Fortigate v4.0,build0291 ve Active Directory Entegrasyonu Nasıl Yapılır?
Bir süredir IP temelli tanımlamalarla kullanmakta olduğum Fortigate 60B cihazımda sık sık tıkanmalar ve CPU kullanım miktarının üst seviyelere tırmanması gibi sorunlar yaşayınca cihazımı mevcut active directory yapımla eşlenik olarak kullanmaya karar verdim.
Bu eşleşme durumunda kullanıcı Active Directory üzerinde login olduktan sonra ilgili kullanıcı hakları ile internete erişebilecektir.
Active directory bünyesinde DHCP ve DNS yönetimi de bulunduğundan FORTIGATE cihazımıza ekstra yük binmemektedir. Ayrıca CLI konsoldan yapacak olduğumuz ip-mac-binding eşleşmelerine de gerek duyulmayacaktır.
Çünkü; Active Directory kullanıcı ayarlarında yer alan …. kullanıcısı sadece … makinasında oturum açabilir tanımı ile bir nev’i kullanıcıyıda belirli bir pc ye bağlamış oluruz.
Şimdi gelelim yapılması gerekenlere;
1) ftp://support.fortinet.com/FortiGate/v4.00/4.0MR2/MR2_Patch_2/FSAE/FSAE_Setup_3.5.059.exe adresinden FSAE (Fortinet Server Authentication Extension) yazılımını indirin.
2) FSAE yazılımını Active Directory barındıran sisteminize kurun.
3) FSAE programını çalıştırın ve ayarlarınızı aşağıdaki resimde belirtildiği gibi düzenleyin. Burada dikkat edilmesi gereken husus Support NTLM authentication seçilmemelidir
Monitoring user logon events : Seçili
Support NTLM authentication: Seçilmemiş
Listening Ports
Fortigate : 8000 DC Agent: 8002
Log Level: Information
Log File Size: 10 Mb
Log Logon events in separate logs: Seçili
Authentication
Require authenticated connection from FORTIGATE: Seçili
Password: <belirleyecek olduğunuz şifre> Burada tanımlayacak olduğunuz şifre ile FSAE ve FORTIGATE cihazı arasında yetkilendirme yapılacaktır. Belirlenen şifre daha sonra Fortigate üzerinde USER->Directory Service menüsünde kullanılacaktır.
Timers
Workstation verify interval (minutes): 2 Burada belirlenen sürelerde workstation doğrulaması yapılarak FORTIGATE cihazına bilgi verilir ve alınan bilgi doğrultusunda çıkış hakları tanımlanır.
Dead entry timeout interval (minutes): 0 Burada SIFIR(0) tanımlayarak oturumların FORTIGATE tarafında sonlandırılması engellenir. Bu sayede bir kullanıcı belirli bir süre pasif kaldıktan sonra bağlantısının kesilmesi sorunu da ortadan kalkmış olur.
IP address change verify interval (seconds): 60 Burada 60 saniye tanımlamak sureti ile bir kullanıcının farklı sistemde oturum açması durumunda IP adresinin güncellemesi için geçecek süre tanımlanmış olur. Eğer Active Directory üzerinden kullanıcının sadece belirli bir workstation üzerinde oturum açması tanımlanmış ise bu değerin yüksek olması önemsizdir.
belirtilen ayarlamalar tanımlandıktan sonra Active Directory sunucumuzu RESTART yapalım.
4) FSAE programının ana ekranından Select domain to monitor menüsüne girerek aşağıdaki ekran açılır.
Domain Filter kısmında izleyecek olduğumuz DOMAIN seçilir ve SETTING butonuna tıklanır.
Açılan ekranda;
AD Server address: Active Directory sunucu IP adresiniz
AD Server Port: 389 olarak bırakınız.
Base DN: Domain name bilgileriniz.
User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.
Password: Administrator grubuna dahil kullanıcınızın şifresi.
bu bilgiler ilgili yerlere yazıldıktan sonra OK tuşuna basılarak işlem tamamlanır ve FSAE ana ekranına dönülür.
5) Set Directory Access Information butonuna basılarak ilgili ekrana geçilir.
AD Access mode : Advanced seçilir ve Advanced Setting butonuna basılarak AD Settings ekranı açılır.
AD Settings ekranında;
AD Server address: Active directory sunucu adresiniz yazılır.
AD Server Port: 3268
Base DN: Domain bilginiz yazılır.
User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.
Password: Administrator grubuna dahil kullanıcınızın şifresi.
6) Şimdi sıra geldi FORTIGATE cihazımızı FSAE yazılımı üzerinden Active Directory ile eşleştirmeye,
Bunun için öncelikle FORTIGATE cihazınıza bağlanın
USER menüsünden REMOTE sekmesindeki LDAP bölümüne girin.
Create New Diyerek LDAP sunucumuzu sisteme tanıtalım.
Name : Fortigate cihazımız için tanımlama ismimiz.
Server Name/IP: Active directory sunucumuzun ip adresi
Server Port: 389
Common Name Identifier: DC
Distinguished Name: Domain name bilgimiz.
