Fortigate v4.0,build0291 ve Active Directory Entegrasyonu Nasıl Yapılır?

Bir süredir IP temelli tanımlamalarla kullanmakta olduğum Fortigate 60B cihazımda sık sık tıkanmalar ve CPU kullanım miktarının üst seviyelere tırmanması gibi sorunlar yaşayınca cihazımı mevcut active directory yapımla eşlenik olarak kullanmaya karar verdim.

Bu eşleşme durumunda kullanıcı Active Directory üzerinde login olduktan sonra ilgili kullanıcı hakları ile internete erişebilecektir.

Active directory bünyesinde DHCP ve DNS yönetimi de bulunduğundan FORTIGATE cihazımıza ekstra yük binmemektedir. Ayrıca CLI konsoldan yapacak olduğumuz ip-mac-binding eşleşmelerine de gerek duyulmayacaktır.

Çünkü; Active Directory kullanıcı ayarlarında yer alan …. kullanıcısı sadece … makinasında oturum açabilir tanımı ile bir nev’i kullanıcıyıda belirli bir pc ye bağlamış oluruz.

Şimdi gelelim yapılması gerekenlere;

1) ftp://support.fortinet.com/FortiGate/v4.00/4.0MR2/MR2_Patch_2/FSAE/FSAE_Setup_3.5.059.exe adresinden FSAE (Fortinet Server Authentication Extension) yazılımını indirin.

2) FSAE yazılımını Active Directory barındıran sisteminize kurun.

3) FSAE programını çalıştırın ve ayarlarınızı aşağıdaki resimde belirtildiği gibi düzenleyin. Burada dikkat edilmesi gereken husus Support NTLM authentication seçilmemelidir

Monitoring user logon events : Seçili

Support NTLM authentication: Seçilmemiş

Listening Ports

Fortigate : 8000   DC Agent: 8002

Log Level: Information

Log File Size: 10 Mb

Log Logon events in separate logs: Seçili

Authentication

Require authenticated connection from FORTIGATE: Seçili

Password: <belirleyecek olduğunuz şifre> Burada tanımlayacak olduğunuz şifre ile FSAE ve FORTIGATE cihazı arasında yetkilendirme yapılacaktır. Belirlenen şifre daha sonra Fortigate üzerinde USER->Directory Service menüsünde kullanılacaktır.

Timers

Workstation verify interval (minutes): 2 Burada belirlenen sürelerde workstation doğrulaması yapılarak FORTIGATE cihazına bilgi verilir ve alınan bilgi doğrultusunda çıkış hakları tanımlanır.

Dead entry timeout interval (minutes): 0 Burada SIFIR(0) tanımlayarak oturumların FORTIGATE tarafında sonlandırılması engellenir. Bu sayede bir kullanıcı belirli bir süre pasif kaldıktan sonra bağlantısının kesilmesi sorunu da ortadan kalkmış olur.

IP address change verify interval (seconds): 60 Burada 60 saniye tanımlamak sureti ile bir kullanıcının farklı sistemde oturum açması durumunda IP adresinin güncellemesi için geçecek süre tanımlanmış olur. Eğer Active Directory üzerinden kullanıcının sadece belirli bir workstation üzerinde oturum açması tanımlanmış ise bu değerin yüksek olması önemsizdir.

belirtilen ayarlamalar tanımlandıktan sonra Active Directory sunucumuzu RESTART yapalım.

4) FSAE programının ana ekranından Select domain to monitor menüsüne girerek aşağıdaki ekran açılır.

Domain Filter kısmında izleyecek olduğumuz DOMAIN seçilir ve SETTING butonuna tıklanır.

Açılan ekranda;

AD Server address: Active Directory sunucu IP adresiniz

AD Server Port: 389 olarak bırakınız.

Base DN: Domain name bilgileriniz.

User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.

Password: Administrator grubuna dahil kullanıcınızın şifresi.

bu bilgiler ilgili yerlere yazıldıktan sonra OK tuşuna basılarak işlem tamamlanır ve FSAE ana ekranına dönülür.

