设置FortiGate目录服务认证
说明:
本文档针对所有FortiGate设备的目录服务配置进行说明。目录服务指FortiGate从AD服务器上取得域用户信息,当用户登录到域时该用户信息会传到FortiGate,从而允许用户访问互联网。即可以实现单点认证功能。当用户不在域时FortiGate则不允许该用户上网。
环境介绍:
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。
AD服务器IP :192.168.100.21 DNS:192.168.100.21
用户电脑IP:192.168.100.22 DNS:192.168.100.21
步骤一:在AD上安装FSAE软件
在AD上安装FSAE_Setup_3.5.041.exe。提示的内容一般不需要更改,一直点击下一步直到安装完成。接着会提示安装DC Agent,继续安装,点击下一步直到安装完成。
(点击放大)
点击configure FSAE,界面如上图:
在Authentication选项下勾选Require authenticated
Password: 输入认证密码,该密码必须与下一步目录服务中的密码一致
点击Apply或Save&close保存
步骤二:配置目录服务
在防火墙中配置:设置用户----目录服务,点击新建
FortiClient AD:输入一个名称
FSAE Collector IP/名称:AD服务器的IP
密码:输入密码,与上一步中密码一致 点击OK
(点击放大)
然后防火墙就会收集到AD服务器上的目录信息,展开可以查看
(点击放大)
步骤三:配置用户组
在设置用户----用户组中点击新建
名称:输入一个名称
类别:选目录服务
成员:可用的用户组
组员:选择哪些用户组需要认证,即哪些用户可以上网
(点击放大)
步骤四:配置策略
在防火墙----策略中编辑出网策略,勾选启用基于用户认证的策略,点击添加
(点击放大)
将创建好的目录服务名称选到被选中的用户组中
服务:选择相应的服务
时间表:选择一个时间表
保护内容表:选择相应的保护内容表
(点击放大)
步骤五:说明
在AD服务器上FSAE软件的参数:
Listening ports监听端口:默认用TCP8000端口与FortiGate通讯,用UDP8002端口与DC代理通讯
Timers时间设置:
工作站检查时间:FSAE会定时检查登陆的用户是不是还在域上,默认为5分钟
不可达主机超时时间:对于登陆到域的主机,但FSAE无法与该主机通讯,默认480分钟后会将改主机从登陆用户中删除
IP地址更换检查时间:FSAE会每60秒(默认)检查在域上的主机IP,对于更改IP的主机,FSAE会及时地通知FortiGate
Common Tasks常用工具:
Show Service Status:显示FSAE与FortiGate的通讯状态,正常为RUNNING
Show Logon Users:显示FSAE收集到的在域上用户信息
(点击放大)
步骤六:验证
- 不在域上的用户不能上网
- 在域上的用户可以上网
- 离开域的用户在离开5分钟后不能上网
在防火墙CLI的相关命令:
dia debug enable 显示debug信息
diagnose debug authd fsae list 显示在域上的用户
dia debug application authd -1 显示认证信息
输出信息:
authd_admin.c:517 authd_admin_read: called
authd_admin.c:548 proto=1 src=192.168.100.22:0 dst=220.181.31.8:0
该信息表示IP为192.168.100.22的用户没用通过认证,不能上网
_process_logon[dalian]: TEST-PC12 logged on
reset_policy_timeout: clearing policy for 192.168.100.22 vfid=0
fsae_add_policy:390: found profile for user TEST-PC12(DALIAN/DOMAIN USERS) IP 192.168.100.22 on policy 16
fsae_add_policy:410: new policy 192.168.100.22 timeout=1200 auth_info=1 profile_id=0 policy_id=16 av_group_num=0
用户TEST-PC12通过认证,可以上网