete erişemiyor;

      Bu tür sorunlarla kendi yapımızda zaman zaman karşılaşabiliyoruz. Çözüm olarak ise size tavsiyem FSSO üzerinde kullanıcının almış olduğu IP adresi ile Active Directory üzerindeki DNS ve DHCP alanlarındaki aynı kullanıcının IP adresini karşılaştırın. Genel olarak bu ip adresleri uyuşmadığında sorun çıkmaktadır. Sorunu düzeltmek için DNS ve DHCP alanlarındaki bilgileri FSSO ya göre düzenleyebilirsiniz.

      Sisteme eklenen misafir kullanıcısı hangi network üzerinden çıkış yapıyor. Örnek olarak Wireless üzerinden çıkış yapıyorsa o zaman Wless kullanıcılarını ayrı bir interface üzerine alarak ve bu interface kullanıcılarına ALL izni vererek ziyaretçileri çıkartabilirsiniz.

      Böyle yaparak ziyaretçilerin yerel ağı kullanmalarını da fiziken engellemiş olursunuz.

TeamViewer ile İnternet üzerinden Uzaktan Erişim ve Destek Sekercioglu.eu Uzaktan Yardım
Ammyy Uzaktan Yardım
WinRAR
WEBMAIL Google PageRank Checker
Twitterda Takip Edin! Twitterda Takip Edin!
Twitter

Üye Paneli

Son Yazılar

Kategoriler

Son Yorumlar