5) Set Directory Access Information butonuna basılarak ilgili ekrana geçilir.

AD Access mode : Advanced seçilir ve Advanced Setting butonuna basılarak AD Settings ekranı açılır.

AD Settings ekranında;

AD Server address: Active directory sunucu adresiniz yazılır.

AD Server Port: 3268

Base DN: Domain bilginiz yazılır.

User Name: Administrator grubuna dahil bir kullanıcınızın kullanıcı adı. Buraya eklenen kullanıcı adı peryodik şifre güncelleme kurallarından muaf tutulmalıdır.

Password: Administrator grubuna dahil kullanıcınızın şifresi.

6) Şimdi sıra geldi FORTIGATE cihazımızı FSAE yazılımı üzerinden Active Directory ile eşleştirmeye,

Bunun için öncelikle FORTIGATE cihazınıza bağlanın

USER menüsünden REMOTE sekmesindeki LDAP bölümüne girin.

Create New Diyerek LDAP sunucumuzu sisteme tanıtalım.

Name : Fortigate cihazımız için tanımlama ismimiz.

Server Name/IP: Active directory sunucumuzun ip adresi

Server Port: 389

Common Name Identifier: DC
Distinguished Name: Domain name bilgimiz.

Bind Type: Regular Burada değerin REGULAR olmasına özellikle dikkat ediniz aksi halde sunucu ile iletişimizini kuracak olan USER DN ve Password bilgisi istenmeyeceğinden saatlerce FORTIGATE ile Active Directory neden haberleşemiyor diye saatlerce uğraşırsınız.

User DN: Administrator grubuna üye kullanıcınızının domain üzerindeki tanımlaması Örnek: CN=administrator,CN=Users,DC=STSO,DC=LOCAL

Password:Kullanıcınızın şifresi

tanımlarınızı yaptıktan sonra Distinguished Name yanındaki browse simgesine tıklayarak sunucumuza üzerindeki kullanıcı gruplarını listeliyoruz. OK butonuna basıyoruz.

7) User menüsünden Directory Service altında Directory Service sekmesine girin.

Name kısmında sunucu adınızın fortigate tarafındaki tanımını yazın

FSAE Collector Ip /Name: FSAE yazılımının yüklü olduğu sunucunuzun IP adresini yazın.

Port : 8000

Password : ilk bölümde FSAE kurulumu yapılırken Authentication bölümünde tanımlamış olduğunuz şifrenizi yazınız.

LDAP Server: User ->Remote-> Ldap menüsünde tanımlamasını yaptığınız sunucunuzu seçin.

8) Şimdi sıra geldi FORTIGATE ile FSAE yazılımımız ve dolayısıyla Active Directory haberleşebiliyor mu? bunu öğrenelim.

Öncelikle Active Directory kurulu sunucumuzda Başlat -> Programlar -> Çalıştır satırına gelerek CMD yazın ve komut satırına geçiş yapın.

Daha sonra komut satırımızda dsquery user yazarak Active Directory üzerindeki kullanıcılarımızı görelim.

Burada dikkat edilmesi gereken husus Active Directory üzerindeki kullanıcı tanımlarımızda asla TÜRKÇE KARAKTER kullanılmaması gerektiğidir. Aksi halde FORTIGATE üzerinde bu kullanıcılar işlem göremeyeceğinden, internete çıkışlarında problemler yaşanacaktır.

Bu sorunu pratik olarak çözmek isterseniz http://www.sekercioglu.eu/index.php/windows-scripting-host-ile-active-directory-uzerindeki-kullanici-bilgilerini-degistirme/ adresindeki script kodlarımıza bakabilirsiniz.

Active directory üzerindeki kullanıcılarımızı gördük, peki ama bu bilgileri FSAE yazılımı almış mı? ona da bakalım. Bunun için FSAE programının ana ekranından Show Logon Users bölümüne giriyoruz…

Görüldüğü üzere FSAE programımızda kullanıcı verilerini düzgün şekilde alıyor.