Bind Type: Regular Burada değerin REGULAR olmasına özellikle dikkat ediniz aksi halde sunucu ile iletişimizini kuracak olan USER DN ve Password bilgisi istenmeyeceğinden saatlerce FORTIGATE ile Active Directory neden haberleşemiyor diye saatlerce uğraşırsınız.
User DN: Administrator grubuna üye kullanıcınızının domain üzerindeki tanımlaması Örnek: CN=administrator,CN=Users,DC=STSO,DC=LOCAL
Password:Kullanıcınızın şifresi
tanımlarınızı yaptıktan sonra Distinguished Name yanındaki browse simgesine tıklayarak sunucumuza üzerindeki kullanıcı gruplarını listeliyoruz. OK butonuna basıyoruz.
7) User menüsünden Directory Service altında Directory Service sekmesine girin.
Name kısmında sunucu adınızın fortigate tarafındaki tanımını yazın
FSAE Collector Ip /Name: FSAE yazılımının yüklü olduğu sunucunuzun IP adresini yazın.
Port : 8000
Password : ilk bölümde FSAE kurulumu yapılırken Authentication bölümünde tanımlamış olduğunuz şifrenizi yazınız.
LDAP Server: User ->Remote-> Ldap menüsünde tanımlamasını yaptığınız sunucunuzu seçin.
8) Şimdi sıra geldi FORTIGATE ile FSAE yazılımımız ve dolayısıyla Active Directory haberleşebiliyor mu? bunu öğrenelim.
Öncelikle Active Directory kurulu sunucumuzda Başlat -> Programlar -> Çalıştır satırına gelerek CMD yazın ve komut satırına geçiş yapın.
Daha sonra komut satırımızda dsquery user yazarak Active Directory üzerindeki kullanıcılarımızı görelim.
Burada dikkat edilmesi gereken husus Active Directory üzerindeki kullanıcı tanımlarımızda asla TÜRKÇE KARAKTER kullanılmaması gerektiğidir. Aksi halde FORTIGATE üzerinde bu kullanıcılar işlem göremeyeceğinden, internete çıkışlarında problemler yaşanacaktır.
Bu sorunu pratik olarak çözmek isterseniz https://www.sekercioglu.eu/index.php/windows-scripting-host-ile-active-directory-uzerindeki-kullanici-bilgilerini-degistirme/ adresindeki script kodlarımıza bakabilirsiniz.
Active directory üzerindeki kullanıcılarımızı gördük, peki ama bu bilgileri FSAE yazılımı almış mı? ona da bakalım. Bunun için FSAE programının ana ekranından Show Logon Users bölümüne giriyoruz…
Görüldüğü üzere FSAE programımızda kullanıcı verilerini düzgün şekilde alıyor.
En son olarak da FORTIGATE cihazımız bu verileri FSAE programından alabiliyor mu? ona da bakalım..
Fortinet Single Sign On FSSO yazılımının yayınlanmasından sonra kullanılan firmware yapılarında (Örn:MR3 Patch 4) diagnose debug authd FSAE list komutu yerine diagnose debug authd FSSO list komutu kullanılmaktadır.
evet FORTIGATE cihazımız da bilgileri düzgün şekilde bünyesine alıyor.
9) O zaman sıra geldi alınan bu kullanıcı verileri ile grup oluşturup o gruplara erişim kuralları tanımlamaya.
Kullanıcı grubu tanımlamak için User -> Directory Service -> Directory Service menüsüne gelerek Directory Service listesinden seçimimizi yapıyoruz,
ardından da üst menülerde yer alan Edit Users / Groups bağlantısına tıklıyoruz.
Ekrana gelen kullanıcı listesinden ya da kullanıcıların bağlı olduğu gruplardan yetkilendirmek istediklerimizi seçiyoruz ve OK butonuna basıyoruz.
10) Daha sonra User -> User Group -> User Group menüsünde Create New bağlantısına girerek
ekranına ulaşıyoruz. Burada dikkat edilmesi gereken husus;
Name: Fortigate üzerinde kullanıcı grubuna verilecek olan isim
Type: Directory Service seçilmelidir.
Available Members: Mevcut kullanıcılar
Members: Gruba dahil edilecek kullanıcılar
gerekli ayarlamaları yaptığınızda ekran aşağıdakine benzer bir duruma gelecektir.
ayarları kaydetmek için OK butonuna basıyoruz.
11) Şimdi grubumuzu oluşturduk, sıra geldi bu gruba policy tanımlamasına. Ancak dikkat edilmesi gereken husus bağlantı kuracak olan sistem şayet Active Directory üyesi değilse bu kullanıcının tanımını IP bazlı yapmalısınız (eski düzen) ve kural sıralamasında AD temelli kuralın üzerinde yer alması gerekiyor. Aksi halde çıkış yapamaz.
Öncelikle Enable Identity Based Policy seçimimizi yapıyoruz
Ardından da Directory Service (FSAE) seçimimizi yapıyoruz.
Sonrasında ise ADD butonuna basarak user group bünyesindeki kullanıcı grubumuzu seçeceğimiz ekranı açıyoruz.
bu ekrandan da kullanıcı gruplarımızı ve onların kullanacakları protokol ve servisleri tanımlıyoruz.