En son olarak da FORTIGATE cihazımız bu verileri FSAE programından alabiliyor mu? ona da bakalım..

 

Fortinet Single Sign On FSSO yazılımının yayınlanmasından sonra kullanılan firmware yapılarında (Örn:MR3 Patch 4) diagnose debug authd FSAE list komutu yerine diagnose debug authd FSSO list komutu kullanılmaktadır.

evet FORTIGATE cihazımız da bilgileri düzgün şekilde bünyesine alıyor.

9) O zaman sıra geldi alınan bu kullanıcı verileri ile grup oluşturup o gruplara erişim kuralları tanımlamaya.


Kullanıcı grubu tanımlamak için User -> Directory Service -> Directory Service menüsüne gelerek Directory Service listesinden seçimimizi yapıyoruz,

ardından da üst menülerde yer alan Edit Users / Groups bağlantısına tıklıyoruz.

Ekrana gelen kullanıcı listesinden ya da kullanıcıların bağlı olduğu gruplardan yetkilendirmek istediklerimizi seçiyoruz ve OK butonuna basıyoruz.

10) Daha sonra User -> User Group -> User Group menüsünde Create New bağlantısına girerek

ekranına ulaşıyoruz. Burada dikkat edilmesi gereken husus;

Name: Fortigate üzerinde kullanıcı grubuna verilecek olan isim

Type: Directory Service seçilmelidir.

Available Members: Mevcut kullanıcılar

Members: Gruba dahil edilecek kullanıcılar

gerekli ayarlamaları yaptığınızda ekran aşağıdakine benzer bir duruma gelecektir.

ayarları kaydetmek için OK butonuna basıyoruz.

11) Şimdi grubumuzu oluşturduk, sıra geldi bu gruba policy tanımlamasına. Ancak dikkat edilmesi gereken husus bağlantı kuracak olan sistem şayet Active Directory üyesi değilse bu kullanıcının tanımını IP bazlı yapmalısınız (eski düzen) ve kural sıralamasında AD temelli kuralın üzerinde yer alması gerekiyor. Aksi halde çıkış yapamaz.

Öncelikle Enable Identity Based Policy seçimimizi yapıyoruz

Ardından da Directory Service (FSAE) seçimimizi yapıyoruz.


Sonrasında ise ADD butonuna basarak user group bünyesindeki kullanıcı grubumuzu seçeceğimiz ekranı açıyoruz.

bu ekrandan da kullanıcı gruplarımızı ve onların kullanacakları protokol ve servisleri tanımlıyoruz.

Sonrasında ise Firewall -> Policy ekranında şayet Column Settings gelerek COUNT ve Authentication bilgilerini eklersek, hangi kullanıcı grubunun ne kadar trafikle çıkış yaptığını detaylı olarak görebilirsiniz.

Eğer kullanıcı bazında detaylı trafik bilgisi almak isterseniz o zaman da User->Monitor -> Firewall menüsüne gelerek hangi kullanıcının ne kadar trrafik yaptığını, logon kaydının olup olmadığını yada ne kadar zamandır açık olduğunu inceleyebilirsiniz.

Daha önceleri IP temelli kural tanımlamaları yapıyordum, kuralları tanımlarken IP mac Binding tanımları, DHCP tanımları gibi kurallar Firewall üzerine binince sık sık JAM problemleri yaşıyordum. Öyle ki firewall üzerinde CPU kullanımı %70 ve üzerinde dolaşıyordu.

Version güncellemesi ve ardından da FSAE ile Active Directory eşleştirmesinden sonra kaynak tablom aşağıdaki duruma geldi.

Sizlere tavsiyem eğer sağlıklı bir Active Directory yapınız var ise gecikmeden bu yapıya geçiniz.

Bu sistemi kurarken desteğini benden hiç esirgemeyen sevgili arkadaşım Savaş DEMİR’e sonsuz teşekkürlerimi sunarım.