Sonrasında ise Firewall -> Policy ekranında şayet Column Settings gelerek COUNT ve Authentication bilgilerini eklersek, hangi kullanıcı grubunun ne kadar trafikle çıkış yaptığını detaylı olarak görebilirsiniz.
Eğer kullanıcı bazında detaylı trafik bilgisi almak isterseniz o zaman da User->Monitor -> Firewall menüsüne gelerek hangi kullanıcının ne kadar trrafik yaptığını, logon kaydının olup olmadığını yada ne kadar zamandır açık olduğunu inceleyebilirsiniz.
Daha önceleri IP temelli kural tanımlamaları yapıyordum, kuralları tanımlarken IP mac Binding tanımları, DHCP tanımları gibi kurallar Firewall üzerine binince sık sık JAM problemleri yaşıyordum. Öyle ki firewall üzerinde CPU kullanımı %70 ve üzerinde dolaşıyordu.
Version güncellemesi ve ardından da FSAE ile Active Directory eşleştirmesinden sonra kaynak tablom aşağıdaki duruma geldi.
Sizlere tavsiyem eğer sağlıklı bir Active Directory yapınız var ise gecikmeden bu yapıya geçiniz.
Bu sistemi kurarken desteğini benden hiç esirgemeyen sevgili arkadaşım Savaş DEMİR’e sonsuz teşekkürlerimi sunarım.
DN query listelerken Query failed hatası alıyorum. Neden olabilir ?
dsquery işlemini sunucu üzerinde yapmalısınız. Eğer yine hata veriyorsa hata açıklamasını detaylı olarak yazarsanız yardımcı olmaya çalışırım
Burak bey merhaba,
tanımlamalarımın tamamı doğru ancak user monitor firewall sekmesinden AD üzerinde oturum açmış kullanıcıları göremiyorum.
Peki kullanıcılarınız internete erişebiliyor mu?
Şayet erişemiyorlarsa yeni fortinet sürümlerinde (örn:MR3 Patch4)
diagnose debug authd fsso list komutu ile FSSO yazılımından UTM cihazınıza gelen kullanıcı oturum açma bilgilerini kontrol edebilirsiniz.
Sonrasında ise kullanıcı isimlerinizin içinde TÜRKÇE karakter olup olmadığını kontrol etmelisiniz. Türkçe karakter barındıran kullanıcılarda Fortigate yazılımı sorun çıkartabilmektedir.
This is cool!
Peki Mobil cihazlar ?
Bu tarz kullanıcı denetimi ile mobil cihazları denetlemeniz gerektiğinde ilgili kullanıcının browser üzerinden web çıkış yaptığı sırada kullanıcı adı ve parolası sorulur.
Bu şifre sorusuna verilecek doğru yanıt sonrasında ise mobil kullanıcıda yetkileri doğrultusunda internete çıkabilir.
Workstation verify interval (minutes): 1
Dead entry timeout interval (minutes): 0
IP address change verify interval (seconds): 60 olarak ayarladım.
show logon user ilk anda herkezin status kısmı ok olarak duruyor daha sonra yarısından çoğu not verified olarak değişiyor.2 gün öncesinde şirkette bu sistemi aktif ettik.Fakat yaklaşık 10 yakın kullanıcımızda internet problemi oldu ne yaptıysak düzeltemedik.Türkçe karakter sorunumuz yok fsso kurmadan önce herkesi düzenledik ou,user,grublar hepsi eng karakter olacak şekilde ayarlı.İki adet dc miz var her ikisindede fsso yüklü birbirlerinden kullanıcıları çekip forti ye gönderiyor.
Bu 10 kullanıcı internete hiç erişemiyormu? sıkıntı tam olarak nedir?
Toplam 200 kullanıcıya yakın şirketimizde yaklaşık 10 kullanıcımız nete çıkmıyor.Ve şirkete gelen herhangi bir misafiri nasıl nete çıkaracağız.
10 kullanıcı internete erişemiyor;
Bu tür sorunlarla kendi yapımızda zaman zaman karşılaşabiliyoruz. Çözüm olarak ise size tavsiyem FSSO üzerinde kullanıcının almış olduğu IP adresi ile Active Directory üzerindeki DNS ve DHCP alanlarındaki aynı kullanıcının IP adresini karşılaştırın. Genel olarak bu ip adresleri uyuşmadığında sorun çıkmaktadır. Sorunu düzeltmek için DNS ve DHCP alanlarındaki bilgileri FSSO ya göre düzenleyebilirsiniz.
Sisteme eklenen misafir kullanıcısı hangi network üzerinden çıkış yapıyor. Örnek olarak Wireless üzerinden çıkış yapıyorsa o zaman Wless kullanıcılarını ayrı bir interface üzerine alarak ve bu interface kullanıcılarına ALL izni vererek ziyaretçileri çıkartabilirsiniz.
Böyle yaparak ziyaretçilerin yerel ağı kullanmalarını da fiziken engellemiş olursunuz.